LINUX.ORG.RU

Запутался с HTTPS/SSL: SNI/DNS/MITM

 , , , ,


0

1

Вопрос к спецам по HTTPS/SSL.

Есть чудесный сервис CloudFlare, который в т.ч. позволяет проксировать SSL до вашего сайта. Ваш браузер открывает https://www.pupkin.ru, коннектится по факту к серверам CloudFlare, которые отдают свой сертификат, а ваши запросы пересылают на ваш физический сервер. Но как это работает? Пример вот: https://www.washingtonian.com/

Смотрим сертификат: он от ... ssl391151.cloudflaressl.com

Это что, MITM в чистом виде? Получается, все HTTPS соединения можно сниффить, просто имея какой-то валидный HTTPS сертификат?

Я понимаю, что тут идёт подмена DNS, а затем SNI. Но я не понимаю детали происходящего. Вообще. Мне казалось, браузер сверяет FQDN с common name в сертификате - по факту ничего такого нет.

Что самое интересное,

openssl s_client -quiet -connect cloudflare_protected_website.com:443

вываливается с ошибкой

SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:744:

Т.е. что-то тут не так.

Объясните по пунктам как браузер открывает одно, ему дают другое, а он счастлив (DNS подмена ясна - тут никаких открытий - просто NS указаны от cloudflare).

Объясните по пунктам почему это нельзя использовать, чтобы снифить весь HTTPS трафик кого и где угодно.

Перемещено leave из talks

★★★★★

Certificate/Extensions/Certificate Subject Alt Name

Not Critical
DNS Name: ssl391151.cloudflaressl.com
DNS Name: *.9gid.com
DNS Name: *.airtimekitesurfing.com
DNS Name: *.arredoitaliano.it
DNS Name: *.brandweerrooster.nl
DNS Name: *.buzztache.com
DNS Name: *.drherz.us
DNS Name: *.hesport.com
DNS Name: *.hieugiangbetter.com
DNS Name: *.jdlighting.com.au
DNS Name: *.recruitdoor.com
DNS Name: *.washingtonian.com
DNS Name: 9gid.com
DNS Name: airtimekitesurfing.com
DNS Name: arredoitaliano.it
DNS Name: brandweerrooster.nl
DNS Name: buzztache.com
DNS Name: drherz.us
DNS Name: hesport.com
DNS Name: hieugiangbetter.com
DNS Name: jdlighting.com.au
DNS Name: recruitdoor.com
DNS Name: washingtonian.com
i-rinat ★★★★★ ()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от i-rinat

Ага, не заметил - спасибо.

Только, а почему COMODO CA Limited позволяет CloudFlare выпускать сертификаты на чужие сайты?

И могут ли тогда CloudFlare выпустить сертификат на всё, что угодно, раз у них такие полномочия? ;-)

birdie ★★★★★ ()
Ответ на: комментарий от birdie

Только, а почему COMODO CA Limited позволяет CloudFlare выпускать сертификаты на чужие сайты?

Это уже интересно, да. Может клиент где-нибудь в договоре с Cloudflare даёт явное согласие на это?

Harald ★★★★★ ()
Ответ на: комментарий от birdie

Потому что это DV-сертификат. Тебе не надо проходить identity validation, достаточно доказать, что ты управляешь этим доменом. В случае с cloudflare этим признаком может быть то, что домен делегирован их nameserver'ам.

sjinks ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.