MITM

big brother, cloudflare, https, mitm, ssl

0

1

Вопрос к спецам по HTTPS/SSL.

Есть чудесный сервис CloudFlare, который в т.ч. позволяет проксировать SSL до вашего сайта. Ваш браузер открывает https://www.pupkin.ru, коннектится по факту к серверам CloudFlare, которые отдают свой сертификат, а ваши запросы пересылают на ваш физический сервер. Но как это работает? Пример вот: https://www.washingtonian.com/

Смотрим сертификат: он от ... ssl391151.cloudflaressl.com

Это что, MITM в чистом виде? Получается, все HTTPS соединения можно сниффить, просто имея какой-то валидный HTTPS сертификат?

Я понимаю, что тут идёт подмена DNS, а затем SNI. Но я не понимаю детали происходящего. Вообще. Мне казалось, браузер сверяет FQDN с common name в сертификате - по факту ничего такого нет.

Что самое интересное,

openssl s_client -quiet -connect cloudflare_protected_website.com:443

вываливается с ошибкой

SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:744:

Т.е. что-то тут не так.

Объясните по пунктам как браузер открывает одно, ему дают другое, а он счастлив (DNS подмена ясна - тут никаких открытий - просто NS указаны от cloudflare).

Объясните по пунктам почему это нельзя использовать, чтобы снифить весь HTTPS трафик кого и где угодно.

Перемещено leave из talks

Ссылка

←	Перенос ключей между ssh серверами и gitolite

Авторизация по SSL-сертификатам и их отзыв

→

Certificate/Extensions/Certificate Subject Alt Name

Not Critical
DNS Name: ssl391151.cloudflaressl.com
DNS Name: *.9gid.com
DNS Name: *.airtimekitesurfing.com
DNS Name: *.arredoitaliano.it
DNS Name: *.brandweerrooster.nl
DNS Name: *.buzztache.com
DNS Name: *.drherz.us
DNS Name: *.hesport.com
DNS Name: *.hieugiangbetter.com
DNS Name: *.jdlighting.com.au
DNS Name: *.recruitdoor.com
DNS Name: *.washingtonian.com
DNS Name: 9gid.com
DNS Name: airtimekitesurfing.com
DNS Name: arredoitaliano.it
DNS Name: brandweerrooster.nl
DNS Name: buzztache.com
DNS Name: drherz.us
DNS Name: hesport.com
DNS Name: hieugiangbetter.com
DNS Name: jdlighting.com.au
DNS Name: recruitdoor.com
DNS Name: washingtonian.com

i-rinat ★★★★★
(18.02.17 13:13:46 MSK)
Последнее исправление: i-rinat 18.02.17 13:14:47 MSK (всего исправлений: 1)

Ответ на: комментарий от i-rinat 18.02.17 13:13:46 MSK

Ага, не заметил - спасибо.

Только, а почему COMODO CA Limited позволяет CloudFlare выпускать сертификаты на чужие сайты?

И могут ли тогда CloudFlare выпустить сертификат на всё, что угодно, раз у них такие полномочия? ;-)

birdie ★★★★★
(18.02.17 13:18:50 MSK) автор топика

Ответ на: комментарий от birdie 18.02.17 13:18:50 MSK

Только, а почему COMODO CA Limited позволяет CloudFlare выпускать сертификаты на чужие сайты?

Это уже интересно, да. Может клиент где-нибудь в договоре с Cloudflare даёт явное согласие на это?

Harald ★★★★★
(18.02.17 13:33:00 MSK)

Ссылка

Ответ на: комментарий от birdie 18.02.17 13:18:50 MSK

Потому что это DV-сертификат. Тебе не надо проходить identity validation, достаточно доказать, что ты управляешь этим доменом. В случае с cloudflare этим признаком может быть то, что домен делегирован их nameserver'ам.

sjinks ★★★
(18.02.17 13:44:18 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Перенос ключей между ssh серверами и gitolite

Security

Авторизация по SSL-сертификатам и их отзыв

→

Похожие темы