Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером, auto_tips, 21-Окт-23, 13:33 [смотреть все]Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена. CAA [[https://letsencrypt.org/docs/caa/ поддерживается]] в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить: для привязки домена example.com к удостоверяющему центру letsencrypt.org: example.com. IN CAA 0 issue "letsencrypt.org" для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890 example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890" DNS-сервер должен быть размещён на отдельной сервере, не подверженном MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать протокол DNSSEC, который помешает атакующим подменить DNS-ответы с записью CAA. Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический мониторинг отсутствия подмены сертификатов, и подключиться к сервисам мониторинга CT-логов (Certificate Transparency, отражают выданные удостоверяющими центрами сертификаты) или вручную отслеживать появление незапрошенных сертификатов в CT-логах (https://crt.sh/). Также рекомендовано выбирать размещённых в разных странах операторов хостинга, регистрации домена, DNS и удостоверяющих центров. URL: https://www.devever.net/~hl/xmpp-incident https://www.devever.net/~hl/acme-caa-live Обсуждается: http://www.opennet.me/tips/info/3232.shtml
|
- Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером, Аноним, 13:33 , 21-Окт-23 (1)
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, Аноним, 22:17 , 21-Окт-23 (4) +4
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, OpenEcho, 13:54 , 22-Окт-23 (5)
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, OpenEcho, 14:15 , 22-Окт-23 (6) +2
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, OpenEcho, 14:28 , 22-Окт-23 (7) –1
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, OpenEcho, 14:35 , 22-Окт-23 (8)
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, OpenEcho, 15:08 , 22-Окт-23 (9) +1
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, VecH, 04:56 , 25-Окт-23 (20)
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, придурок, 21:06 , 25-Окт-23 (22)
- Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером, Tron is Whistling, 09:50 , 29-Окт-23 (27)
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, НоуНэйм, 15:32 , 12-Ноя-23 (34)
- Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером, Аноним, 17:08 , 17-Ноя-23 (37)
|