Hogyan véd az SSL használata a DNS-hamisítás ellen? mivel a DNS alacsonyabb szinten van, és mindig ugyanúgy működik, függetlenül attól, hogy a felhasználó HTTP vagy HTTPS webhelyet látogat-e.
Hogyan véd az SSL használata a DNS-hamisítás ellen? mivel a DNS alacsonyabb szinten van, és mindig ugyanúgy működik, függetlenül attól, hogy a felhasználó HTTP vagy HTTPS webhelyet látogat-e.
Tegyük fel, hogy sikerült megmérgeznie a securesite.com DNS-gyorsítótárát egy Ön által irányított IP-vel. Most, amikor az ügyfél meglátogatja a https://securesite.com webhelyet, az IP-címére változik. Az SSL kézfogási folyamat részeként a szervernek érvényes tanúsítványt kell küldenie a securesite.com webhelyhez, amely tartalmazza a nyilvános kulcsot.
Ezen a ponton 2 lehetőség áll rendelkezésre.
1) Küldje el a jogos tanúsítványt. Ezt ellenőrizni fogjuk, mivel a tanúsítványt megbízható CA írja alá. Ezután az ügyfél a nyilvános kulcs segítségével titkosítja a fő titkot. Ezen a ponton meghibásodik, mert a privát kulcs nélkül nem lehet visszafejteni a fő titkot, és így nem lehet befejezni a kapcsolat beállítását.
2) Küldjön saját aláírású tanúsítványt. Mivel azonban nem egy megbízható hitelesítésszolgáltató írja alá, egy figyelmeztetés jelenik meg az ügyfél böngészőjében. Ha az ügyfél mégis úgy dönt, hogy folytatja, akkor sikeresen végrehajtotta a támadást.
A DNS-hamisítás általában nem fog működni a HTTPS-webhelyeken, kivéve, ha az ügyfél úgy dönt, hogy figyelmen kívül hagyja a figyelmeztető jeleket, vagy ha sikerül megszereznie a webhely privát kulcsát.
Tegyük fel, hogy DNS-t hamisít egy webhelyen, és átirányítja a felhasználókat egy általad irányított szerverre. Ez lehetséges, de valószínűleg nincs haszna, ha a felhasználók meglátogatják a webhely https verzióját, mivel Ön nem rendelkezik az általa hamisított webhely privát ssl kulcsával, és áldozata nem fog tudni létrehozni ssl kapcsolatot az Ön hamis webhelyével. / p>
Valami hasonló lehetőség alternatívája az sslstrip és a dns2proxy használata, de ez egy másik téma.