No, è molto più semplice e diretto.
Qualsiasi Certification Authority può impersonare (o permettere l'impersonificazione di) qualsiasi sito web sotto HTTPS, rilasciando un certificato per il dominio.
Chi controlla una CA ha solo bisogno di riuscire a dirigere il traffico verso il server impostore, ad esempio attraverso DNS compiacenti (magari installati nel browser) o anche solo attraverso le rotte IP, possibile attraverso il controllo degli Autonomous Systems (AS) che determinano collettivamente le rotte attraverso il protocollo BGP.
Questo secondo metodo è alla base di molte grandi CDN: aziende come Google, Facebook, Amazon, Microsoft o Cloudflare usano questo sistema per avere diversi sever con lo stesso IP in diversi continenti.
Dunque controllare una CA riconosciuta dal browser significa poter impersonare qualsiasi sito.
@Shamar @cybersecurity @informapirata @eff
ma questo non è inspection del traffico, per favore
No, è proprio un Man In The Middle.
E per inciso è anche uno dei metodi usati per tracciare il traffico all'interno di certe aziende: installo un root certificate nei portatili aziendali e faccio passare TUTTO il traffico da un transparent proxy che analizza (ed eventualmente sostituisce) le richieste.
Ma non fidarti di me: studiati i limiti del sistema di CA e scoprirai che o sanno tutti.
Qualsiasi CA può impersonare (fare un MitM) di qualsiasi sito sotto HTTPS anche quelli con certificati di altre CA, purché sia in grado di ottenerne le richieste.
@Shamar @cybersecurity @informapirata @eff
ho studiato qualcosa di nuovo e sono grato di questa possibilità.
ma ci tengo a precisare che la CA non fa quello che indichi, è solo un elemento del kit.
la CA firma o revoca certificati, punto.
che poi ci sia il modo di avere un proxy (anche trasparente) che usa la CA per firmare certificati temporanei per fare un perfetto MitM è un altro discorso.
Appunto, una CA firma e revoca certificati.
Quindi chi controlla una CA (e DNS o sufficienti AS intorno ad un obbiettivo) può intercettare (e anche alterare) il traffico (da/verso l'obiettivo).
Nel contesto di cui parlavamo (governo russo che distribuisce browser modificati/root certificates) questo significa poter registrare ed ispezionare il traffico degli utenti (in chiaro) tramite un MitM.
Poi sì, essere CA non basta per tirar su un MitM per HTTPS: è condizione necessaria ma non sufficiente.
