#security #ssl #https #sha256 #man-in-the-middle
Вопрос:
1 На моем устройстве Android установлено приложение, которое показывает, был ли изменен отпечаток пальца SHA256. Это часто показывает, что он был изменен, когда я запускаю его YouTube.com
, и он однажды показал Instagram.com
. Я попытался использовать VPN, но после этого он не появился.
Приложение в основном говорит, что оно обнаруживает перехват SSL веб-трафика, который расшифрует зашифрованный сеанс. Тест выполняется путем сравнения отпечатка пальца сертификата HTTPS веб-сайта на вашем устройстве с отпечатком пальца, показанным на внешнем сервере. Мне любопытно, действительно ли это вызывает беспокойство, так как я часто делаю частные видеозвонки в Instagram. Они записываются или что-то еще без моего ведома?
PS: У меня нет никакого сомнительного приложения на моем устройстве.
Комментарии:
1. Кроме того, если моя сеть была взломана, какими способами я могу узнать об этом дальше?
Ответ №1:
Проверьте фактический сертификат, который возвращают сайты. Срок действия сертификатов истечет через некоторое время, что означает, что они будут заменены новыми версиями.
Кроме того, более крупные сайты с несколькими центрами обработки данных, такие как YouTube (Google) и Instagram (Facebook), могут даже использовать разные сертификаты для разных регионов. Это объясняет, почему он не отображается при использовании VPN. Также из-за IP-маршрутизации, специальных конфигураций серверов, … вы можете в конечном итоге подключаться к разным серверам/регионам (с разными сертификатами) изо дня в день или около того.
Предполагая, что сертификат правильно подписан, действителен и не отозван, вы должны быть в порядке, даже если отпечаток пальца изменится. Чтобы злоумышленники могли выполнить атаку «человек посередине» с помощью действительного SSL, им либо самим потребуется действительный сертификат (который будет отозван), доступ к серверам сайта (что является проигрышной причиной), либо добавить вредоносный корневой сертификат на ваше устройство (что является совершенно другой проблемой).
Тест выполняется путем сравнения отпечатка пальца сертификата HTTPS веб-сайта на вашем устройстве с отпечатком пальца, показанным на внешнем сервере.
Имейте в виду, что у этого внешнего сервера также может быть другой/устаревший отпечаток пальца по сравнению с вами по любой из вышеперечисленных или других причин.
Комментарии:
1. Спасибо. Я проверил это еще раз, и что происходит, так это то, что теперь всякий раз, когда я подключаюсь к VPN, он сразу не показывает никаких изменений в сертификате. через некоторое время он тоже начинает отображаться в VPN. Это серверная вещь, о которой вы говорите, или настоящий Mitm?
2. Еще одна вещь; я проверил, и отпечаток пальца, который он показывает, на самом деле отличается от отпечатка пальца сайта
3. правка: не каждый раз отпечаток пальца часто остается неизменным.
4. Пока ваш надежный браузер (например, Chrome) не жалуется на сертификат, все в порядке. Вы можете видеть здесь , например, что
GTS CA 1C
эмитент Google выдает несколько сертификатов в неделю. Как я уже сказал, изменение отпечатка пальца может быть индикатором MitM, но, скорее всего, является ложноотрицательным.5. Хорошо, приятель. Большое спасибо