Respectez les avertissements de certificat de navigateur en raison d'un défaut DNS

Il y a quelques jours, j'ai parlé d'une faille fondamentale dans le protocole DNS (Domain Name Service) qui gère la recherche depuis les noms lisibles par l'homme vers des adresses IP (Internet Protocol) traitées par ordinateur., conseillant à tous les lecteurs de déterminer leur vulnérabilité et d'agir.

Il y a encore un avertissement que je devrais transmettre. Parce que cette faille permet à un attaquant d'empoisonner le DNS pour toute personne dont le système se connecte à un serveur DNS non corrigé, un attaquant peut également contourner une protection intégrée aux sessions Web cryptées

Le cryptage Web utilise SSL / TLS (Secure Sockets Layer / Transport Layer Security), une norme qui repose sur trois méthodes pour s'assurer que votre navigateur se connecte uniquement à la bonne partie à l'autre extrémité pour un lien sécurisé.

[Plus d'informations: Meilleures boîtes NAS pour le streaming multimédia et la sauvegarde], chaque serveur Web qui utilise SSL / TLS doit posséder un certificat, soit un par serveur, soit un certificat de groupe. Ce certificat identifie le serveur.

Deuxièmement, le certificat lie le nom de domaine du serveur. Vous pouvez obtenir un certificat pour www.infoworld.com et l'utiliser avec www.pcworld.com.

Troisièmement, l'identité de la partie qui demande le certificat pour un nom de domaine donné est validée par une autorité de certification. Une entreprise qui exploite une telle autorité valide l'identité de la personne et de l'entreprise qui demande un certificat, puis crée un certificat avec sa bénédiction liée à la cryptographie. (De plus hauts niveaux de validation sont maintenant disponibles, c'est pourquoi vous voyez une grande zone verte dans l'emplacement déposé des dernières versions d'Internet Explorer et Firefox, qui indiquent qu'une validation étendue a été effectuée.)

Ces autorités de certification ont elles-mêmes un ensemble de certificats qui prouvent leur identité, et qui sont pré-installés dans les navigateurs et les systèmes d'exploitation. Lorsque vous vous connectez à un serveur Web, votre navigateur récupère le certificat public avant de démarrer une session, confirme que l'adresse IP et le nom de domaine correspondent, valide l'intégrité du certificat, puis vérifie la validité de la signature de l'autorité. tout test échoue, vous êtes averti par votre navigateur. Avec la faille DNS, un attaquant pourrait rediriger votre session bancaire ou de commerce électronique vers leurs versions imitées de sites sécurisés gérés par diverses entreprises, et votre navigateur ne remarquerait pas la différence d'adresse IP, car le nom de domaine dans le faux certificat correspondrait à l'IP

Toutefois, votre navigateur note qu'il n'y a pas de signature d'autorité de certification de confiance attachée. (Jusqu'à présent, aucune ingénierie sociale réussie de ces autorités n'est liée à la faille DNS.) Votre navigateur vous indiquait que le certificat était auto-signé, ce qui signifiait que l'attaquant utilisait un raccourci et laissait la signature d'une autorité, ou utilisé une autorité non approuvée, que l'attaquant a créé lui-même. (Il est trivial de créer une autorité en utilisant des outils open source, ce qui est utile dans les entreprises et les organisations, mais ces autorités indépendantes ne sont validées par les navigateurs que si vous installez séparément un certificat sur ces machines..)

Mon avertissement ici est que si vous obtenez un certificat ou un avertissement SSL / TLS de votre navigateur, arrêtez la connexion, appelez votre FAI ou votre service informatique et n'entrez aucune information personnelle ou d'entreprise. >