homme du milieux ?

Le dimanche 23 Décembre 2012 à 05:47

ptilou

Bonjour,

Y a t'il du nouveau pour eviter ce type d'attaque ?
(sur du SSL )

Merci

Ptilou

Vos réponses

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !

Trier par : date / pertinence

Erwann Abalea

Le 23/12/2012 à 15:23 #25084022

Le dimanche 23 décembre 2012 05:47:50 UTC+1, ptilou a écrit :

Y a t'il du nouveau pour eviter ce type d'attaque ?
(sur du SSL )

Rien de bien nouveau:
- vérifier le certificat obtenu, son état de révocation, son chaîn age avec une banque de confiance, sa cohérence avec le host souhaité
- faire de l'authentification client (avec certificat)
- éventuellement faire du cert/CA/key pinning.
- si DANE est utilisé, procéder aux vérifications.

À part DANE, et dans une moindre mesure le pinning, le reste est très c lassique.

-1 Répondre en citant

Erwan David

Le 23/12/2012 à 17:09 #25084262

Erwann Abalea

Le dimanche 23 décembre 2012 05:47:50 UTC+1, ptilou a écrit :

Y a t'il du nouveau pour eviter ce type d'attaque ?
(sur du SSL )

Rien de bien nouveau:
- vérifier le certificat obtenu, son état de révocation, son chaînage avec une banque de confiance, sa cohérence avec le host souhaité
- faire de l'authentification client (avec certificat)
- éventuellement faire du cert/CA/key pinning.
- si DANE est utilisé, procéder aux vérifications.

À part DANE, et dans une moindre mesure le pinning, le reste est très classique.

Utiliser la RFC 5746 pour gérer les renégociations.

--
Les simplifications c'est trop compliqué

-1 Répondre en citant

Publicité

Poster une réponse