Из того, что я читаю в блоге Брюса Шнайера, атаки «человек посередине» (MITM) являются обычным явлением для соединений https . Агенты атаки - ваш интернет-провайдер и корпоративные ИТ-специалисты.
Как настроить Chrome таким образом, чтобы при общении с каким-либо веб-сайтом через соединения https я мог знать, что применяемое шифрование защищено от атак MITM, исходящих от узлов в сети, или, по крайней мере, Chrome предупреждает меня, когда кто-то пытается это сделать MITM-атака?
Чтобы избежать типа "атаки", описанного в этом сообщении в блоге, просто не используйте "облачные" браузеры. Облачный браузер напрямую не общается с веб-сайтами; вместо этого он использует своего рода прокси-сервер (которым в данном случае управляет Nokia) для доступа к веб-сайтам от своего имени. Прокси-сервер устанавливает SSL-соединение с сайтом, получает и расшифровывает страницы перед отправкой их вам.
Чтобы защититься от других видов атак SSL MitM, вам необходимо убедиться, что сертификат сайта является подлинным: он действительно принадлежит сайту, а не злоумышленнику, маскирующемуся под сайт. В принципе, тот факт, что сертификат подписан доверенным центром сертификации, должен обеспечить достаточную уверенность в том, что они проверили подлинность сертификата. На практике ЦС иногда допускают ошибки, и злоумышленники могут получить подписанные "подлинные" сертификаты для высококлассных доменов.
Перспективы могут предупредить вас, когда сайт представляет вам другой сертификат, чем тот, который он представляет другим, что может быть признаком того, что вы подключены к атакующему MitM, а не к реальному серверу. Однако это работает, запрашивая у нотариальных серверов Perspectives информацию о каждом домене, который вы посещаете с использованием HTTPS, чтобы эти серверы могли узнать, какие домены вы посещаете.
Сертификат Патруль может предупредить вас, когда сайт сейчас представляет вам другой сертификат, чем в прошлом, что также может указывать на атаку MitM. Это позволяет не раскрывать, какие домены вы посещаете, третьим лицам, но также более склонно к ложным срабатываниям, поскольку сайты время от времени меняют свои сертификаты.
В корпоративной среде ваш ИТ-отдел может действовать как частный центр сертификации и (внутренне) создавать сертификаты для внешних доменов. В этой ситуации ваш браузер настроен (ИТ-отделом) для доверия сертификатам от корпоративного ЦС. Когда вы пытаетесь подключиться к внешнему сайту, ваше соединение направляется на корпоративный прокси-сервер, который представляет один из тех внутренних поддельных сертификатов, которые утверждают, что это сайт, который вы пытаетесь посетить. Ваш браузер считает, что он общается с реальным сайтом, но на самом деле он общается с прокси.
Атака такого рода возможна только в том случае, если злоумышленник может настроить ваш браузер так, чтобы он доверял ЦС, чего по умолчанию не будет. Обычный пример - корпоративная сеть с ИТ-отделом в качестве "злоумышленника", но это также может произойти на персональном компьютере, зараженном вредоносным ПО. (Конечно, если на вашем компьютере есть вредоносное ПО, оно может подслушивать ваш просмотр более напрямую, без необходимости использования MitM.)
Перспективы обнаружат такого рода атаки, поскольку вы видите внутренний поддельный корпоративный сертификат, в то время как все за пределами вашей корпоративной сети видят настоящий. Сертификат Патруль не будет, если ваш компьютер не перемещается между корпоративной сетью и внешней сетью, и вы пытаетесь посетить один и тот же сайт с обеих сторон.
