¿Es seguro el tráfico https a través de una red inalámbrica sin cifrar?

21

Esto es algo que me he preguntado durante mucho tiempo. Si, por ejemplo, estoy usando Gmail a través de https, ¿alguien puede leer mis conversaciones y correos electrónicos de mensajería instantánea si uso una red inalámbrica no segura? Supongo que los datos serían seguros, ya que está utilizando una conexión cifrada. ¿Hay algo más que considerar?

wireless-networking security encryption davidscolgan
fuente
3
Artículo relacionado de lectura obligatoria
Sathyajith Bhat
1
Creo que fue el artículo lo que lo impulsó a hacer esa pregunta sobre este tema.
JFW

Respuestas:

21

Creo que alguien aún podría realizar un ataque de hombre en el medio si está usando wifi no seguro (o incluso wifi seguro, si encuentra una forma de permitirlo). Es por eso que siempre debe verificar que la conexión SSL aparezca en verde en la barra de direcciones y / o verificar manualmente que el certificado sea válido cuando se utiliza wifi no seguro. Suponiendo que el certificado es correcto, el SSL debe proteger sus datos.

Darth Android
fuente
77
si realmente está encriptado SSL con certificados SSL no comprometidos debidamente comprobados, el ataque MITM es imposible.
ewanm89
@ ewanm89 Es por eso que repito que hay que verificar el certificado cuando se hace banca / correo electrónico / cualquier cosa sensible a través de redes no seguras. Si no nota que el certificado no se valida, MITM es posible. Afortunadamente, los navegadores web en estos días hacen que sea muy difícil no darse cuenta.
Darth Android
1
Para agregar a @ ewanm89, no es imposible ser un MITM y detectar paquetes, simplemente imposible leerlos porque están encriptados.
De acuerdo, eso es partir pelos. MITM y tener un paquete que se parezca a datos aleatorios es tan inútil como no hacerlo en primer lugar en la mayoría de los casos. Pero sí, también se puede rastrear a qué dominio se conecta una computadora, pero no se conocen los datos reales enviados / recibidos. Además, si vamos a ser completamente honestos, en teoría podría forzar con fuerza bruta las teclas AES con suficiente potencia de cálculo (pista, se necesita mucho).
ewanm89
Además, supongo que la CA no está comprometida, uno verifica que la CA que los administradores del sitio de hecho fueron a esa CA y les preguntó a los administradores cuál debería ser la huella digital del certificado por otro canal. Como se puede ver, es raro verificar adecuadamente un certificado SSL (aunque se hace en aplicaciones como openvpn donde el administrador distribuye los certificados antes de la conexión, el cliente también lo verifica por completo).
ewanm89
2

Creo que tu razonamiento es correcto; para leer su información tendrían que descifrar el SSL. Simplemente habría un nivel menos de cifrado para que se rompan, para acceder a los datos cifrados.

PeterT
fuente
2

Siempre y cuando su DNS y los servidores de clave raíz SSL de su navegador sean válidos, un atacante en la misma red inalámbrica no segura ya que no puede acceder a su canal SSL con un servidor.

El DNS es la gran vulnerabilidad en esta área: si un atacante infecta su cadena de servidores DNS, puede hacer que todo parezca seguro pero de hecho inseguro.

Pero si su pregunta es si un pirata informático aleatorio en un aeropuerto o cafetería podrá piratear su tubería SSL a su banco, la respuesta es casi seguro que no.

stevemidgley
fuente
1

De todos modos, tenga en cuenta que solo los datos dentro de la secuencia http están encriptados pero las URL no lo están, por lo que tal vez alguien pueda suplantarlo.

Ignacio Soler García
fuente
2
Esto simplemente no es cierto. Todo en la URL solicitada, excepto el nombre de dominio, se cifra antes de enviarse a través de la conexión segura. Eso incluye la solicitud GET en sí.
Andrew
1

También debe tener en cuenta que las páginas iniciales que no son SSL no están protegidas.

La mayoría de los sitios seguros que visita lo redirigirán de una URL http a una URL https cuando vaya a la página de inicio de sesión, pero en una red no confiable, un hombre en el medio podría enviarlo a otro lugar.

Tenemos en cuenta que se puede visitar http://firstoverflowbank.com , que por lo general se le redirigirá a https://login.firstoverflowbank.com pero en la red no segura se establece en lugar de enviarle a https://login.flrstoverflowbank.com vez . Es probable que no lo note, incluso si se toma el tiempo de verificar y el navegador mostrará todo como seguro.

Para evitar este tipo de cosas, marque o escriba https: // url directamente, nunca confíe en esa redirección.

Andrés
fuente