RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

14.8. Поддельные корневые сертификаты и атаки с отравлением кэша DNS

Атакер может получить параметры доступа пользователя, принадлежащие web-приложению жертвы, защищенной HSTS через фальсифицированный корневой сертификат CA в сочетании с атакой отравления кэша DNS.

Например, атакер может сначала убедить пользователей web-приложения жертвы (которое защищено политикой HSTS), установить версию корневого CA-сертификата атакера имеющего целью ложно представлять СА web-приложения жертвы. Это может быть выполнено путем посылки пользователям фишинг-сообщения с таким сертификатом, который их браузеры могут предложить установить, если они были кликнуты.

Затем, если атакер может осуществить атаку на DNS-серверы пользователей, (напр., путем отравления кэша) и включить политику HSTS для своего фальшивого web-приложения, в результате браузеры пользователей воспримут web-приложение атакера вместо легального web-приложения.

Этот вид атаки использует векторы, которые находятся вне сферы ответственности HSTS. Однако, эффективность таких угроз может быть ослаблена путем включения в дополнение к HSTS, средств безопасности таких как расширение безопасности DNS [RFC-4033], плюс методик блокировки фишинга и ввода фальсифицированных сертификатов.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.