Remminaを使用して、インターネット経由でRDPサーバーに接続しています。初めてサーバーに接続したとき、証明書を受け入れる必要がありました。初めて接続して以来、その必要はありませんでした。
現在、このサーバーを長期間使用した後、「証明書が変更されました!詳細:」というアラートが表示されます。古い指紋と新しい指紋が表示されます。彼らは違う。
なぜこれが起こっているのか、そしてセキュリティへの影響は何か。誰かが私のサーバーにアクセスした可能性はありますか?
ソフトウェア構成を変更していません。また、サーバーまたはクライアントデバイスで最近の更新を行っていません。これは、このサーバーへの接続にも使用されている他のクライアントデバイス間で一貫しています。
私の場合、以前の証明書は有効期限が切れており、サーバーは新しい証明書を生成しました。これは、元の証明書が作成されたときと比較して、証明書の変更のタイミングに基づくケースであると予測しました。次に、新しい証明書を受け入れ、ログインし、サーバーに保存されている証明書と、これらの変更が行われたことを示すサーバーログを検査して、これが事実であることを確認しました。指紋が一致しました。
私が見る限り、リモートコンソール(sshなど)、ftpサーバーなど、サーバーへの別のアクセス方法がない限り、新しい証明書を受け入れてログインしないと、この理論を検証することはできません。またはおそらく逆シェル。
RDPサーバーへの接続でセキュリティを重視する場合は、証明書に有効期限を手動で設定するか、カレンダーにリマインダーを設定する必要があります。
これが中間者攻撃であり、私が証明書を受け入れてログインしていた場合、攻撃者は私のログイン資格情報だけでなく、私のセッションとその後のセッションの完全なキャプチャ機能も持つことになります。これを傍受サーバーに接続します。
もちろん、インターセプトサーバーに接続している可能性はわずかですが、攻撃者は、ログインしてからサーバー証明書を取得するまでの間にサーバーの証明書を更新することができました。または、インターセプトサーバーがクライアントRDPビューアに送信されるグラフィックデータを編集して、インターセプトサーバーのフィンガープリントと一致するようにすることもできます。私はこれらが非常にありそうもないと思いますが。
同じ問題がありましたが、証明書は変更されていません。 Remminaはsha265フィンガープリントを報告していましたが、sha1サムプリントが保存されていました。証明書のsha265サムプリントを次の方法で確認できました。
openssl x509 -noout -fingerprint -sha256 -inform der -in [exported-certificate]