HTTPSは、有効期限が切れた証明書を使用してパブリックWi-Fi経由で安全ですか?
無料の公共Wi-Fiが利用できるホテルに宿泊しています。インターネットにアクセスするには、ウェブページにアクセスして利用規約に同意する必要がありました。このWebサイトにはセキュリティ証明書がありますが、1年以上前に有効期限が切れました。
明らかに、これはWi-FiのサインインページのIDを確認できないことを意味します。とにかくページに進んだ場合、これは他のHTTPS Webサイトのセキュリティに何らかの影響を及ぼしますか(たとえば MITM attack を有効にすることによって)?
パブリックWi-Fi経由のHTTPSで他のスレッドを読みましたが、URLを確認し、Webサイトの証明書が信頼できる場合にのみ続行すれば、問題ないようです。しかし、サインインページの期限切れ/信頼されていない証明書は、追加のセキュリティリスクをもたらしますか?
そのため、証明書の期限が切れたキャプティブポータルページにリダイレクトされました。
理論的には、この特定の接続を介して転送するデータのみがリスクにさらされます。ルールを受け入れ、最終的には個人データまたは支払いデータを提供する必要がある場合。実際、キャプティブポータルはhttps接続をまったく使用する必要がなく、おそらく気付かないでしょう。
これは追加リスクを導入するものではありません。これは、あなたがすでにパブリックで潜在的に非常に安全でないネットワークを使用しているという事実に対して、そのすべての結果を伴います。
ブラウザーを開いてポータルにリダイレクトされる前に、接続を確立した瞬間から安全でないネットワークにいたことを覚えておいてください。
有効期限が切れた証明書とは、証明書が更新されてからすぐに更新されなかったことを意味します。証明書の更新は、誰かが知らないうちに秘密鍵が盗まれた場合の予防策です。定期的に証明書を置き換えると、盗まれたキーの有用性が低下します。ただし、証明書の有効期限はかなり自由に選択できます。誰かが証明書を盗んで証明書所有者になりすますリスクは時間とともに増加しますが、そのリスクは、証明書の有効期限が切れる日に急上昇することはありません。
つまり、証明書の有効期限の警告は、Webサイトの所有者側の悪いセキュリティ慣行の兆候ですが、証明書がそれ以外で問題なくチェックアウトし、それを受け入れることを選択した場合、暗号化は有効なものと同じくらい強力です。
Moxie Marlenspike のSSLストリップのおかげで、証明書に関係なく、HTTPSはパブリックWiFi上では特に安全ではありません。
有効期限が切れていない証明書も有効期限が切れていない証明書も、侵害されない限りless-secureです。証明書のセキュリティ強度は、ハッシュタイプ+サイズ、キーアルゴ+キーサイズおよびを検証する機能で測定されます。 dateの有効期限が切れている場合-署名したCA証明書は期限切れにならないので、
- まだ確認できます
- ハッシュは同じ強度を持っているので、暗号も同じです:同じキー、同じアルゴ
期限切れの警告のみが表示されます。それは不便ですが、大丈夫です。証明書が妥協されていない場合は問題ありません。証明書が侵害された場合-直接的または間接的に-有効期限の役に立たないジャンクに関係なくになります。