Le protocole HTTPS est-il sécurisé sur le Wi-Fi public avec un certificat expiré?
Je séjourne dans un hôtel avec Wi-Fi public gratuit. Pour avoir accès à Internet, j'ai dû visiter une page Web et accepter les termes et conditions. Ce site Web possède un certificat de sécurité, mais il a expiré il y a plus d'un an.
Évidemment, cela signifie que je ne peux pas vérifier l'identité de la page de connexion au Wi-Fi. Si je continue sur la page, est-ce que cela compromet la sécurité des autres sites Web HTTPS (par exemple en activant attaques MITM )?
J'ai lu d'autres discussions sur HTTPS via le Wi-Fi public, et il semble que ce soit OK à condition de vérifier l'URL et de ne continuer que si les certificats du site sont fiables. Mais le certificat expiré/non approuvé sur la page de connexion présente-t-il des risques de sécurité supplémentaires?
Vous avez donc été redirigé vers une page de portail captif qui avait un certificat expiré.
Théoriquement, cela ne met en danger que les données que vous transférez sur cette connexion particulière, c'est-à-dire. accepter les règles et éventuellement vos données personnelles ou de paiement si vous deviez en fournir. En fait, le portail captif n'avait pas du tout besoin d'utiliser la connexion https et vous ne le remarqueriez probablement pas.
Il n'introduit pas supplémentaire de risque pour le fait que vous utilisez déjà un réseau public potentiellement très peu sûr avec toutes ses conséquences.
N'oubliez pas que vous étiez sur le réseau non sécurisé à partir du moment où vous avez établi la connexion, avant même d'ouvrir un navigateur et d'être redirigé vers le portail.
Un certificat expiré signifie simplement que le certificat n'a pas été renouvelé dès qu'il aurait dû l'être. Le renouvellement du certificat est une mesure préventive dans le cas où la clé privée est volée sans que personne ne le sache. Le remplacement d'un certificat à intervalles réguliers réduit l'utilité d'une clé volée. Mais les dates d'expiration des certificats peuvent être choisies de façon tout à fait arbitraire. Le risque que quelqu'un vole le certificat pour se faire passer pour le détenteur du certificat augmente avec le temps, mais ce risque ne monte pas en flèche soudainement le jour où le certificat expire.
Cela signifie que les avertissements d'expiration de la certification sont un signe de mauvaises pratiques de sécurité de la part du propriétaire du site Web, mais lorsque le certificat se vérifie correctement dans le cas contraire et que vous choisissez de l'accepter de toute façon, le cryptage est tout aussi fort qu'avec un certificat valide.
HTTPS n'est pas particulièrement sécurisé sur le WiFi public, quel que soit le certificat, en partie grâce à la bande SSL de M. Moxie Marlenspike .
Ni le certificat expiré ni le certificat non expiré ne sont moins sécurisés sauf compromis. La force de sécurité du certificat est mesurée en type + taille de hachage, algo + taille de clé et une capacité à le vérifier. Si la date a expiré - elle n'expire pas le certificat CA qui l'a signé, donc:
- il peut encore être vérifié
- les hachages ont la même force, donc les cryptos aussi: même clé, même algo
vous avez juste un avertissement d'expiration. C'est peu pratique, mais OK. Si le certificat reste sans compromis - ça va. Et si un certificat est compromis - directement ou indirectement - il se transforme en indésirable inutile peu importe de la date d'expiration.