На данный момент в некоторых тор браузерах при заходе на сайт АЧК-Белаурсь возникает ошибка о невалидном сертификате. При этом существует возможность добавить исключение SSL сертификата и пользоваться сайтом дальше.
Делать это нельзя ни в коем случае!
Подмена сертификата при https подключении к сайту делается для вклинивания злоумышленника в процесс шифрования между клиентом и сервером. Такая атака называется Man In The Middle (человек посредине). В таком случае ваше шифрованное соединение с нашим сайтом скомпрометировано. Нападающий не сможет деанонимизировать вас в сети Tor, но сможет видеть пользовательскую активность на нашем сайте. Также появляется возможность модифицировать страницу сайта и добавлять свой собственный контент. К примеру, вредоносный код, если javascript активирован для нашего сайта в вашем Tor-браузере.
Помимо этого, нападающий может попытаться украсть логин и пароль администратора сайта, если тот не обращает внимание на подобные ошибки от браузера. Таким образом можно получить полный доступ к сайту.
Как такое возможно в Tor-сети? При подключении к Tor-сети вы пользуетесь цепочкой нодов, которые анонимизируют вас в интернете. Последняя нода хоть и не знает ничего о вас, но ей все равно необходимо информация о том, какую информацию вы запрашивается в сети, чтобы вернуть эту информацию обратно в аномизированную цепочку, которая доставит информацию в ваш браузер. Если последняя нода (выходная нода) скомпрометирована, то владелец ноды может попробовать «отравить» ваш шифрованный трафик и вставить в шифрованное общение свой собственный сертификат.
Мы не уверены, что данная атака направлена именно против сайта АЧК-Беларусь. Наш сайт расположен на активистских серверах и вполне возможно, что атакующие пытаются найти дыру среди активистов, пользующихся структурой. SSL сертификат АЧК-Беларусь подписан Let’s encrypt и работает без добавления исключений в настройки браузера.
Мы рекомендуем оставаться осторожными и сбрасывать цепочку Tor-соединений при появлении такой ошибки (вы можете запросить новую цепочку или просто перезапустить браузер).
Источник: https://abc-belarus.org/?p=12477