Сертификат SSL для прозрачного прокси SSL MITM
Я нашел программу, в которой я нуждался: bcvi использует обратное перенаправление портов для разрешения выполнения различных команд на локальном компьютере. Это не хорошо зарегистрировано и в особенности делает серьезное предположение об установке, и в моем случае, значение по умолчанию изменяет сделанный окружать файл инициализации, конфликтовавший с обработкой переменной ТЕРМИНА в другом месте, но исходный код очевиден, и легок изменить.
Существует два подхода к MITMing SSL-трафику:
- Вы получаете единый доверенный SSL-сертификат, который использует подстановочные знаки для всего (
subjectAltName: *,subjectAltName: *. *и тд); или - Вы получаете доверенный ЦС или промежуточный сертификат и создаете доверенные сертификаты «на лету» для представления клиентам.
Первое легче сделать, но второе лучше, если вы этого не хотите. очевидно, что вы делаете, потому что сертификат будет казаться более «законным» для случайного наблюдателя.
Настоящая уловка - получить один из этих суперсециальных сертификатов. Более простой способ для легитимного прокси-сервера организации - создать собственный сертификат, подписанный вашим собственным ЦС, и распространить этот сертификат ЦС на все устройства, находящиеся под контролем вашей организации. Проблемы и ограничения этого подхода должны быть довольно очевидны.
Более изворотливый способ решения задач обычно открыт только для правительств и организаций, достаточно крупных, чтобы подорвать CA (так или иначе ...) - в этом случае, вы получаете существующий законный CA, сертификат CA которого уже почти повсеместно доверяют, чтобы выдать вам один из вышеупомянутых сомнительных сертификатов, и вы продолжаете свой веселый путь.
Этот последний метод не является теорией - существует множество случаи, когда правительства репрессивных режимов завладевают сертификатами такого типа для взлома SSL-соединений в пределах своих границ и слежки за трафиком, проходящим через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли.
Более изворотливый способ делать что-то обычно открыт только для правительств и организаций, достаточно больших, чтобы подорвать CA (так или иначе ...) - в этом случае вы получаете существующий законный CA, сертификат CA которого уже почти повсеместно доверяют, чтобы дать вам один из вышеупомянутых сомнительных сертификатов, и вы продолжаете свой веселый путь.
Этот последний метод не является теорией - есть многочисленные случаи, когда правительства репрессивных режимов овладевали такого рода сертификат для взлома SSL-соединений в пределах их границ и отслеживания трафика, проходящего через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли.
Более изворотливый способ делать что-то обычно открыт только для правительств и организаций, достаточно больших, чтобы подорвать CA (так или иначе ...) - в этом случае вы получаете существующий законный CA, сертификат CA которого уже почти повсеместно доверяют, чтобы дать вам один из вышеупомянутых сомнительных сертификатов, и вы продолжаете свой веселый путь.
Этот последний метод не является теорией - есть многочисленные случаи, когда правительства репрессивных режимов овладевали такого рода сертификат для взлома SSL-соединений в пределах их границ и отслеживания трафика, проходящего через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли.
вы получаете существующий законный CA, сертификат CA которого уже почти повсеместно доверяют, чтобы выдать вам один из вышеупомянутых сомнительных сертификатов, и вы продолжаете свой веселый путь.Этот последний метод не является теорией - существует множество случаи, когда правительства репрессивных режимов завладевают сертификатами такого типа для взлома SSL-соединений в пределах своих границ и слежки за трафиком, проходящим через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли.
вы получаете существующий законный CA, сертификат CA которого уже почти повсеместно доверяют, чтобы выдать вам один из вышеупомянутых сомнительных сертификатов, и вы продолжаете свой веселый путь.Этот последний метод не является теорией - существует множество случаи, когда правительства репрессивных режимов завладевают сертификатами такого типа для взлома SSL-соединений в пределах своих границ и слежки за трафиком, проходящим через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли.
Теоретически - существует множество случаев, когда правительства репрессивных режимов завладевали сертификатами такого типа для взлома SSL-соединений в пределах своих границ и слежки за трафиком, проходящим через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли. Теоретически - существует множество случаев, когда правительства репрессивных режимов завладевали сертификатами такого типа для взлома SSL-соединений в пределах своих границ и слежки за трафиком, проходящим через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли.