但是要使MITM正常工作,除了安装证书之外,还必须有人代理请求,对吗? ISP将扮演这个角色吗?
我想连接到Facebook。代理欺骗了Facebook的证书吗?
如何工作?
根据MITM方案访问Facebook并从浏览器查看证书,MITM证书是否可见?
#1 楼
它们似乎使用中间SSL Bump代理。
首先,它用作透明代理,这意味着它将以静默方式将所有HTTPS通信重定向到SSL Bump代理服务器。
您必须安装并接受代理的证书颁发机构证书即可完成这项工作。
完成后,每个SSL连接都会从您的主机建立到SSL Bump Proxy,并通过即时生成的证书重现真实的证书属性。看看(并关心证书颁发者和有效期的开始)
,然后,该代理假装为接收您的请求的目标网站(Facebook),
它复制了您的请求(假装为成为您自己)访问真实网站
,它会收到真实网站的答复。
现在,代理可以存储请求和/或答复(如果已构建)。
然后将答案转发给您的浏览器。
ISP会扮演这个角色吗?
可能是的,但是它可以在流量离开国家之前位于任何地方。 />
是否可以看到MITM证书?
是的,因为这些证书大多是即时生成的,因此请查看“有效期不早于”(在这种情况下约为请求前1天)和“证书颁发者”(在这种情况下:
No data
而不是DigiCert Inc
)。要进行检查,请访问其他网站并检查每个证书。如果您始终看到相同的
Issuer
,并且对于您访问的每个网站,您总是会看到与第一个请求间隔相同的Not before
... 参考一下:Google的发行人是
Google Trust Services
,Facebook使用的是DigiCert Inc
依此类推...以您自己的引用为例。对于您很了解的网站(例如,您知道是否可以更新SSL证书以及何时更新),可以使用
fingerprints
来验证证书。做什么
转到浏览器的
config/preference
-> security
-> show/manage SSL certificates
和delete/drop/untrust
不需要的证书(在这种情况下,搜索No data
或KZ
)。当然,一旦将其删除,您将无法访问
您可以尝试使用某些VPN(公共或专用),但是我不知道如何处理除HTTP之外的其他连接。甚至通过HTTP的VPN都可能起作用,直到官方代理sysadmin看到您的加密流为止。
您可以通过其他方式(卫星,无线电频率,专用线...)连接到Internet。 。
使用其他硬件,并在连接到该网络时注意活动。
关于图片:
找到了这张图片在https://bugzilla.mozilla.org/show_bug.cgi?id=1567114处并进行了下划线编辑
蓝色:在顶部,图片的日期,我想在连接和附近屏幕截图。右边的
Not before
似乎仅在屏幕截图之前的24小时存在。 (我认为整个图片是在最后一张cert截图之后的几分钟内完成的,而这是在连接后几秒钟内完成的,但是我不确定。)橙色:
certificate issuer
-在左侧,真实红色:此标记在我编辑之前已经存在-您可以看到
No data
而不是KZ
,但该字段也可能是假的!/>
,所以确保在完全不同的域上不使用同一证书颁发机构是一个很好的指示。 (即:如果您在接触Microsoft时看到的是与Google或Facebook相同的发行人,则出问题了!)
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
19年7月25日在23:34
评论
它的工作方式是这样的:安装了CA后,无论目的地为何,都可以解密您的安全流量。那么,哈萨克斯坦的用户如何在他们的浏览器/ OS信任库中最终获得该证书?
@Navin如链接中所述,ISP与最终用户联系并告诉他们下载并安装该证书。我不了解哈萨克语,但是我猜他们会告诉用户这样做以使错误消息消失,该错误消息现在出现在所有HTTPS网站上。
很高兴这是我没有的一个问题。
怎么可能在没有任何人注意的情况下通过代理进行TLS ?、中间人Blue Coat代理SSL或什么?,如何截获我自己的HTTPS流量?,公司中的SSL代理服务器如何工作?,如何防止代理服务器进行HTTPS数据包检查?等。