Recentemente ho provato a usare Fiddler2 da un fornitore di terze parti Telerik. Durante la decrittografia del traffico HTTPS della mia rete, mi ha chiesto di installare il proprio certificato di origine nel mio sistema operativo Windows:
Dai uno sguardo allo screenshot qui sotto:
È sicuro affidarsi a questo tipo di certificati radice? Quali sono le misure preventive da adottare quando si installano tali certificati radice?
È sicuro finché capisci le implicazioni.
Fiddler agisce come un proxy / man nel mezzo per intercettare e decrittografare il traffico tra te e il bersaglio.
Per i siti SSL, lo fa generando dinamicamente un certificato SSL con il nome della destinazione. Il problema è che il tuo browser non si fida dei certificati emessi da Fiddler, da qui il suggerimento di installare il certificato Root Fiddler.
Il motivo potrebbe essere che se un utente malintenzionato genera un certificato SSL firmato dalla radice di Fiddler per un sito come ... diciamo .... www.bankofamerica.com - il tuo browser si fiderà automaticamente del " falso "certificato.
Il modo in cui comprendo che Fiddler (e proxy simili come Burp o OWASP ZAP) funziona è che ogni installazione genera un certificato radice univoco che poi usa per generare certificati al volo quando lo si assegna come proxy, in modo da poter intercettare e modificare il traffico che scorre su questa connessione (lo scopo del software).
Come il certificato radice. generato è univoco per installazione, l'unico modo in cui qualcuno potrebbe abusare di ciò sarebbe ottenere una copia di esso e quindi usarlo per creare un certificato di cui la macchina si fida. Per fare ciò, avrebbero bisogno dell'accesso autenticato al PC per ottenere l'accesso al certificato.
Quindi, se si ha il rischio di utenti malintenzionati che possono ottenere l'accesso autenticato al proprio computer, è possibile che non si voglia fidarsi di questa root. Ma se hanno questo accesso la tua sicurezza contro quegli aggressori è comunque in un bel posto.
In generale, mi fido dei certificati radice generati dal mio strumento proxy di utilizzo, in quanto ciò mi rende molto più utile.
Il "DO NOT TRUST" è in realtà nel certificato stesso creato da Fiddler. Fiddler è in grado di interpretare le connessioni HTTPS agendo come un proxy HTTPS. Quando ci si connette a un sito tramite HTTPS, Fiddler produce un certificato che afferma di provenire da quel sito e quindi accede al sito reale. In questo modo, Fiddler può vedere il traffico, ma il tuo browser funziona ancora come se fosse normale.
Il problema con la fiducia è che la chiave privata per quel certificato di root è creata dall'eseguibile di Fiddler e non è particolarmente ben protetta. Se ti fidi di esso come certificato di origine, chiunque possa accedere a quella chiave può convincere il tuo computer che qualsiasi sito che desiderano è un sito valido.
Un certificato di terze parti non è intrinsecamente più o meno sicuro di qualsiasi certificato CA che viene installato con il tuo browser o sistema operativo. Tutto ciò che conta è la sicurezza della chiave privata per quell'autorità root e le politiche che l'autorità radice ha per la firma dei certificati. Affidandosi a un certificato radice, si ha fiducia che chiunque abbia accesso alla chiave privata corrispondente valga la pena di decidere se il sito Web al quale si accede è valido.
Con una chiave privata relativamente non protetta, come quella di Fiddler, questo non è mai il caso, da qui l'avvertimento di Fiddler.
Leggi altre domande sui tag proxy certificates man-in-the-middle certificate-authority decryption