Per quanto ne so, un utente malintenzionato può intercettare un traffico crittografato aggiungendo certificati personalizzati e autorità CA nel browser di una vittima. Mi chiedo se funzioni se un sito web utilizza la chiave pubblica pinning?
Ho aggiunto il certificato di Burp a Firefox e posso accedere a Facebook senza alcun errore di certificato. Com'è possibile?
I wonder if it works if a website uses public key pinning?
Sì, lo fa. Un certificato firmato da una CA che è stato esplicitamente aggiunto all'archivio fidato non sarà interessato dai controlli di blocco. Questo viene fatto deliberatamente per consentire l'intercettazione SSL utile e legale. Tale intercettazione può essere trovata nella maggior parte dei firewall aziendali, ma anche molti AV desktop ed è necessaria per scansionare il traffico HTTPS per malware, ecc. Se ciò non fosse fatto, il delivery del malware si sposterebbe semplicemente su HTTPS (che è abbastanza economico).
Da Mozilla :
Firefox and Chrome disable pin validation for pinned hosts whose validated certificate chain terminates at a user-defined trust anchor (rather than a built-in trust anchor). This means that for users who imported custom root certificates all pinning violations are ignored.
Leggi altre domande sui tag tls man-in-the-middle