In un MITM-Attack posso scambiare il certificato del server con uno che ho creato da solo con strumenti come MITMProxy o SSLSplit . Ma questo funziona bene solo quando ho installato un falso certificato CA nel browser delle vittime, altrimenti è identificato come un falso certificato.
Sarebbe possibile creare certificati falsi che sembrano essere emessi dalla CA originale e quindi falsificare la risposta OCSP in modo che il certificato sembri valido?
OCSP è un modo per la CA di INVALIDARE certificati specifici. Un browser controllerà anche la firma del certificato fornito contro il certificato radice della CA (possibilmente in pochi passaggi, la catena di certificazione), questo viene fatto completamente localmente.
Quindi, in breve, non è possibile rendere un certificato falso un aspetto valido senza sostituire il certificato radice della CA nel browser degli utenti. (Solo un certificato nella catena non dovrebbe essere sufficiente.)
AFAIK, non dovrebbe essere possibile creare un certificato che "sembra essere rilasciato dalla CA originale" in modo tale che si verifichi anche una richiesta OCSP. Nel punto in cui avviene il controllo (se accade a tutti, dopotutto è considerato ad esempio praticamente interrotto sul web perché i server non sono affidabili nella gestione delle richieste) il certificato dovrebbe già avere una catena di certificati valida, una con una CA nel tuo keystore (BTW, non necessariamente gestito dal browser) in alto.
Leggi altre domande sui tag certificates man-in-the-middle certificate-authority ocsp