Questo è possibile con SSLsplit?

3

SSLsplit supports plain TCP, plain SSL, HTTP and HTTPS connections over both IPv4 and IPv6. For SSL and HTTPS connections, SSLsplit generates and signs forged X509v3 certificates on-the-fly, based on the original server certificate subject DN and subjectAltName extension. SSLsplit fully supports Server Name Indication (SNI) and is able to work with RSA, DSA and ECDSA keys and DHE and ECDHE cipher suites. Depending on the version of OpenSSL, SSLsplit supports SSL 3.0, TLS 1.0, TLS 1.1 and TLS 1.2, and optionally SSL 2.0 as well. SSLsplit can also use existing certificates of which the private key is available, instead of generating forged ones. SSLsplit supports NULL-prefix CN certificates and can deny OCSP requests in a generic way. For HTTP and HTTPS connections, SSLsplit removes response headers for HPKP in order to prevent public key pinning, for HSTS to allow the user to accept untrusted certificates, and Alternate Protocols to prevent switching to QUIC/SPDY. As an experimental feature, SSLsplit supports STARTTLS mechanisms in a generic manner.

Significa che posso copiare un certificato da un client (Firefox integrato, Android, ecc.), quindi eseguire SSLsplit utilizzando il certificato copiato? Quindi posso controllare il traffico da dispositivi e programmi che utilizzano certificati personalizzati e non ti permettono di caricare i tuoi?

    
posta user6769219 28.09.2017 - 21:08
fonte

2 risposte

3

La tua domanda di

Does this mean I can copy a certificate from a client(Firefox's built in store, Android's, etc.)

ha una risposta:

SSLsplit can also use existing certificates of which the private key is available, instead of generating forged ones.

Poiché non hai le chiavi private per i certificati CA nel negozio integrato non puoi utilizzarle.

    
risposta data 28.09.2017 - 21:22
fonte
1

No, non è così. La frase in grassetto «SSLsplit può anche utilizzare i certificati esistenti di cui è disponibile la chiave privata, invece di generare quelli forgiati». Descrive l'uso dei certificati server che controlli. Se si desidera intercettare e registrare SSL / TLS su un server sotto il proprio controllo, si ha accesso al certificato e alla chiave del server e si può dire a SSLsplit di utilizzarli direttamente invece di falsificare i certificati al volo. Dalla pagina di manuale sslsplit(1) :

   -t certdir
      Use  private  key,  certificate  and  certificate chain from PEM
      files in certdir  for  connections  to  hostnames  matching  the
      respective  certificates,  instead  of using certificates forged
      on-the-fly.  A single PEM file must  contain  a  single  private
      key,  a  single certificate and optionally intermediate and root
      CA certificates to use as certificate  chain.   When  using  -t,
      SSLsplit will first attempt to use a matching certificate loaded
      from certdir.  If -c and -k are also given, certificates will be
      forged on-the-fly for sites matching none of the common names in
      the certificates loaded from  certdir.   Otherwise,  connections
      matching  no  certificate  will  be  dropped, or if -P is given,
      passed through without splitting SSL/TLS.
    
risposta data 31.10.2018 - 17:05
fonte

Leggi altre domande sui tag