È possibile decrittografare il traffico HTTPS quando un uomo nel proxy centrale è già installato?

Question

È possibile decrittografare il traffico HTTPS quando un uomo nel proxy centrale è già installato?

#1 da (3 voti)
#2 da (1 voti)

3

Ho la seguente domanda riguardo alla decodifica del traffico SSL. La topologia che ho in mente è così: Utente ------- MitM Proxy -------- WebServer Nell'ambiente descritto in precedenza c'è già un proxy commerciale che sta facendo un uomo nell'attacco centrale sostituendo il certificato SSL originale del server con il proprio. Posso decifrare il traffico SSL tra l'utente e il proxy e inviarli non crittografati a una soluzione forensics / sandbox? Ho un dispositivo di tocco tra gli utenti e il proxy e sono disponibili la chiave pubblica e privata del proxy mitm.

tls

posta mihai rosca 20.08.2014 - 12:43

fonte

2 risposte

Leggi altre domande sui tag tls

Aggiungendo foto a TrueCrypt, il computer portatile con aria compressa viene rimosso dalla fotocamera in modo sicuro Proprietà della crittografia AES

score 3 · Answer 1

EDIT: se i certificati SSL proxy sono già installati sul computer dell'utente allora sì assolutamente ed ecco la risposta giusta . Altrimenti continua a leggere ...

Sì e no.

No perché sostituendo il certificato SSL del server da solo, il browser dell'utente solleverà un grosso avvertimento che il certificato non è valido e avviserà l'utente che non dovrebbe procedere.

Sì perché se l'utente decide ancora di procedere e accettare il certificato falso, sarà possibile decrittografare tutto poiché è stato crittografato con il certificato.

Alternative

Se sei in grado di installare il tuo certificato direttamente sul computer dell'utente, il suo browser non genera alcun avviso e puoi decrittografare tutto. Controlla questo link
Sostituisci semplicemente https con http. La maggior parte degli utenti non si prende il tempo di controllare che sia davvero https, quindi è un attacco MitM molto efficace.
Ottieni un certificato reale per un URL simile all'URL che hai scelto.

score 1 · Answer 2

Modifica
Come sottolinea Andrey nei commenti; questo è valido solo se la macchina utente si fida già del cert SSL sostitutivo (più accuratamente, il cert proxy come certificato radice o il cert proxy firmato da una radice attendibile), altrimenti l'utente riceverà un avviso che il certificato è firmato per il dominio sbagliato In un'impostazione aziendale, il certificato proxy viene generalmente installato da un criterio di gruppo dagli amministratori del dominio.

Sì, assolutamente. Se il proprio proxy MitM sta già sostituendo il certificato SSL, si dovrebbe essere in grado di decodificare il traffico utilizzando la chiave privata del proxy MitM. Catturare i pacchetti come se fossero non crittografati (usando wireshark o qualcosa del genere) e decrittografarli a piacimento.