Sto imparando Burp Suite (versione gratuita v1.6). L'ho configurato con le impostazioni predefinite. Il listener proxy sta ascoltando 127.0.0.1 sulla porta 8080 e l'opzione Certificate è impostata su 'Genera certificati per host per firma di CA'. Sto usando Firefox 33.0.2 e ho configurato le impostazioni del proxy in modo appropriato. Quando provo a cercare https://www.facebook.com/ , viene visualizzata una pagina "Questa connessione è non attendibile", che è prevista, comprensibile. Ho delle opzioni per "Tirami fuori di qui!" e "Aggiungi eccezione". Anche la maggior parte degli altri siti su SSL fa lo stesso. Tranne che ho riscontrato un comportamento un po 'diverso quando provo a cercare https://www.twitter.com/ . Ricevo una pagina "Questa connessione è non attendibile", ma questa volta senza un'opzione per "Aggiungi eccezione". In entrambi i casi, i dettagli tecnici indicano lo stesso problema.
www.***.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. (Error code: sec_error_unknown_issuer)
Si noti che so che posso importare la CA di Burp come CA attendibile nel mio browser, ma quello che mi chiedo nel caso specifico di Twitter non ho la possibilità di aggiungere il certificato come eccezione. Questo comportamento è coerente tra almeno i 2 browser che ho testato: Firefox e Chrome.
Aggiorna Ho disattivato l'opzione di blocco dei certificati in Firefox e vedo ancora gli stessi risultati.
UPDATE 2 L'opzione per aggiungere il certificato come eccezione è lì, ma nascosta con il seguente codice -
<h2 xmlns="http://www.w3.org/1999/xhtml" hidden="true" id="expertContent" class="expander" collapsed="true">
<button onclick="toggle('expertContent');">I Understand the Risks</button>
</h2>
Ma perché nel mondo Firefox decide di farlo? Anche dopo "blocco del certificato" è disabilitato.