Perché l'handshake non è avviato per il webserver di google ?? Esiste una convalida sul lato client prima dell'inizio dell'handshake?

Naviga le tue risposte
0

Uso la suite burp come proxy e ho configurato il mio browser. Sono in grado di intercettare il traffico di connessioni SSL di solo alcune applicazioni Web utilizzando un certificato autofirmato emesso da burp aggiungendo un'eccezione al mio browser. Ma quando provo a fare lo stesso per google, non inizia l'handshake TLS e non possiamo aggiungere alcuna eccezione (dato che non c'erano pacchetti relativi all'handshake verificati in wireshark). C'è qualche convalida sul lato client prima dell'inizio dell'handshake?

    
posta Narayan Kaluri 04.12.2015 - 10:09
fonte

2 risposte

3

Potrebbero esserci alcuni motivi per questo, ma i più probabili sono HSTS, SPDY e pin precaricato:

  • HTTP Strict Transport Security (HSTS) è un meccanismo tramite il quale un server può imporre che il server sia sempre connesso solo tramite connessione sicura (ad es. HTTPS) e che deve essere presentato un certificato valido. Il tuo browser non permetterà alla connessione di avviarsi su un protocollo non protetto come HTTP in chiaro o se il certificato presentato non è valido. Non puoi ignorare questo. Se stai eseguendo TLS MitM in Burp, il tuo browser rifiuterà il certificato come non valido a meno che tu non installa Burp CA nel tuo browser.
  • SPDY è un protocollo HTTPS alternativo che Google utilizza molto. Potrebbe anche darsi che il tuo browser stia tentando di avviare una connessione SPDY, ed è forse per questo che Burp non la sta intercettando.
  • Chrome è precaricato con un set di regole per i certificati server per il blocco. L'idea è essenzialmente quella di precaricare le regole HSTS per un gruppo di siti comuni come parte del programma di installazione, ma con la protezione aggiuntiva di includere un'impronta digitale del certificato conosciuto. Ciò farà sì che tutti i certificati non validi, anche quelli con firme "valide" (ad esempio firmate da una CA locale), vengano rifiutati.

Il mio consiglio è di installare la CA Burp nell'archivio certificati del sistema e, se applicabile, il browser. Questo dovrebbe probabilmente risolverlo.

    
risposta data 04.12.2015 - 10:45
fonte
2

Dubito che non ci sia l'handshake SSL perché il browser non saprà in anticipo quale certificato otterrà. Ma sono sicuro che non ci sia un handshake SSL di successo.

Con google.com e altri siti protetti dal blocco dei certificati, non è possibile aggiungere un'eccezione in base alla progettazione. Quello che devi fare invece è importare la CA usata da burp come attendibile nel browser. Ciò lo rende anche più semplice per tutti gli altri test, dal momento che non sarà necessario aggiungere un'eccezione per qualsiasi altro sito in seguito poiché sono tutti considerati affidabili perché sono firmati da una CA attendibile.

    
risposta data 04.12.2015 - 10:38
fonte

Leggi altre domande sui tag

il MAC di convalida dei singoli pacchetti convalida l'integrità di tutto il file? Intercetta il traffico HTTPS .. con un certificato