Quali parti di un certificato SSL posso condividere senza rivelare l'identità dell'autorità di certificazione?

Prendiamo un certificato casuale dal mio trust store di Chrome. Scelgo GlobalSign

LadomandaèsequestafosseunaCAprivata,qualicampidovrestinascondereperproteggerel'identitàdellaCA?Risposta:praticamentetutti.

Eccocosaconsiderereiunaversioneredattainmodosicuro,inpraticalasciando"questa è una CA", ma rimuovendo tutto ciò che potrebbe essere usato per identificarli.

Nonsonodavverosicurodiciòcheguadagnipubblicandoquestooltreadire"CERT root della mia azienda è nel mio negozio di fiducia".

In base alla mia comprensione della tua domanda, stai cercando di dimostrare che il tuo datore di lavoro sta intercettando e ispezionando il tuo traffico HTTPS.

Ok, hai trovato il certificato CA della tua azienda nel tuo negozio di fiducia di java. Questo ci dice che hanno la capacità di eseguire l'attacco MitM che stai descrivendo, ma non dimostra che lo stiano effettivamente facendo. Quella cert può essere lì per un motivo completamente legittimo, come ad esempio in modo che il tuo client VPN possa autenticare il server VPN, o così non ricevi errori di certificato quando ti connetti a risorse di rete interne.

Per essere sicuri che stiano ispezionando il traffico HTTPS, devi effettivamente prenderli in flagrante. Quando crei una connessione TLS che sospetti di essere MitM, guarda il certificato del server che ti viene presentato; se si incatena alla CA della tua azienda, allora quella connessione è MitM e avrai una prova, ma se è presieduta da una CA di fiducia pubblica allora è sicura.

Dovrai fare un po 'di ricerca sull'applicazione java che stai usando per capire come visualizzare i dettagli di ogni connessione TLS (potresti farlo attraverso le impostazioni JVM, ma non sono sicuro) . I browser, ad esempio, sono abbastanza utili per mostrare i dettagli della connessione TLS.

Per eseguire l'attacco MiTM HTTPS e iniettare un certificato falso

1. Il middleman reindirizzerà tutte le richieste a un server proxy
2. Il server middleman genererà un certificato ASAP ad hoc e riscriverà il pacchetto sul server di destinazione
3. Se la CA è un dominio trusted nel tuo browser, non mostrerà alcun errore.

Quindi prendere atto del genere non è facile se impiegasse un server MiTM in grado di generare cert da CA trovato nel browser.

L'acquisizione automatica di tale lavoro in azione non è facile. A meno che tu non abbia a disposizione strumenti come phantomjs / selenio e scarichi immediatamente la pagina web e il certificato, poi ispezionali in seguito con i risultati di Internet aperto. Lo sniffer di pacchetti non sarà di aiuto in questo caso, in quanto può essere solo un server proxy o attività di connessione VPN.

Perché un serio server MiTM SSL proverà ad evitare server che emettono HPKP che espongono una discrepanza di certificati. Se il tuo laptop si collega a un sito come Facebook nella rete pubblica in precedenza, il browser mostrerà un errore cert se la rete interna che utilizzi si connette a un server che mostra certificati e CA diversi.

Il tuo tentativo di mostrare il certificato non prova nulla perché non ci sono prove controllate.