Ogni volta che sono dietro un uomo nel proxy centrale come rutto, e provo ad accedere a Google o Facebook, ricevo un messaggio di avviso che mi informa che la connessione non è affidabile e impedisce la visualizzazione della pagina.
Immagino che abbia qualcosa a che fare con i certificati di sicurezza. Ma come fanno a non fidarsi della connessione?
Può dipendere dal modo in cui è installato il certificato.
Se il tuo cliente non riconosce il tuo certificato, allora c'è il tuo problema. Leggi come funzionano i certificati per capire cosa sta succedendo qui.
Se il certificato è installato come CA radice affidabile a livello globale, il browser supporrà che una CA pubblica si comporti di nuovo male e non consentirà il proseguimento della connessione. Non installare certificati di intercettazione del genere. Chrome utilizza la codifica delle chiavi su determinati domini (tra cui Google e Facebook) per impedire l'accettazione di certificati non autorizzati.
Se il certificato è installato come autorità attendibile a livello locale, Chrome (e probabilmente firefox - non sicuro qui) consentirà il proseguimento della connessione, anche se esiste una chiave bloccata per il dominio. Il ragionamento è che il proprietario della macchina dovrebbe avere l'ultima parola e Chrome rispetterà quindi la tua decisione senza indovinare.
Questi siti impostano l' intestazione HSTS (HTTP Strict Transport Security). Se hai già visitato questi siti senza il proxy Burp, il tuo browser conosce (memorizzato nella cache) i criteri HSTS e vede una mancata corrispondenza.
La politica HSTS specifica un periodo di tempo durante il quale l'utente deve accedere al server in modo sicuro solo.
HTTP Strict Transport Security (HSTS) is a web security policy mechanism which is necessary to protect secure HTTPS websites against downgrade attacks, and which greatly simplifies protection against cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should only interact with it using secure HTTPS connections,1 and never via the insecure HTTP protocol. HSTS is an IETF standards track protocol and is specified in RFC 6797.
The HSTS Policy[2] is communicated by the server to the user agent via a HTTP response header field named "Strict-Transport-Security". HSTS Policy specifies a period of time during which the user agent shall access the server in a secure-only fashion.
Per fare in modo che funzioni, le impostazioni HSTS dovrebbero essere rimosse dal tuo browser, questo è diverso per browser.
Leggi altre domande sui tag facebook certificates man-in-the-middle burp-suite