Fiddler создает индивидуальные корневые сертификаты уникально для каждой машины? - PullRequest
Новая
       6

Fiddler создает индивидуальные корневые сертификаты уникально для каждой машины?

4 голосов
/ 11 октября 2011

При использовании Fiddler запрашивается установка корневого сертификата, который автоматически расшифровывает трафик SSL. Но также он сообщает, что пользователь не должен устанавливать его, если это не тестовая система.

Насколько я понимаю, поскольку Fiddler использует один и тот же закрытый ключ на каждом компьютере, злоумышленник может получить этот закрытый ключ и выполнить настоящий MITM, и пользователь не узнает об этом, поскольку компьютер доверяет корню Fiddler.

Однако эта строка на сайте Fiddler противоречит моей теории общих закрытых ключей:

Если на клиентском компьютере ранее был запущен Fiddler в Режим HTTPS-расшифровки, все попытки посетить страницы HTTPS, защищенные версия Fiddler для другого компьютера завершится с неопределенным проблема с сертификатом Чтобы решить эту проблему, удалите корневой Fiddler сертификат, который находится в хранилище сертификатов клиента. (Несовпадающий Корневой сертификат вызывает проблему, так как каждый экземпляр Fiddler генерирует собственный уникальный корень).

Мой вопрос; Почему Fiddler не создает закрытый ключ для каждой машины, так что это будет безопасно. Если Fiddler уже делает это, зачем указывать пользователям не устанавливать его, если это не тестовая система?

Просто чтобы прояснить, я говорю об этом предупреждении: enter image description here

1 Ответ

4 голосов
/ 18 июня 2015

Q: Fiddler создает индивидуальные корневые сертификаты уникально для каждой машины?

A: Да, конечно.http://www.telerik.com/blogs/faq---certificates-in-fiddler

В чем заключается риск?

Многие специалисты по безопасности обеспокоены тем, что, если пользователь настраивает Windows для доверия корневому сертификату Fiddler, этот пользователь может перехватить и расшифровать его трафиклюбой другой пользователь Fiddler.Они предполагают, что Fiddler использует один и тот же корневой сертификат для всех установок.

Не бойтесь!Каждый корневой сертификат Fiddler генерируется уникальным образом для каждого пользователя и для каждого компьютера.Никакие две установки Fiddler не имеют одинакового корневого сертификата.Единственный способ для пользователя Fiddler быть «подделанным» плохим парнем, если этот плохой парень уже выполняет код внутри учетной записи пользователя (что означает, что вы все равно были бы pwned).

...