HTTPS перехват

Question

Я не знаю много о SSL, но я кое-что прочитал, и мне было интересно, можно ли перехватить связь между клиентом и сервером (например, компания может контролировать передачу данных сотрудников?). Я думал, что это сложная задача, но, похоже, это очень просто. Когда клиент запрашивает соединение https, маршрутизатор может получить команду перехватить обмен ключами и отправить серверу и клиенту свои собственные открытые ключи (далее он может кодировать / декодировать трафик дырки). Это правда или я что-то недопонимаю?

Answer 1

Если ЦС под вашим контролем доверяет всем браузерам, используемым сотрудниками, это легко возможно:

Прокси-агенту компании необходимо создавать сертификаты, напоминающие исходный сертификат, на лету и предоставлять эти сертификаты клиентам. Вся информация может быть взята из реального сертификата, единственное отличие будет в том, что СА подписывает сертификат.

Однако, по крайней мере, Google Chrome будет жаловаться на домены, принадлежащие Google, поскольку у них есть явный белый список, на котором центры сертификации могут подписывать сертификаты, используемые для доменов Google.

Answer 2

В корпоративной сети компании владеют SSL CA: они часто устанавливаются на всех машинах.В этом случае прокси-сервер компании может представить сертификат компании, который будет принят браузером, и прочитать трафик.

Если вы посмотрите на информацию о сертификате (находится в адресной строке вашего браузера), вы можете проверить, является ли это ожидаемым сертификатом удаленного сервера, или это другой сертификат, созданный компанией.

Вы можете использовать, например, http://www.sslshopper.com/ssl-checker.html#hostname=www.google.com, чтобы проверить, каким сертификатом он должен быть.(очевидно, измените имя хоста на тот сервер, который вы хотите использовать)

Answer 3

Это частично верно: описанный вами процесс будет работать, но клиент будет уведомлен о том, что сертификат сервера не является ожидаемым (не сертифицирован, назначен другому сайту).Так что невозможно сделать это прозрачно и без их ведома, но это может быть приемлемо в корпоративной среде.