¿Es esto posible con SSLsplit?

Navega tus respuestas
3
  

SSLsplit admite conexiones TCP simples, SSL simples, HTTP y HTTPS a través de IPv4 e IPv6. Para las conexiones SSL y HTTPS, SSLsplit genera y firma los certificados X509v3 falsificados sobre la marcha, según el DN del sujeto del certificado del servidor original y la extensión subjectAltName. SSLsplit es totalmente compatible con la Indicación de nombre de servidor (SNI) y puede trabajar con claves RSA, DSA y ECDSA y conjuntos de cifrado DHE y ECDHE. Dependiendo de la versión de OpenSSL, SSLsplit admite SSL 3.0, TLS 1.0, TLS 1.1 y TLS 1.2, y opcionalmente también SSL 2.0. SSLsplit también puede usar certificados existentes de los cuales está disponible la clave privada, en lugar de generar otros falsificados . SSLsplit admite certificados CN de prefijo NULL y puede denegar solicitudes OCSP de forma genérica. Para las conexiones HTTP y HTTPS, SSLsplit elimina los encabezados de respuesta para HPKP para evitar la fijación de claves públicas, para que HSTS permita que el usuario acepte certificados no confiables, y Protocolos alternativos para evitar el cambio a QUIC / SPDY. Como característica experimental, SSLsplit admite los mecanismos STARTTLS de una manera genérica.

¿Esto significa que puedo copiar un certificado de un cliente (la tienda incorporada de Firefox, Android, etc.) y luego ejecutar SSLsplit usando el certificado copiado? Entonces puedo inspeccionar el tráfico de dispositivos y programas que usan certificados personalizados y no te permiten subir los tuyos.

    
pregunta user6769219 28.09.2017 - 21:08
fuente

2 respuestas

3

Usted pregunta de

  

¿Significa esto que puedo copiar un certificado de un cliente (la tienda incorporada de Firefox, la de Android, etc.)

es respondida por:

  

SSLsplit también puede usar certificados existentes de los cuales la clave privada está disponible , en lugar de generar falsificaciones.

Como no tiene las claves privadas para los certificados de CA en el almacén integrado, no puede usarlas.

    
respondido por el Steffen Ullrich 28.09.2017 - 21:22
fuente
1

No, no lo hace. La frase en negrita «SSLsplit también puede usar certificados existentes de los cuales está disponible la clave privada, en lugar de generar falsificaciones» describe el uso de los certificados de servidor que usted controla. Si desea interceptar y registrar SSL / TLS en un servidor bajo su control, tiene acceso al certificado y la clave del servidor, y puede decirle a SSLsplit que los use directamente en lugar de falsificar certificados sobre la marcha. Desde la página de manual de sslsplit(1) : 

   -t certdir
      Use  private  key,  certificate  and  certificate chain from PEM
      files in certdir  for  connections  to  hostnames  matching  the
      respective  certificates,  instead  of using certificates forged
      on-the-fly.  A single PEM file must  contain  a  single  private
      key,  a  single certificate and optionally intermediate and root
      CA certificates to use as certificate  chain.   When  using  -t,
      SSLsplit will first attempt to use a matching certificate loaded
      from certdir.  If -c and -k are also given, certificates will be
      forged on-the-fly for sites matching none of the common names in
      the certificates loaded from  certdir.   Otherwise,  connections
      matching  no  certificate  will  be  dropped, or if -P is given,
      passed through without splitting SSL/TLS.
    
respondido por el Daniel Roethlisberger 31.10.2018 - 17:05
fuente

Lea otras preguntas en las etiquetas

Pregunta sobre una posible infección ISO y verificación de ISO ¿Qué tan factible es para un atacante forzar una respuesta NTLMv2 capturada fuera de la red?