¿Es posible descifrar el tráfico HTTPS cuando ya existe un agente en el proxy central?

Question

¿Es posible descifrar el tráfico HTTPS cuando ya existe un agente en el proxy central?

#1 de Gudradain (2 votos)
#2 de Chris Murray (1 votos)

3

Tengo la siguiente pregunta sobre el descifrado de tráfico SSL. La topología que tengo en mente es la siguiente: Usuario ------- Proxy MitM -------- Servidor Web En el entorno descrito anteriormente, ya existe un proxy comercial que está haciendo un ataque en el medio al reemplazar el certificado SSL original del servidor por su propio. ¿Puedo descifrar el tráfico SSL entre el usuario y el proxy y enviarlos sin cifrar a una solución forense / sandbox? Tengo un dispositivo de tap entre los usuarios y el proxy, y las claves pública y privada del mitm proxy están disponibles.

tls

pregunta mihai rosca 20.08.2014 - 12:43

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls

¿Es legal "usar" las vulnerabilidades de seguridad [cerrado] ¿Cómo saber si los anuncios de terceros son seguros?

score 2 · Answer 1

EDITAR: Si los certificados SSL de proxy ya están instalados en la computadora del usuario, entonces sí, y aquí está la respuesta correcta . De lo contrario sigue leyendo ...

Sí y no.

No porque al reemplazar el certificado SSL del servidor por el suyo, el navegador del usuario generará una gran advertencia de que el certificado no es válido y advertirá al usuario que no debe continuar.

Sí porque si el usuario aún decide continuar y aceptar el certificado falso, entonces podrá descifrar todo desde que fue cifrado con su certificado.

Alternativas

Si puede instalar su certificado directamente en la computadora del usuario, entonces su navegador no mostrará ninguna advertencia y podrá descifrar todo. Marque esto enlace
Simplemente reemplace los https por http. La mayoría de los usuarios no se toman el tiempo para verificar que es realmente https, por lo que es un ataque MitM muy efectivo.
Obtenga un certificado real para una url que sea similar a la url a la que apunta.

score 1 · Answer 2

EDIT
Como señala Andrey en los comentarios; esto solo es válido si la máquina del usuario ya confía en el certificado SSL de reemplazo (más precisamente, el certificado proxy como certificado raíz o el certificado proxy firmado por una raíz confiable), de lo contrario, el usuario recibirá una advertencia de que el certificado está firmado para el dominio incorrecto En una configuración corporativa, los administradores de dominio instalan típicamente el certificado de proxy mediante una política de grupo.

Sí, absolutamente. Si su proxy MitM ya está reemplazando el certificado SSL, debería poder descifrar el tráfico usando la clave privada del proxy MitM. Solo captura los paquetes como si estuvieran sin cifrar (usando wireshark o algo así) y descifralos a tu antojo.