Cuando no atacas el tráfico usando MITM, TLS funciona así:
Client <===========> Server
Cuando ataca el tráfico utilizando MITM, obtiene un tercero para interceptar y la comunicación proxy
Client <=====> Proxy <======> Server
La seguridad se negocia por separado entre client <==> proxy
y proxy <==> server
. Un proxy mantendrá dos conexiones abiertas: una con el cliente y otra con el servidor. Esto suele ser utilizado por los proveedores de AV, malware y productos de filtrado empresarial. Si un cliente confía en el certificado del proxy, lo más probable es que un navegador no resalte el hecho de que está hablando con un proxy en lugar de con un servidor real. Verá una barra verde en un navegador para indicar que la comunicación está cifrada. Si hace clic en el certificado, verá el certificado proxy
, en lugar del certificado real server
. Obviamente, esto no funciona si fijación de certificados está involucrada.
Si el cliente no confía en proxy
certificate (que suele ser el caso a menos que instale específicamente proxy
cert en su almacenamiento de certificados de confianza), verá un error de certificado.
Hay algunas publicaciones en línea que hablan sobre Burp, por ejemplo esta :
Certificado de CA Burp: dado que Burp rompe las conexiones SSL entre sus
navegador y servidores, su navegador mostrará por defecto una advertencia
mensaje si visita un sitio HTTPS a través de Burp Proxy. Esto es porque el
El navegador no reconoce el certificado SSL de Burp, e infiere que
su tráfico puede estar siendo interceptado por un atacante externo. A
Utilice Burp de manera efectiva con conexiones SSL, realmente necesita instalar
El certificado maestro de Burp's Certificate Authority en su navegador, por lo que
que confíe en los certificados generados por Burp.