He leído las diversas preguntas etiquetadas [ssl] y [mitm] y [proxy] y no pude encontrar un duplicado.
Tengo una pregunta muy precisa, pero primero debo dar algunos antecedentes.
Básicamente, estoy muy sorprendido por el reciente desarrollo que destacó el hecho de que tanto Nokia como Opera Mini en realidad están usando sus servidores como punto final de la conexión SSL "segura" entre los usuarios y los sitios web (como por ejemplo los sitios web de banca en línea). / p>
Aparentemente, lo están haciendo en nombre del rendimiento: están utilizando sus servidores como punto final, que luego actúan como un proxy para el usuario. En sus servidores, están procesando y comprimiendo la página que se muestra y enviándola a sus usuarios.
También estoy totalmente confundido por la reacción de la mayoría de las personas: la mayoría de las personas que reaccionan dicen: "No hay nada que ver aquí, es una práctica común, seguir adelante" .
Es un shock, ya que tenía la impresión de que I era el punto final, no un servidor Nokia / Opera Mini. Me doy cuenta de que no es un ataque MITM sobre SSL porque los servidores se convierten en el punto final y, usted, el usuario, recibe "otra cosa" (ya sea HTML modificado o una imagen o lo que sea) ...
Entiendo que (supuestamente) se hace en nombre del rendimiento. Personalmente lo veo como un sacrificio de seguridad en nombre del rendimiento, pero como sea.
Ahora, y ahí es donde me conmueve mucho, varias personas señalaron que no solo los fabricantes de teléfonos podrían hacer esto, sino también cualquier ISP.
Y encontré esta frase:
"El software que utiliza el almacén de certificados del sistema operativo o la biblioteca SSL todavía debe ser inmune a esto"
Entonces, mi pregunta es muy simple: ¿cómo puedo conectarme de forma segura, desde una computadora de escritorio (no desde un teléfono), a sitios web que usan HTTPS (como mi sitio web de banca en línea o mi GMail)? ¿Que puedo estar usando un ISP interesado en espiarme?
¿Un navegador como Google Chrome, por ejemplo, tiene alguna protección contra esto? (por ejemplo, ¿es suficiente mirar el ícono verde de "candado" seguido de "HTTPS: //mail.google.com / ..." o puede ser engañado también por el ISP?)