intercepción SSL con Burp Suite utilizando Firefox - Comportamiento extraño al interceptar twitter

1

Estoy aprendiendo Burp Suite (Free Edition v1.6). Lo he configurado con la configuración por defecto. El oyente de proxy está escuchando 127.0.0.1 en el puerto 8080 y la opción Certificado está configurada en "Generar certificados firmados por CA por host". Estoy usando Firefox 33.0.2 y he configurado la configuración del proxy de manera apropiada. Cuando trato de buscar a https://www.facebook.com/ , aparece una página de 'Esta conexión no es de confianza', lo cual se espera que sea comprensible. Tengo opciones para '¡Sácame de aquí!' y 'Agregar excepción'. La mayoría de los otros sitios en SSL también hacen lo mismo. Excepto que encuentro un comportamiento algo diferente cuando trato de buscar a https://www.twitter.com/ . Aparece la página "Esta conexión no es de confianza", pero esta vez sin una opción para "Agregar excepción". En ambos casos, los detalles técnicos indican el mismo problema.

www.***.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. (Error code: sec_error_unknown_issuer)

Tenga en cuenta que sé que puedo importar la CA de Burp como una CA de confianza en mi navegador, pero lo que me pregunto en el caso específico de Twitter no tengo la opción de agregar el certificado como excepción. Este comportamiento es consistente en al menos los 2 navegadores que he probado: Firefox y Chrome.

ACTUALIZACIÓN He deshabilitado la opción de anclaje de certificados en Firefox y sigo viendo los mismos resultados.

ACTUALIZACIÓN 2 La opción de agregar el certificado como excepción está ahí, pero oculta con el siguiente código:

<h2 xmlns="http://www.w3.org/1999/xhtml" hidden="true" id="expertContent" class="expander" collapsed="true">
      <button onclick="toggle('expertContent');">I Understand the Risks</button>  
</h2>

¿Pero por qué Firefox decide hacer esto? Incluso después de que se deshabilite la "fijación de certificados".

    
pregunta user1720897 04.11.2014 - 07:36
fuente

3 respuestas

3

Esta es una característica de seguridad llamada fijación de certificado (o fijación de clave pública). En este caso, el navegador sabe qué certificado (o clave pública) esperar y rechaza cualquier intento de anulación por parte del usuario. Twitter está incluido para la fijación de claves públicas desde Firefox 32.

Consulte enlace para obtener más detalles.

    
respondido por el Steffen Ullrich 04.11.2014 - 07:45
fuente
2

Una solución un poco dolorosa, pero funciona para usar con BurpSuite / Charles / Fiddler, etc., es revertir a Firefox 3 cuando desee establecer la conexión a sitios HSTS: enlace

    
respondido por el Chris 16.06.2015 - 16:47
fuente
0

Este sitio utiliza HTTP Strict Transport Security (HSTS) para especificar que Firefox solo se conecte a él de forma segura. Como resultado, no es posible agregar una excepción para este certificado.

    
respondido por el Solidmonster 04.03.2015 - 06:01
fuente

Lea otras preguntas en las etiquetas