Estoy usando Cloudflare para servir el sitio web de mis páginas de GitHub con un dominio personalizado a través de HTTPS. Noté que el certificado de Cloudflare que recibí es válido para muchos dominios (de acuerdo con los detalles en Safari). ¿Es posible que alguien más utilice a usuarios intermedios que intentan acceder a mi sitio web redirigiéndolos a otro dominio para el cual mi certificado es válido?
Además, ¿es posible probar esto localmente utilizando Burp Suite?
No estoy familiarizado con Cloudflare, por lo que esto es más general.
En teoría, es posible que alguien cambie la configuración de front-end de Cloudflare para apuntar su sitio al servidor de otra persona, luego redirigir a su servidor, pero parece poco probable.
Siempre puedes probar las direcciones IP entrantes para ver si son las que esperas de Cloudflare. Si no lo son, es probable que vengan de otro servidor. Para MITM, tendrían que reenviar el tráfico interceptado a sus servidores, para que pueda inspeccionar las direcciones IP para ver si son las que está esperando.
Aparte de eso, no estoy seguro de qué señales buscarías; el servidor MITM intentaría hacerse pasar por un servidor de Cloudflare (y podría ser uno de ellos, si el atacante pudiera hacerse cargo de dicho servidor). Burp Suite podría indicar el aspecto de una firma falsa. También puede probar una sonda de sincronización, navegar a su sitio web y ver si la sincronización es la que usted espera, o si es más larga de lo esperado; este último podría indicar que la conexión se ha enrutado a través de otro servidor.
Por supuesto, para todo esto, necesitarás datos de referencia, que indican cuál es el estado "normal" de las cosas.
Lea otras preguntas en las etiquetas tls man-in-the-middle dns