¿Por qué no se inicia el protocolo de enlace para el servidor web de Google? ¿Hay alguna validación del lado del cliente antes de que se inicie el saludo?

Navega tus respuestas
0

Estoy usando burp suite como proxy y configuré mi navegador para ello. Puedo interceptar el tráfico de conexión SSL de solo algunas aplicaciones web utilizando un certificado autofirmado emitido por eructar agregando una excepción a mi navegador. Pero cuando trato de hacer lo mismo con Google, no se inicia el protocolo de enlace TLS y no podemos agregar ninguna excepción (ya que no hubo paquetes relacionados con el protocolo de enlace registrado en wireshark). ¿Hay alguna validación del lado del cliente antes de que se inicie el protocolo de enlace?

    
pregunta Narayan Kaluri 04.12.2015 - 10:09
fuente

2 respuestas

3

Puede haber varias razones para esto, pero las más probables son HSTS, SPDY y la fijación precargada:

  • HTTP Strict Transport Security (HSTS) es un mecanismo mediante el cual un servidor puede exigir que el servidor solo esté conectado a través de un conexión segura (por ejemplo, HTTPS) y que se debe presentar un certificado válido. Su navegador no permitirá que la conexión se inicie en un protocolo inseguro como HTTP de texto sin formato, o si el certificado presentado no es válido. No puedes anular esto. Si está realizando TLS MitM en Burp, su navegador rechazará el certificado como no válido a menos que instala Burp CA en tu navegador.
  • SPDY es una alternativa de protocolo HTTPS que Google usa mucho. Bien puede ser que su navegador esté intentando iniciar una conexión SPDY, y quizás esa sea la razón por la que Burp no lo está detectando.
  • Chrome viene precargado con un conjunto de reglas de certificado de servidor para la fijación. La idea es esencialmente que cargan las reglas de HSTS para un grupo de sitios comunes como parte del instalador, pero con la protección adicional de incluir una huella digital del certificado conocido. Esto provocará que se rechacen todos los certificados no válidos, incluso aquellos con firmas "válidas" (por ejemplo, firmadas por una CA local).

Mi consejo sería instalar la CA Burp en el almacén de certificados de su sistema y en su navegador, si corresponde. Eso probablemente debería arreglarlo.

    
respondido por el Polynomial 04.12.2015 - 10:45
fuente
2

Dudo que no haya un protocolo de enlace SSL porque el navegador no sabrá de antemano qué certificado obtendrá. Pero estoy seguro de que no hay un apretón de manos SSL exitoso.

Con google.com y cualquier otro sitio protegido por identificación de certificado, no podrá agregar una excepción por diseño. Lo que debe hacer en su lugar es importar la CA utilizada por eructo como confiable en el navegador. Esto también lo hace más fácil para todas las demás pruebas, ya que no tendrá que agregar una excepción para ningún otro sitio después, ya que todas se consideran de confianza porque están firmadas por una CA de confianza.

    
respondido por el Steffen Ullrich 04.12.2015 - 10:38
fuente

Lea otras preguntas en las etiquetas

¿la validación de MAC de paquetes individuales valida la integridad de todo el archivo? ¿Cómo se puede comprometer una contraseña de root débil?