Quiero compartir información y capturas de pantalla de mi certificado SSL para ayudar a identificar un posible problema de seguridad.
El problema de seguridad potencial involucra computadoras privadas propiedad de la compañía que listan a mi empleador como la Autoridad de certificación. Como tal, no quiero revelar información sobre la CA que podría revelar la identidad de mi empleador.
¿Qué partes de un certificado SSL puedo compartir sin revelar la identidad de la autoridad de certificación?
Tomemos un certificado aleatorio de mi almacén de confianza de Chrome. Elijo GlobalSign
Lapregunta,essiestofueraunaCAprivada,¿quécamposnecesitaríaocultarparaprotegerlaidentidaddelaCA?Respuesta:casitodosellos.
Estoesloqueconsideraríaunaversiónredactadademanerasegura,básicamentedejando"esto es un CA", pero eliminando todo lo que pueda usarse para identificarlos.
Realmentenoestoysegurodeloqueobtienesalpublicarestomásalládesimplementedecir"el certificado de CA raíz de mi empresa está en mi almacén de confianza".
Según mi comprensión de su pregunta, está intentando demostrar que su empleador está interceptando e inspeccionando su tráfico HTTPS.
Bien, ha encontrado el certificado CA de su compañía en su almacén de confianza de Java. Eso nos dice que tienen la capacidad de realizar el ataque MitM que estás describiendo, pero no prueba que realmente lo estén haciendo. Ese certificado puede estar allí por una razón completamente legítima, como por ejemplo, para que su cliente VPN pueda autenticar el servidor VPN, o para que no obtenga errores de certificado al conectarse a los recursos de la red interna.
Para asegurarse de que estén inspeccionando el tráfico HTTPS, debe capturarlos en el acto. Cuando realice una conexión TLS que sospecha que es MitM'd, mire el certificado de servidor que se presenta; si se encadena a la CA de su empresa, entonces esa conexión está siendo MitM'd y usted tendrá una prueba, pero si preside a una CA de confianza pública, entonces es segura.
Tendrás que investigar un poco sobre la aplicación java que estás utilizando para descubrir cómo ver los detalles de cada conexión TLS (puedes hacerlo a través de la configuración de JVM, pero no estoy seguro) . Los navegadores, por ejemplo, son muy buenos al mostrarle los detalles de la conexión TLS.
Para realizar un ataque HTTPS MiTM e inyectar un certificado falso
Por lo tanto, capturar tal acto en acción no es fácil si emplea un servidor MiTM capaz de generar un certificado de CA que se encuentra dentro de su navegador.
Para capturar automáticamente dicho trabajo en acción no es fácil. A menos que tenga herramientas como phantomjs / selenium ready y descargue la página web y el certificado de inmediato, luego inspeccione los resultados del Internet abierto. El sniffer de paquetes no ayudará aquí, ya que puede ser solo un servidor proxy o actividades de conexión VPN.
Debido a que un servidor SSL MiTM serio intentará evitar el servidor que emite HPKP que expondrá una discrepancia de certificado. Si su computadora portátil se conecta a un sitio como Facebook en una red pública anteriormente, su navegador mostrará un error de certificación si la red interna que usa se conecta a un servidor que muestra diferentes certificados y CA.
Su intento de mostrar el certificado no prueba nada porque no hay evidencia controlada.
Lea otras preguntas en las etiquetas tls certificates anonymity certificate-authority