Recientemente traté de usar Fiddler2 de un proveedor de terceros Telerik. Al descifrar el tráfico HTTPS de mi red, me pidió que instale su propio certificado raíz en mi sistema operativo Windows:
Echa un vistazo a la siguiente captura de pantalla:
¿Es seguro confiar en este tipo de certificados raíz? ¿Cuáles son las medidas preventivas que se deben tomar al instalar dichos certificados raíz?
Es seguro siempre que entiendas las implicaciones.
Fiddler actúa como un proxy / hombre en el medio para interceptar y descifrar el tráfico entre usted y el objetivo.
Para los sitios SSL, lo hace generando dinámicamente un certificado SSL con el nombre del objetivo. El problema es que su navegador no confiará en los certificados emitidos por Fiddler, de ahí la sugerencia de instalar el certificado Root de Fiddler.
La razón por la que esto podría ser malo es que si un usuario malintencionado genera un certificado SSL firmado por la raíz de Fiddler para un sitio como ... digamos ... www.bankofamerica.com: su navegador confiará automáticamente en " falso "certificado.
La forma en que entiendo que Fiddler (y las funciones proxy similares como Burp u OWASP ZAP) funciona es que cada instalación genera un certificado raíz único que luego utiliza para generar certificados sobre la marcha cuando lo tiene asignado como un proxy para que pueda interceptar y modificar el tráfico que fluye a través de esta conexión (el propósito del software).
Como el certificado raíz. generado es único por instalación, la única forma en que alguien podría hacer un mal uso sería obtener una copia del mismo y luego usarlo para crear un certificado en el que confiaría su máquina. Para hacer esto, necesitarían acceso autenticado a su PC para obtener acceso al certificado.
Entonces, si corre el riesgo de que los atacantes puedan obtener acceso autenticado a su máquina, es posible que no desee confiar en esta raíz. Pero entonces, si tienen ese acceso, tu seguridad contra esos atacantes está en un lugar bastante malo de todos modos.
En general, confío en los certificados raíz generados por mi herramienta proxy de uso, ya que los hace mucho más útiles para mí.
El "NO CONFIANZA" se encuentra realmente en el propio certificado creado por Fiddler. Fiddler es capaz de interpretar las conexiones HTTPS actuando como un proxy HTTPS. Cuando se conecta a un sitio a través de HTTPS, Fiddler produce un certificado que dice ser de ese sitio y luego accede al sitio real. De esta manera, Fiddler puede ver el tráfico, pero su navegador todavía actúa como si todo fuera normal.
El problema de confiar en él es que la clave privada para ese certificado raíz está hecha por el ejecutable de Fiddler y no está particularmente segura. Si confía en él como un certificado raíz, cualquier persona que tenga acceso a esa clave puede convencer a su computadora de que cualquier sitio que desee es un sitio válido.
Un certificado de terceros no es inherentemente más o menos seguro que cualquier certificado de CA que venga instalado con su navegador o sistema operativo. Lo único que importa es la seguridad de la clave privada para esa autoridad raíz y las políticas que tiene esa autoridad para firmar certificados. Al confiar en un certificado raíz, confía en que todos los que tienen acceso a la clave privada correspondiente valgan la pena para decidir si el sitio web al que está accediendo es válido.
Con una clave privada relativamente desprotegida, como la de Fiddler, este nunca es el caso, de ahí la advertencia de Fiddler.
Lea otras preguntas en las etiquetas certificates man-in-the-middle certificate-authority proxy decryption