4
Apache: ตรวจสอบความน่าเชื่อถือ SSL เชนเพื่อป้องกันการโจมตี MITM?
ฉันเพิ่งตระหนักว่าการโจมตี SSL แบบคนกลางนั้นเป็นเรื่องปกติมากกว่าที่ฉันคิดโดยเฉพาะในสภาพแวดล้อมขององค์กร ฉันได้ยินและเห็นตัวเองหลายองค์กรที่มีพร็อกซีเซิร์ฟเวอร์ SSL ที่โปร่งใส ไคลเอนต์ทั้งหมดได้รับการกำหนดค่าให้เชื่อถือใบรับรองพร็อกซีนี้ สิ่งนี้หมายความว่าผู้ว่าจ้างในทางทฤษฎีสามารถดักจับการรับส่งข้อมูล SSL ที่เข้ารหัสโดยไม่มีคำเตือนใด ๆ ในเบราว์เซอร์ที่โผล่ขึ้นมา ดังกล่าวข้างต้นลูกค้ามาพร้อมกับใบรับรองที่เชื่อถือได้ สิ่งนี้สามารถเปิดเผยได้โดยการตรวจสอบความถูกต้องของใบรับรองที่ใช้อยู่เท่านั้น สำหรับฉันดูเหมือนว่านายจ้างใช้ตำแหน่งที่เหนือกว่าของเขาเพื่อสอดแนมการรับส่งข้อมูล SSL ของพนักงาน สำหรับฉันนี่ทำให้แนวคิดทั้งหมดของ SSL ที่ไม่น่าเชื่อถือ ฉันได้ทดสอบการตั้งค่าที่คล้ายกันสำเร็จแล้วโดยใช้ mitmproxy และสามารถอ่านการสื่อสารระหว่างลูกค้ากับเซิร์ฟเวอร์ธนาคารทางอิเล็กทรอนิกส์ของฉันได้ นี่คือข้อมูลที่ไม่ควรเปิดเผยต่อใคร ดังนั้นคำถามของฉันค่อนข้างง่าย: ฉันจะตรวจสอบ chain of trust บนฝั่งเซิร์ฟเวอร์ได้อย่างไร ฉันต้องการตรวจสอบให้แน่ใจว่าลูกค้าใช้ใบรับรองของเซิร์ฟเวอร์ของฉันและเชื่อถือได้เพียงหนึ่งเชน ฉันสงสัยว่าการตั้งค่า SSL ของ Apache สามารถทำได้หรือไม่ สิ่งนี้จะสะดวกเนื่องจากสามารถนำไปใช้กับแอปพลิเคชันมากมายได้อย่างง่ายดาย หากเป็นไปไม่ได้มีใครรู้วิธีการทำเช่นนี้ใน PHP หรือไม่? หรือคุณมีข้อเสนอแนะอื่น ๆ