ถาม: ฉันเพิ่มใบรับรองลงในร้านค้า CA ในเบราว์เซอร์ของฉัน มีคนขโมยใบรับรองนั้นสร้างใบรับรองใหม่สำหรับ
https://www.google.com
คุณเพิ่มไปยังเก็บใบรับรองคีย์สาธารณะของ CA ท้องถิ่นที่สร้างขึ้นด้วยตนเอง เจ้าของรหัสส่วนตัวของ CA คนเดียวเท่านั้นที่สามารถลงชื่อใบรับรองของใครบางคนได้ (ดังที่คุณพูดถึงhttps://www.google.com ) ดังนั้นการขโมยรหัสสาธารณะ CA จากเบราว์เซอร์ของคุณนั้นไม่มีประโยชน์เพราะไม่ใช่ความลับและไม่สามารถใช้งานได้ สำหรับการลงนามใบรับรองอื่น ๆ
ถาม: เบราว์เซอร์ของฉันยอมรับใบรับรอง Google เนื่องจากมีการลงนามโดยใบรับรอง CA ที่เชื่อถือได้ในระบบของฉัน สถานการณ์สมมตินี้เป็นไปได้หรือไม่?
คุณเชื่อใจในเบราว์เซอร์ของคุณและเชื่อมั่นในขอบเขตเฉพาะของ CA หากคุณเพิ่มลงในเบราว์เซอร์ของคุณ CA ท้องถิ่นของคุณเป็นที่เชื่อถือได้ในการจัดเก็บใบรับรองจากนั้นคุณวางใจโดยอัตโนมัติไปยังใบรับรองทั้งหมดที่ลงนามโดย CA ท้องถิ่นนี้
วิธีนี้แผนกไอทีที่จัดการ CA ในพื้นที่ของคุณอาจออกและเซ็นรับรองปลอมสำหรับ google.com และเบราว์เซอร์ของคุณจะเชื่อถือได้ แต่ ... นี่เป็นรายละเอียดทางเทคนิคสองประการที่คุณต้องรู้
เมื่อคุณเชื่อมต่อกับบางhttps
โดเมนโดยตรงเว็บเซิร์ฟเวอร์ตอบกลับด้วยใบรับรองสาธารณะที่มีข้อมูลซึ่งลงนามใบรับรองนี้และเบราว์เซอร์ที่มองหาที่เก็บใบรับรองสำหรับ CA ที่ลงนามใบรับรองเว็บเซิร์ฟเวอร์นี้ดังนั้นคุณอาจคิดว่ามันจะเป็นงานที่ยากสำหรับ พวกที่พยายามปลอม google.com ซึ่งควรติดตั้งสำเนาปลอมของ google.com เป็นเว็บเซิร์ฟเวอร์ของตัวเองและแทนที่ระเบียน DNS ที่จะชี้ไปที่เว็บไซต์ปลอมที่อ้างว่าเป็น google.com
แต่ในความเป็นจริงมันสามารถทำได้ค่อนข้างง่าย ในขณะที่ฟังดูเหมือนเป็นไปไม่ได้ (หรือยากที่จะทำ) ฉันควรแจ้งให้คุณทราบว่าไม่ยากที่จะทำเช่นนั้นและนี่เป็นเรื่องธรรมดาสำหรับ บริษัท หลาย ๆ แห่งในการรับชม / สกัดกั้นhttps
การรับส่งข้อมูลด้วยเหตุผลต่างๆ โดยการใช้ http (หรือการอนุญาต) ที่โปร่งใส http พร็อกซี
หากคุณเพิ่ม CA ท้องถิ่นลงในที่เก็บใบรับรองดังนั้นหาก บริษัท ของคุณใช้พรอกซี HTTP http พร็อกซีนี้อาจสร้างขึ้นบนใบรับรองปลอมทันทีสำหรับhttps
การเชื่อมต่อใด ๆและป้อนไปยังเบราว์เซอร์ของคุณและเบราว์เซอร์ของคุณจะเชื่อถือ (ดังที่อธิบายไว้ก่อนหน้านี้) . พร็อกซีที่อยู่ด้านข้างอาจถอดรหัสการเชื่อมต่อดังกล่าวเนื่องจากกุญแจส่วนตัวของตัวเองสำหรับใบรับรองที่ออกให้ทั้งหมดเพื่อวัตถุประสงค์ในการกรองการตรวจสอบการบันทึกและในกรณีที่การเชื่อมต่อผ่านตัวกรองพร็อกซีของพร็อกซี่ ตอบกลับและกลับไปที่ปลายทางเดิม (หรืออาจตัดสินใจเล่นการเชื่อมต่อหมดเวลาของปลอมหากกฎบางอย่างที่ต้องการนั้น)
สิ่งที่ฉันอาจแนะนำให้คุณถ้าคุณจะไม่เป็นเรื่องของการhttps
กรอง - ตั้งค่าเครื่องเสมือนบางส่วน (VirtualBox ตัวอย่าง) กับระบบปฏิบัติการที่คุณสะดวกสบายและเพิ่ม CA ท้องถิ่นของคุณในขณะที่ให้เครื่องโฮสต์ไม่ติดไวรัส CA ท้องถิ่น
โซลูชันอื่น - คุณอาจใช้โปรไฟล์ที่แตกต่างกันในเบราว์เซอร์ของคุณ (Firefox ที่ดีในเรื่องนี้), สำหรับการทำงานที่จะเก็บใบรับรอง CA ในพื้นที่ของคุณและโปรไฟล์ส่วนตัวอีกโปรไฟล์หนึ่งที่ไม่รวม CA ท้องถิ่น วิธีนี้คุณ (เบราว์เซอร์จริง) อาจมองเห็นเหตุการณ์ได้อย่างรวดเร็วหากhttps
การรับส่งข้อมูลของคุณถูกกรองผ่านพร็อกซี