j11codep Ответов: 1

Протокол HTTPS, протокол TLS рукопожатие "человек посередине"

Если запрос приветствия клиента каким-то образом перехватывается до того, как он попадает на реальный сервер, и этот вредоносный сервер отвечает своим собственным сертификатом (не уверен, что это возможно, например, что у вредоносного сервера есть действительный сертификат, выданный центром сертификации). Таким образом, с этого момента вредоносный сервер может просто получать, обрабатывать и пересылать запросы от клиента на реальный сервер. Когда фактический сервер отвечает, он отправляет его на вредоносный сервер. Вредоносный сервер проверяет сообщение, переупаковывает его своим собственным общим ключом с клиентом и отправляет обратно клиенту? Я что-то упустил?

Что я уже пробовал:

Не код, я пробовал гуглить, но не нашел точного ответа или подобного вопроса

1 Ответов

Рейтинг:
0

Richard Deeming

Это потребует от злоумышленника наличия действительного сертификата для домена, который он пытается перехватить. Как правило, это может произойти двумя способами:

Мошенник или скомпрометированный CA. Это имеет тенденцию быть пойманным довольно быстро, и этот CA будет загружен из списка "доверенных".

Правительства заставляют всех пользователей устанавливать поддельный сертификат ЦС, чтобы разрешить слежку. Это обычно требует, чтобы пользователи устанавливали сертификаты на свое собственное оборудование, хотя вполне возможно, что правительство, о котором идет речь, может заставить все новое оборудование поставляться с предварительно установленным сертификатом. Хотя многие пользователи не поймут последствий, это, как правило, очень заметно и привлекает много негативного внимания со стороны правительства, о котором идет речь. Например: смотрите действия правительства Казахстана в июле 2019 года.


Вы мало что можете сделать, чтобы защититься от любого из них. Но обеспечение того, чтобы ваш сайт всегда обслуживался по протоколу TLS, все же гораздо предпочтительнее, чем обслуживание его по незашифрованному соединению.