LINUX.ORG.RU

История изменений

Исправление shimshimshim, (текущая версия) :

Ты решил потроллить тупостью что ли? Или не понимаешь как работает МИТМ и CA?

Вот представь себе что lor подписан самоподписанным сертификатом и любой может его сгенерить openssl.

Могу я имея такой серт сгенерить закрытый и открытый ключи домена lor? Могу.

Могу я имея доступ к маршрутизатору перехватить идущий через него сырой траф? Могу, иначе не было бы смого понятия МИТМ.

Могу я не пустить траф дальше? Да запросто, iptables тому пример.

Могу я имея публичный и приватный ключи прикинуться лором в транзакциях с польователем и расшифровывать весь траф? В общем случае могу.

Могу я прикинуться клиентом при общении с натоящим лором, повторяя все что получил от пользователя? Могу.

Все, вот тебе и митм.

Но браузер не даст мне этого сделать, потому что сертификат самоподписан. Он начнет ругаться. Почему? Потому что браузер доверяет только сертификатам, подписанным промежуточными CA, рутовый сертификат от имени которого они подписывают заранее установлен в системе как доверенный. А моего серта в доверенных нет. Поэтому за подписью серта для домена мы идем (в широком смысле этого слова) в УЦ, а не просто генерим его самостоятельно openssl.

Исправление shimshimshim, :

Ты решил потроллить тупостью что ли? Или не понимаешь как работает МИТМ и CA?

Вот представь себе что lor подписан самоподписанным сертификатом и любой может его сгенерить openssl.

Могу я имея такой серт сгенерить закрытый и открытый ключи домена lor? Могу.

Могу я имея доступ к маршрутизатору перехватить идущий через него сырой траф? Могу, иначе не было бы смого понятия МИТМ.

Могу я не пустить траф дальше? Да запросто, iptables тому пример.

Могу я имея публичный и приватный ключи прикинуться лором в транзакциях с польователем и расшифровывать весь траф? В общем случае могу.

Могу я прикинуться клиентом при общении с натоящим лором, повторяя все что получил от пользователя? Могу.

Все, вот тебе и митм.

Но браузер не даст мне этого сделать, потому что сертификат самоподписан. Он начнет ругаться. Почему? Потому что браузер доверяет только сертификатам, подписанным промежуточными CA, рутовый сертификат от имени которого они подписывают заранее установлен в системе как доверенный. А моего серта в доверенных нет. Поэтому за подписью серта для домена мы идем в УЦ, а не просто генерим его самостоятельно openssl.

Исходная версия shimshimshim, :

Ты решил потроллить тупостью что ли? Или не понимаешь как работает МИТМ и CA?

Вот представь себе что lor подписан самоподписанным сертификатом и любой может его сгенерить openssl.

Могу я имея такой серт сгенерить закрытый и открытый ключи домена lor? Могу.

Могу я имея доступ к маршрутизатору перехватить идущий через него сырой траф? Могу, иначе не было бы смого понятия МИТМ.

Могу я не пустить траф дальше? Да запросто, iptables тому пример.

Могу я имея публичный и приватный ключи прикинуться лором в транзакциях с польователем и расшифровывать весь траф? В общем случае могу.

Могу я прикинуться клиентом при общении с натоящим лором, повторяя все что получил от пользователя? Могу.

Все, вот тебе и митм.

Но браузер не даст мне этого сделать, потому что сертификат самоподписан. Он начнет ругаться. Почему? Потому что браузер доверяет только сертификатам, подписанным промежуточными CA, рутовый сертификат от имени которого они подписывают заранее установлен в системе как доверенный. А моего серта в доверенных нет. Поэтому за сертом для домена мы идем в УЦ, а не генерим его самостоятельно openssl.