为什么浏览器导入了 burp suite / Fiddler 等抓包工具的证书, 所有网站 https 的 s 就形同虚设了?
godblessumilk · 2021-11-17 17:53:55 +08:00 · 795 次点击这是一个创建于 1102 天前的主题,其中的信息可能已经有所发展或是发生改变。
想知道为啥 burp 的证书能这么牛逼,浏览器导入证书后 https 的流量抓出来都是明文
 |
1
godblessumilk OP 是否是因为 burp 道德沦丧卖屁股收买了 CA 机构的人心,导致自家的证书畅通无阻?还是另有别的原因?
|
 |
2
jifengg 2021-11-18 09:15:37 +08:00
楼主你一楼的回复我都看不出来你是真不知道还是假不知道了。
证书诶,https 能用不就是因为证书吗?你都导入并信任这个证书了,它还有什么不能看的? 认真回复:建议查查 https 是怎么保障信息不泄露的,以及了解“中间人攻击”是怎么实现的。 |
|
3
godblessumilk OP @jifengg 我不理解的点在于,证书不是跟域名有关的吗,类似于一个人有一张唯一的由 CA 机构颁(公安局)发的证书(身份证),按道理来说身份证是一个人只能拥有一张的,别人也只认可信任这一张身份证,但为什么 burp 的证书被所有域名都信任,按道理每个站点不应该只信任那个和自己域名绑定的证书才对 ????
|
 |
4
EscYezi 2021-11-18 17:42:53 +08:00 via iPhone
应该是网站没校验客户端证书吧
|
 |
5
SingeeKing 2021-11-23 10:12:33 +08:00
「导入了」
|
 |
6
learningman 2021-12-22 22:33:22 +08:00
@godblessumilk #3 ”信任“是由浏览器完成的,浏览器信任一切 CA 颁发的证书,如果一个网站有 N 张由 CA 颁发的证书,那他们都是有效的。
CA 的判断是依靠操作系统内置的一个 CA 列表,Burp 在这个列表中添加了一个假 CA ,然后每次你通过 Burp 访问一个网站,Burp 都会用这个假 CA 签发一张对应的证书,但是浏览器没有能力识别这是个假 CA ,所以就通过了。( OCSP 啊证书装订证书透明之类的姑且不论) |
|
7
godblessumilk OP @learningman 原来是因为 [浏览器没有能力识别这是个假 CA] ,感谢前辈
|
Select Language