Можно, либо получаете доступ к инфраструктуре сервиса и ковыряете трафик еще до отправки клиенту, либо ставите на клиента поддельный корневой сертификат, и можете пускать трафик через себя. Посмотрите как делает Fiddler на локальной машине, чтобы перехватывать HTTPS трафик. Если вы сможете установить липовый сертификат, то сможете и перешифровывать на middle-стороне трафик, создавая иллюзию нормального HTTPS соединения.
Теоретически взломать невозможно. Ибо MitM легко обнаруживается по сертификату.
Практически ломается, т.к среднестатистическому пользователю на сертификаты наплевать.
подмена днс, получаем точку соединения у себя, дальше подмена сертификата....
так работают корпоративные системы фильтрации https трафика, провайдерская фильтрация https возможна только так..
Кстати подмена dns не обязательно, достаточно просто перенаправить трафик на свой сервер
Руслан Федосеев присоединяюсь к комменту OnYourLips . Если пользователь это сообщение игнорит - это его проблема и это есть собственноручный отказ от безопасности. Опять таки, зачем нам эти сертификаты за хорошие кстати деньги), если б так все просто было.
;) но ведь подавляющее большинство игнорирует это предупреждение.... А насчет есть ли такая возможность на провайдерах... Возможность есть, просто выбирается минимальное зло - блокируется целиком сайт по https, при попадании урла в реестр.
Если есть возможность подсунуть сертификат в доверенные корневые центры, например в организации с помощью GPO, то на основе этого сертификата, большинство межсетевых экранов могут инспектировать HTTPS траффик и пользователь этого не заметит, если только не посмотрит цепочку сертификатов, т.к. браузер не будет ругаться на валидность сертификата.
Ниже скриншот в случае выхода через MS TMG в нашей организации.
Простой
