Как расшифровать https?

Question

[MARMELAD03]

Можно ли производить аттаку "man in the middle" в протоколе https? Если можно, то чем? Или как еще можно расшифровать https траффик?

Answer 1

[Станислав Макаров]

Можно, либо получаете доступ к инфраструктуре сервиса и ковыряете трафик еще до отправки клиенту, либо ставите на клиента поддельный корневой сертификат, и можете пускать трафик через себя. Посмотрите как делает Fiddler на локальной машине, чтобы перехватывать HTTPS трафик. Если вы сможете установить липовый сертификат, то сможете и перешифровывать на middle-стороне трафик, создавая иллюзию нормального HTTPS соединения.

Answer 2

[ТыжСисАдмин]

гуглите sslstrip

Answer 3

[Александр Карабанов]

Вот так расшифровать: habrahabr.ru/post/253521

UPD
И вот ещё habrahabr.ru/company/pt/blog/267069

Answer 4

[АртемЪ]

Теоретически взломать невозможно. Ибо MitM легко обнаруживается по сертификату.
Практически ломается, т.к среднестатистическому пользователю на сертификаты наплевать.

Answer 5

[Армянское Радио]

Протокол на то и ориентирован, что MiTM в нем реализовать практически сложна, без доступа к одной из сторон соединения.

Comments

[Руслан Федосеев]

ага. или к каналу связи между сторонами

[Станислав Макаров]

Руслан Федосеев я думаю критичен доступ именно к одной из сторон, если бы доступа к каналу было достаточно, не вижу вообще смысла в TLS

[Руслан Федосеев]

подмена днс, получаем точку соединения у себя, дальше подмена сертификата....
так работают корпоративные системы фильтрации https трафика, провайдерская фильтрация https возможна только так..
Кстати подмена dns не обязательно, достаточно просто перенаправить трафик на свой сервер

[Станислав Макаров]

Руслан Федосеев присоединяюсь к комменту OnYourLips . Если пользователь это сообщение игнорит - это его проблема и это есть собственноручный отказ от безопасности. Опять таки, зачем нам эти сертификаты за хорошие кстати деньги), если б так все просто было.

[Руслан Федосеев]

;) но ведь подавляющее большинство игнорирует это предупреждение.... А насчет есть ли такая возможность на провайдерах... Возможность есть, просто выбирается минимальное зло - блокируется целиком сайт по https, при попадании урла в реестр.

[RazorBlade]

Если есть возможность подсунуть сертификат в доверенные корневые центры, например в организации с помощью GPO, то на основе этого сертификата, большинство межсетевых экранов могут инспектировать HTTPS траффик и пользователь этого не заметит, если только не посмотрит цепочку сертификатов, т.к. браузер не будет ругаться на валидность сертификата.
Ниже скриншот в случае выхода через MS TMG в нашей организации.

Answer 6

[MefistofelKr]

В Kali Linux есть сборка софта для расшифровки ssl трафикп.