Возможна незаметная подмена SSL сертификата?

Question

[Марк Розенталь]

Привет!
Несколько человек работает с серьезной информацией и есть основания их митмить.
Возможна ли незаметная подмена сертификата (чтобы зеленый замочек в браузере оставался неизменным)?
Или только подсунуть свой серт в доверенные через AD?

Answer 1

[mace-ftl]

Если ты не админ их ПК (т.е. или физический доступ или доменный) - то нет.

Answer 2

[Gem]

Есть подозрения о выдаче произвольных сертификатов по запросу, на государственном уровне. Certificate and Public Key Pinning и Certificate Transparency защищают от этого, но редко встречаются и создают дополнительные сложности.
В целом идея PKI вне предприятия/госструктуры - довольно порочна.

Answer 3

[res2001]

Прозрачный SSL прокси с подменой (squid). Если на прокси повесить нормальный сертификат, то замочек останется зеленым. Подмену, конечно, можно обнаружить посмотрев на сертификат, но для этого надо знать какой сертификат был до этого, да и кто смотрит на них?
Можно и не подменять, но при этом контролировать: habrahabr.ru/post/267851

Comments

[Влад Животнев]

Нет, невозможно "на прокси повесить нормальный сертификат". Только свой СА, а его придется добавлять в конечные системы, что сделать без доступа на запись в хранилище проблематично (но если есть доступ на комп - это уже не mitm, можно из браузера всё нужное достать).

[res2001]

Да, согласен, нормальный сертификат вряд ли получится добыть в общем случае. Хотя кто знает, какой случай у автора вопроса.
Возможен еще вариант, описанный тут habrahabr.ru/post/111714
Но тут уже у клиента SSL отсутствует и это будет легко обнаружить, если пользователь достаточно опытный.

Answer 4

[DimaJF]

Если нужно совсем незаметно, надо в том же центре сертификации получить сертификат на такое же имя. :-)