HTTPS. Выполняет ли сервер проверку каким ключом зашифрован запрос POST?

Question

[Alex XYZ]

Всем привет.
Немного запутался. Прошу небольшую консультацию.
Если я просматриваю HTTPS сайт, то если происходит "нарушение" сертификата, то браузер меня об этом уведомляет визуально - перечёркнутый протокол HTTPS красным цветом. А если я отправляю данные запросом POST на сервер в этом случае, то я не вижу, чтобы сервер был чем-то "недоволен".
Например, я ставлю в Fiddler расшифровку трафика HTTPS и он показывает мне дешифрованный трафик в обоих направлениях, значит он расшифровывает исходящий трафик POST-запроса (своим сертификатом, конечно, но дальше-то отправляет так как он зашифровал). Или сервер не проверяет?
Как это объяснить?

UPDATE:

Не знаю, как мне сразу не пришло в голову, но при MITM-атаке невозможна подделка POST-запроса серверу! Только подделка запросов/ответов цепочки клиент-MITM. Доказательство - чтобы сервер мог расшифровать сообщение от клиента приватным ключом необходимо исходное сообщение зашифровать ПУБЛИЧНЫМ ключом. А MITM это делает у себя, поэтому сервер никогда не сможет в "обычной" ситуации распознать MITM, кроме случая, когда клиент аутентифицировался по сертификату. Вот тут он точно можно заметить MITM обеими сторонами.

Answer 1

[Алексей Уколов]

Или сервер не проверяет?

Не проверяет, зачем ему это? Проверка в браузере нужна для защиты пользователя, чтобы он точно знал, что общается с нужным сервером и что его трафик никто не читает. У сервера таких проблем нет и если там нужно что-то валидировать или авторизовывать, то это делается при помощи других инструментов.

Comments

[Alex XYZ]

А не подскажите компонент или библиотеку на каком-либо языке (C#/Java, например), а то я не часто сталкиваюсь с HTTPS, да ещё и обрабатывать? я дальше аналогию быстро найду.

[Алексей Уколов]

Компонент или библиотеку для чего? Обычно этим веб-сервер занимается и разработчикам приложений совершенно не важно зашифрованный запрос пришёл или нет. Вы пишете веб-сервер?

[Alex XYZ]

Алексей Уколов: Нет, конечно, не пишу. Я пишу под сервер. Хочу сам обрабатывать/выдавать форму при несоответствии сертификата, используемого для шифрования POST данных пользователя. По-ощущениям надо делать фильтр.

[Алексей Уколов]

Вы, похоже, не очень понимаете как SSL работает (или я не понимаю вашу задачу). Клиент никакой сертификат никуда не отправляет. Клиент и сервер обмениваются только ключами при старте соединения, а потом просто отправляют друг другу зашифрованные потоки данных (я упростил немного).

[Alex XYZ]

Алексей Уколов: В общих чертах как работает SSL понятно. (рукопожатие и всё такое) Я хочу проверить, что при отправке данных методом POST не происходит MITM атаки. То что клиент смотрит на не валидный сертификат в данный момент меня не очень волнует.
Или перефразируя вопрос - как защитить сервер от приёма поддельных данных методом POST? (GET-то не шифруется).

[Алексей Уколов]

Ясно. Я вам рекомендую задать именно с такой формулировкой (про mitm) и тогда кто-то компетентнее меня, возможно, вам ответит :)

[Alex XYZ]

Алексей Уколов: Ну я ж не про атаку в прямом смысле. Когда я отлаживаю web-приложение под fiddler это уже считается mitm ))) Поэтому и хотел узнать, как можно засечь такую ситуацию.
А так mitm для клиента показывает сам браузер.

[Alex XYZ]

Алексей Уколов: Не знаю, как мне сразу не пришло в голову, но при MITM-атаке невозможна подделка запроса серверу! Только подделка запросов/ответов цепочки клиент-MITM. Доказательство - чтобы сервер мог расшифровать сообщение от клиента приватным ключом необходимо исходное сообщение зашифровать ПУБЛИЧНЫМ ключом. А MITM это делает у себя, поэтому сервер никогда не сможет в "обычной" ситуации распознать MITM, кроме случая, когда клиент аутентифицировался по сертификату. Вот тут он точно можно заметить MITM обеими сторонами.
Всё, ситуация разъяснилась! Спасибо за помощь.