Пока не может. Но "мы работаем над этим". Для этого нужно всего ничего - так же как в братском Казахстане - всем расставить госсертификат в доверенные корневые центры - и сможет.
Не кидайте в меня помидоры и не пытайтесь обьяснить основы криптографии с открытым ключом. На предприятиях уже вовсю работают прокси с бампингом, которые расшифровывают HTTPS. Как это происходит:
- Клиент передает на прокси запрос об установлении HTTPS-соединения допустим с vk.com
- Прокси быстренько выпускает сертификат на vk.com НА СЕБЯ и подсовывает его клиенту с целью получить ключ инициализации соединения, клиент конечно его отдает - ведь он видит, что соединение с узлом vk.com подтверждено сертификатом, который выпущен одним из корневых CA, которым он доверяет
- В этом месте прокси может просмотреть путь запроса (который в нормальном состоянии уже скрыт), решить - продолжать ли ему установление соединения или же отказать... Если решено соединение принять, то прокси передает ключ на настоящий vk.com, устанавливает соединение, передает данные клиенту - ну как обычно
- Все данные видны прокси, потому что он знает ключ соединения
Уже нашли подвох? Правильно! Соединение с фейковым vk,com подтверждено одним из корневых CA! Сертификат, который установлен на прокси - это сертификат subCA, он выпущен неким CA и сертификат этого CA должен быть добавлен в хранилище корневых СА. Видели, как изменилось условие расшифровки трафика? Вместо "нужен личный ключ" - "нужно установить сертификат". Вместо технической меры - организационная. Кто-то еще сомневается, что "когда настанут холода", всем придется поставить госсертификат в доверенные? Добровольно и с песней, как кошка из анекдота?
Да, это MiTM. Самый что ни на есть классический MiTM. :) Но кого это будет волновать?
Средний
Средний
