据我所知,攻击者可以通过在受害者的浏览器中添加自定义证书和 CA 权限来拦截加密流量。我想知道如果网站使用公钥固定是否有效?
我将 Burp 的证书添加到 Firefox 中,我可以访问 Facebook 而不会出现任何证书错误。这怎么可能?
中间人攻击使用公钥固定的网站
信息安全
tls
中间人
2021-09-06 05:38:36
2个回答
我想知道如果网站使用公钥固定是否有效?
是的,它确实。由明确添加到信任库的 CA 签名的证书将不受固定检查的影响。这样做是为了允许有用且合法的 SSL 拦截。这种拦截可以在大多数企业防火墙中找到,但也可以在许多桌面 AV 中找到,并且需要扫描 HTTPS 流量以查找恶意软件等。如果不这样做,恶意软件交付将简单地转移到 HTTPS(这足够便宜)。
来自Mozilla:
Firefox 和 Chrome 对经过验证的证书链终止于用户定义的信任锚(而不是内置的信任锚)的固定主机禁用 pin 验证。这意味着对于导入自定义根证书的用户,所有固定违规都将被忽略。
其它你可能感兴趣的问题