为什么浏览器导入了 burp suite / Fiddler 等抓包工具的证书, 所有网站 https 的 s 就形同虚设了?
godblessumilk 2021-11-17 17:53:55 +08:00 1062 次点击这是一个创建于 1425 天前的主题,其中的信息可能已经有所发展或是发生改变。
想知道为啥 burp 的证书能这么牛逼,浏览器导入证书后 https 的流量抓出来都是明文
 | 1 godblessumilk OP 是否是因为 burp 道德沦丧卖屁股收买了 CA 机构的人心,导致自家的证书畅通无阻?还是另有别的原因? |
 | 2 jifengg 2021-11-18 09:15:37 +08:00 楼主你一楼的回复我都看不出来你是真不知道还是假不知道了。 证书诶,https 能用不就是因为证书吗?你都导入并信任这个证书了,它还有什么不能看的? 认真回复:建议查查 https 是怎么保障信息不泄露的,以及了解“中间人攻击”是怎么实现的。 |
| 3 godblessumilk OP @jifengg 我不理解的点在于,证书不是跟域名有关的吗,类似于一个人有一张唯一的由 CA 机构颁(公安局)发的证书(身份证),按道理来说身份证是一个人只能拥有一张的,别人也只认可信任这一张身份证,但为什么 burp 的证书被所有域名都信任,按道理每个站点不应该只信任那个和自己域名绑定的证书才对 ???? |
 | 4 EscYezi 2021-11-18 17:42:53 +08:00 via iPhone 应该是网站没校验客户端证书吧 |
 | 5 SingeeKing PRO 「导入了」 |
 | 6 learningman 2021-12-22 22:33:22 +08:00 @godblessumilk #3 ”信任“是由浏览器完成的,浏览器信任一切 CA 颁发的证书,如果一个网站有 N 张由 CA 颁发的证书,那他们都是有效的。 CA 的判断是依靠操作系统内置的一个 CA 列表,Burp 在这个列表中添加了一个假 CA ,然后每次你通过 Burp 访问一个网站,Burp 都会用这个假 CA 签发一张对应的证书,但是浏览器没有能力识别这是个假 CA ,所以就通过了。( OCSP 啊证书装订证书透明之类的姑且不论) |
 | 7 godblessumilk OP @learningman 原来是因为 [浏览器没有能力识别这是个假 CA] ,感谢前辈 |
Select Language