V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
godblessumilk
V2EX  ›  问与答

为什么浏览器导入了 burp suite / Fiddler 等抓包工具的证书, 所有网站 https 的 s 就形同虚设了?

  •  
  •   godblessumilk · 2021-11-17 17:53:55 +08:00 · 802 次点击
    这是一个创建于 1109 天前的主题,其中的信息可能已经有所发展或是发生改变。
    想知道为啥 burp 的证书能这么牛逼,浏览器导入证书后 https 的流量抓出来都是明文
    7 条回复    2021-12-25 19:50:52 +08:00
    godblessumilk
        1
    godblessumilk  
    OP
       2021-11-17 18:16:19 +08:00
    是否是因为 burp 道德沦丧卖屁股收买了 CA 机构的人心,导致自家的证书畅通无阻?还是另有别的原因?
    jifengg
        2
    jifengg  
       2021-11-18 09:15:37 +08:00
    楼主你一楼的回复我都看不出来你是真不知道还是假不知道了。
    证书诶,https 能用不就是因为证书吗?你都导入并信任这个证书了,它还有什么不能看的?
    认真回复:建议查查 https 是怎么保障信息不泄露的,以及了解“中间人攻击”是怎么实现的。
    godblessumilk
        3
    godblessumilk  
    OP
       2021-11-18 17:08:43 +08:00
    @jifengg 我不理解的点在于,证书不是跟域名有关的吗,类似于一个人有一张唯一的由 CA 机构颁(公安局)发的证书(身份证),按道理来说身份证是一个人只能拥有一张的,别人也只认可信任这一张身份证,但为什么 burp 的证书被所有域名都信任,按道理每个站点不应该只信任那个和自己域名绑定的证书才对 ????
    EscYezi
        4
    EscYezi  
       2021-11-18 17:42:53 +08:00 via iPhone
    应该是网站没校验客户端证书吧
    SingeeKing
        5
    SingeeKing  
       2021-11-23 10:12:33 +08:00
    「导入了」
    learningman
        6
    learningman  
       2021-12-22 22:33:22 +08:00
    @godblessumilk #3 ”信任“是由浏览器完成的,浏览器信任一切 CA 颁发的证书,如果一个网站有 N 张由 CA 颁发的证书,那他们都是有效的。
    CA 的判断是依靠操作系统内置的一个 CA 列表,Burp 在这个列表中添加了一个假 CA ,然后每次你通过 Burp 访问一个网站,Burp 都会用这个假 CA 签发一张对应的证书,但是浏览器没有能力识别这是个假 CA ,所以就通过了。( OCSP 啊证书装订证书透明之类的姑且不论)
    godblessumilk
        7
    godblessumilk  
    OP
       2021-12-25 19:50:52 +08:00 via Android
    @learningman 原来是因为 [浏览器没有能力识别这是个假 CA] ,感谢前辈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2750 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:59 · PVG 17:59 · LAX 01:59 · JFK 04:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.