En gros pour le SSL une liste officielle est consolidée dans le navigateur. Ce sont les les CA qui servent à signer les clés régulières pour nos domaines. Il y a donc du Verisign, THAWTE ou encore Comodo .. ceux qui sont autorisés à signer nos certificats.
Si je veux intercepter du SSL il suffi de:
- de créer une clés
- de la signer avec mon CA
- de configurer le CA + ma clés dans gatejs
- d'installer le CA sur le device et le tour et joué
Sauf que dans certain cas, le CA de confiance est codé en dur dans l'application. Cela a pour effet de bloquer la connexion puisque le CA et CRT ne sont pas les mêmes qu'annoncés. C'est une "sécurité" de l'application pour éviter ce genre d'interception.
[^] # Re: Interception ssl
Posté par Michael Vergoz . En réponse à la dépêche gateGhost: Traque-moi si tu peux. Évalué à 2. Dernière modification le 03 juillet 2014 à 12:18.
En gros pour le SSL une liste officielle est consolidée dans le navigateur. Ce sont les les CA qui servent à signer les clés régulières pour nos domaines. Il y a donc du Verisign, THAWTE ou encore Comodo .. ceux qui sont autorisés à signer nos certificats.
Si je veux intercepter du SSL il suffi de:
- de créer une clés
- de la signer avec mon CA
- de configurer le CA + ma clés dans gatejs
- d'installer le CA sur le device et le tour et joué
Sauf que dans certain cas, le CA de confiance est codé en dur dans l'application. Cela a pour effet de bloquer la connexion puisque le CA et CRT ne sont pas les mêmes qu'annoncés. C'est une "sécurité" de l'application pour éviter ce genre d'interception.