• [^] # Re: Interception ssl

    Posté par . En réponse à la dépêche gateGhost: Traque-moi si tu peux. Évalué à 2. Dernière modification le 03 juillet 2014 à 12:18.

    En gros pour le SSL une liste officielle est consolidée dans le navigateur. Ce sont les les CA qui servent à signer les clés régulières pour nos domaines. Il y a donc du Verisign, THAWTE ou encore Comodo .. ceux qui sont autorisés à signer nos certificats.
    Si je veux intercepter du SSL il suffi de:
    - de créer une clés
    - de la signer avec mon CA
    - de configurer le CA + ma clés dans gatejs
    - d'installer le CA sur le device et le tour et joué

    Sauf que dans certain cas, le CA de confiance est codé en dur dans l'application. Cela a pour effet de bloquer la connexion puisque le CA et CRT ne sont pas les mêmes qu'annoncés. C'est une "sécurité" de l'application pour éviter ce genre d'interception.