Du moment que l'on ne maîtrise ni le serveur DNS, ni le moyen de certification, le proxy / homme du milieu, peut signer tout les certificats qu'il veut, et faire son boulot d'interception.
Mais ce genre de pratique est quand même sacrément malhonnête de la part de l'admin réseau...
La seule solution que je vois pour éviter une telle interception, dans le cas par exemple de l'utilisation d'un wifi publique sur lequel on pourrait avoir ce genre de mécanisme d'homme du milieu:
- utiliser un DNS "externe" bien précis (pas celui qui est fournit par le serveur DHCP). Mais la solution n'est pas 100% fiable, car le hotspot wifi peut très bien intercepter et modifier les requêtes DNS
- ET de n'utiliser que des certificats de CA dans lesquels on a confiance. Donc surtout ne pas accepter des certificats qui viennent de cette connexion wifi.
[^] # Re: Bizarre, bizarre
Posté par Olivier (site web personnel) . En réponse au message Solution pour filtrer du contenu HTTPS. Évalué à 6.
Du moment que l'on ne maîtrise ni le serveur DNS, ni le moyen de certification, le proxy / homme du milieu, peut signer tout les certificats qu'il veut, et faire son boulot d'interception.
Mais ce genre de pratique est quand même sacrément malhonnête de la part de l'admin réseau...
La seule solution que je vois pour éviter une telle interception, dans le cas par exemple de l'utilisation d'un wifi publique sur lequel on pourrait avoir ce genre de mécanisme d'homme du milieu:
- utiliser un DNS "externe" bien précis (pas celui qui est fournit par le serveur DHCP). Mais la solution n'est pas 100% fiable, car le hotspot wifi peut très bien intercepter et modifier les requêtes DNS
- ET de n'utiliser que des certificats de CA dans lesquels on a confiance. Donc surtout ne pas accepter des certificats qui viennent de cette connexion wifi.