V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
tyhunter
V2EX  ›  问与答

搭建 HTTPS 伪站劫持域名进行 MITM,求推荐证书签发方式

  •  
  •   tyhunter · 2020-04-13 23:43:48 +08:00 · 2212 次点击
    这是一个创建于 1686 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有一些特殊需求需要在 VPS 搭建伪站,本地 Dnsmasq 劫持访问,需要配置 HTTPS 证书,试了下 GMCert 国密证书,本地导入后还是,浏览器还是会提示不信任,第一次接触 CA 证书这种技术,想问下有没有办法在无法验证域名所有权( cloudflare 免费 15 年的那个需要验证域名所有权)的情况下,浏览器默认信任签发机构,不用另行导入
    lcdtyph
        1
    lcdtyph  
       2020-04-13 23:46:48 +08:00 via iPhone   ❤️ 2
    如果“ 在无法验证域名所有权的情况下,浏览器默认信任签发机构,不用另行导入”,那么整个公钥认证体系就没有任何意义了
    tyhunter
        2
    tyhunter  
    OP
       2020-04-13 23:50:02 +08:00
    @lcdtyph 刚仔细想了下,这点确实小白了,请教下现在 GMCert 浏览器还是会提示不信任,有没有其他免费签发机构可以推荐的,本地导入公钥的形式
    Tink
        3
    Tink  
       2020-04-13 23:50:18 +08:00
    不可能
    Keyes
        4
    Keyes  
       2020-04-13 23:51:38 +08:00 via iPhone
    本地能导直接自签就行了
    hundan
        5
    hundan  
       2020-04-13 23:58:27 +08:00 via iPhone
    洗洗睡吧 梦里啥都有
    darknoll
        6
    darknoll  
       2020-04-14 00:00:13 +08:00 via Android
    应该不行
    lookas2001
        7
    lookas2001  
       2020-04-14 00:06:32 +08:00
    ca 就是防 mitm 以及身份验证用的,如果存在一种方法可以绕过这种安全机制,那要 ca 干啥呢?
    要么导入根证书,要么用不安全的浏览器(比如 360 不安全浏览器)
    cydian
        8
    cydian  
       2020-04-14 00:07:19 +08:00 via Android
    不是 应该不行,
    而是 决定不行。
    cydian
        9
    cydian  
       2020-04-14 00:07:34 +08:00 via Android
    而是 绝对不行
    lcdtyph
        10
    lcdtyph  
       2020-04-14 00:10:01 +08:00   ❤️ 1
    @tyhunter #2
    我没用过 gmcert,不过想来应该是你导入的不对,或者是下载的证书缺少中间证书链

    我之前用的 mkcert https://github.com/FiloSottile/mkcert
    本地生成证书,还可以自动安装根证书,很方便
    tyhunter
        11
    tyhunter  
    OP
       2020-04-14 00:12:44 +08:00
    @lcdtyph 感谢大佬,现在就是 GMcert 下载回来的证书,导入本地会被 Windows 提示无法验证,下载回来是有三个 pem 文件,除了第一个 cert.pem 改名为 cert.crt 可以导入外,其他两个都不行,我试试你说的
    tyhunter
        12
    tyhunter  
    OP
       2020-04-14 00:13:02 +08:00
    @Keyes 现在是导入会被 Windows 提示无法验证,比较头疼
    nieyujiang
        13
    nieyujiang  
       2020-04-14 00:18:40 +08:00 via iPhone
    浏览器默认信任签发机构,那还要证书干什么🌚,直接 http 不好么
    chinvo
        14
    chinvo  
       2020-04-14 00:28:09 +08:00 via iPhone
    两个事

    1 、MITM 是违法的,即使你在为某些奇怪的机构工作
    2 、Windows 不支持国密
    lcdtyph
        15
    lcdtyph  
       2020-04-14 00:44:18 +08:00   ❤️ 1
    @tyhunter #11
    不是导入签发给你的证书,是导入国密的根证书
    根证书在生成证书那一页,“选择 CA”的右边有个下载
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   995 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:06 · PVG 03:06 · LAX 11:06 · JFK 14:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.