本文揭示了大约 18% 的 HTTPS 连接是如何被 MITM 代理检测到的。正如伟大的相关论文所述:
为了规避这种验证,本地软件会在安装时将自签名 CA 证书注入客户端浏览器的根存储中。
[...]
与普遍的看法相反,公钥固定 [19]——一种 HTTPS 功能,允许网站将连接限制到特定的密钥——并不能阻止这种拦截。Chrome、Firefox 和 Safari 仅在证书链终止于浏览器或操作系统附带的授权时才强制执行固定密钥。当链终止于本地安装的根目录(即管理员安装的 CA 证书)时,将跳过额外的验证[34]。
在公司、桌面防病毒软件和恶意软件/广告软件上添加根 CA是很常见的。有时甚至出于诚实的原因。但是为了让情况更清楚:SSL 网络浏览与最弱的 CA 完全一样强(这包括 DNS,如果DNS-over-HTTPS)。
我想至少在三个方面检查我的 HTTPS 流量是否被拦截(如果只使用 CLI 更好):
所以真正的问题是:
checkmyhttps看起来很旧而且不值得信赖
铬:chrome://settings/certificates。
这是返回其中一些命令的子集?
# System …