Fiddler是否在每台计算机上唯一地创建私有根证书?
dr.*_*vil 4 security debugging proxy http fiddler
使用Fiddler时,它会要求安装根证书,该证书会自动解密SSL通信。但是它也告知用户,除非是测试系统,否则不应安装它。
我的理解是,由于Fiddler在每台计算机上使用相同的私钥,因此攻击者可以获取此私钥并执行真正的MITM,而用户不知道,因为计算机信任Fiddler的根。
但是,Fiddler网站上的这一行与我的共享私钥理论相矛盾:
如果客户端计算机本身以前曾以HTTPS解密模式运行Fiddler,则所有尝试访问由另一台计算机的Fiddler版本保护的HTTPS页面的尝试都会失败,并出现未指定的证书问题。若要解决此问题,请删除客户端证书存储中的Fiddler根证书。(不匹配的根证书会导致此问题,因为每个Fiddler实例都会生成自己的唯一根)。
我的问题是;为什么Fiddler不按机器创建私钥,这样才安全。如果Fiddler已经在执行此操作,为什么要告诉用户不要安装它,除非它是一个测试系统?
为了清楚起见,我正在谈论此警告:
问: Fiddler是否在每台计算机上唯一地创建私有根证书?
答:当然可以。http://www.telerik.com/blogs/faq---certificates-in-fiddler
有什么风险?
许多安全人员担心,如果用户将Windows配置为信任Fiddler的根证书,则该用户的流量可能会被其他Fiddler用户拦截和解密。他们假定Fiddler在所有安装中共享相同的根证书。
不要怕!每个Fiddler根证书都是按用户,按计算机唯一生成的。没有两个Fiddler安装具有相同的根证书。Fiddler用户被坏人“欺骗”的唯一方法是,如果该坏人已经在用户帐户内运行代码(这意味着您已经被伪装了)。