クライアントでのsslstripとprivoxyのリダイレクトルール

はい、このPrivoxyルールセットは単純なSSLStrip攻撃だけを防ぎます。しかし、すべての攻撃を防ぐことはできません。最近、 DigiNotar という名前の認証局が侵害されました。 DigiNotarはそれらが含まれていることを知っていましたが、公衆への通知に失敗しました Mozillaを信頼できるCAとして削除 。このハッカーは 他の4つのCAを侵害したと主張しています です。これらの偽造された証明書は、MITM GmailおよびFacebookに イランで使用 されています。

SSLStripの作成者であるMoxie Marlenspikeは、これをnullバイトポイズニングなどの他の攻撃と組み合わせて使用​​して、偽造された証明書を生成することができました。この攻撃は SSLを無効にするためのその他のテクニック で説明されています。

これらのどちらの場合でも HTTPS Everywhere とPrivoxyは同じ問題に陥ります。証明書はブラウザーの観点から（--- ===-）完全に有効であるように見えます。

2011年に、Moxie Marlenspikeが講演 The Future of Authenticity を行いました。この講演では、なぜ Convergence がこれらの問題を解決できるのかを詳しく説明しています。イランまたは中国にいて、州が後援しているISPが偽造された証明書を使用してMITM攻撃を実行することを心配している場合は、Convergenceを使用してこの攻撃を検出できます。ただし、安全にWebサイトにアクセスするには、 The Tor Project を使用する必要があります。

他の2つの答えは素晴らしいですが、私もこのログを火に投げると思いました。

仕事中（または、100％制御されていないコンピューターを使用している場所）であれば、SSLを使用している場合でも、安全性をまったく確保するべきではありません。

自分のルート証明書を配布し、ネットワークに SSLインターセプトデバイス を持っている多くの大規模組織を知っています。これらのデバイスは、オンザフライで偽の証明書を生成し、独自のルートで署名することにより、SSLトラフィックをMITMできます。これらの組織はすべての機器にルート証明書をインストールしているため、たとえば会社のラップトップを使用している場合、すでにこのルートを信頼しています。

特に皮肉な場合は、大規模なCAや政府が後援するCA（中国の情報省など）が、まさにこの目的のために法執行機関、諜報機関、軍に偽の証明書を提供していると信じているかもしれません。

thisタイプのSSLスニッフィングを回避する唯一の方法は、信頼するCAを厳選することです（私は個人のラップトップから多くのCAを削除しました）。 Certificate Patrolなどの証明書追跡プラグインを使用します。 Certificate Patrolは、過去に確認した証明書（一種の最初の信頼ポリシー）を追跡し、証明書が予期せず変更された場合に通知します。