Burp Suite(Free Edition v1.6)を学習しています。デフォルト設定でセットアップしました。プロキシリスナーはポート8080で127.0.0.1をリッスンしており、証明書オプションは「CA署名付きのホストごとの証明書を生成する」に設定されています。 Firefox 33.0.2を使用しており、プロキシ設定を適切に構成しています。 _https://www.facebook.com/
_を参照しようとすると、「This Connection is Untrusted」ページが表示されますが、これは予想どおりの理解です。 「私をここから連れ出す!」というオプションがあります。および「例外の追加」。 SSL上の他のほとんどのサイトでも同じことが行われます。ただし、_https://www.Twitter.com/
_を参照しようとすると、多少異なる動作が発生します。 「この接続は信頼できない」ページが表示されますが、今回は「例外を追加」するオプションがありません。どちらの場合も、技術的な詳細は同じ問題を示しています。
www.***.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. (Error code: sec_error_unknown_issuer)
BurpのCAを信頼できるCAとしてブラウザーにインポートできることは知っていますが、Twitterの特定のケースで疑問に思っているのは、証明書を例外として追加するオプションがないことです。この動作は、少なくともテストした2つのブラウザー(FirefoxとChrome)で一貫しています。
[〜#〜] update [〜#〜] Firefoxで証明書の固定オプションを無効にしましたが、それでも同じ結果が表示されます。
PDATE 2例外として証明書を追加するオプションがありますが、次のコードで非表示になっています-
_<h2 xmlns="http://www.w3.org/1999/xhtml" hidden="true" id="expertContent" class="expander" collapsed="true">
<button onclick="toggle('expertContent');">I Understand the Risks</button>
</h2>
_
しかし、なぜFirefoxはこれを行うことにしたのですか? 「証明書の固定」が無効になった後でも。
これは、証明書のピン留め(または公開キーのピン留め)と呼ばれるセキュリティ機能です。この場合、ブラウザーはどの証明書(または公開鍵)を予期すべきかを認識しており、ユーザーがそれを上書きしようとする試みを拒否します。 Firefox 32以降、公開鍵のピン留めのためにTwitterが含まれています。
詳細は https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning を参照してください。
少し面倒な回避策ですが、BurstSuite/Charles/Fiddlerなどで使用する場合に機能します。HSTSサイトへの接続をプロキシしたい場合は、Firefox 3に戻します。 https://ftp.mozilla.org/pub /mozilla.org/firefox/releases/3.0/win32/en-GB/
このサイトは、HTTP Strict Transport Security(HSTS)を使用して、Firefoxが安全に接続することのみを指定しています。その結果、この証明書に例外を追加することはできません。