搭建 HTTPS 伪站劫持域名进行 MITM,求推荐证书签发方式

2020 年 4 月 13 日
 tyhunter
有一些特殊需求需要在 VPS 搭建伪站,本地 Dnsmasq 劫持访问,需要配置 HTTPS 证书,试了下 GMCert 国密证书,本地导入后还是,浏览器还是会提示不信任,第一次接触 CA 证书这种技术,想问下有没有办法在无法验证域名所有权( cloudflare 免费 15 年的那个需要验证域名所有权)的情况下,浏览器默认信任签发机构,不用另行导入
2641 次点击
所在节点    问与答
15 条回复
lcdtyph
2020 年 4 月 13 日
如果“ 在无法验证域名所有权的情况下,浏览器默认信任签发机构,不用另行导入”,那么整个公钥认证体系就没有任何意义了
tyhunter
2020 年 4 月 13 日
@lcdtyph 刚仔细想了下,这点确实小白了,请教下现在 GMCert 浏览器还是会提示不信任,有没有其他免费签发机构可以推荐的,本地导入公钥的形式
Tink
2020 年 4 月 13 日
不可能
Keyes
2020 年 4 月 13 日
本地能导直接自签就行了
hundan
2020 年 4 月 13 日
洗洗睡吧 梦里啥都有
darknoll
2020 年 4 月 14 日
应该不行
lookas2001
2020 年 4 月 14 日
ca 就是防 mitm 以及身份验证用的,如果存在一种方法可以绕过这种安全机制,那要 ca 干啥呢?
要么导入根证书,要么用不安全的浏览器(比如 360 不安全浏览器)
cydian
2020 年 4 月 14 日
不是 应该不行,
而是 决定不行。
cydian
2020 年 4 月 14 日
而是 绝对不行
lcdtyph
2020 年 4 月 14 日
@tyhunter #2
我没用过 gmcert,不过想来应该是你导入的不对,或者是下载的证书缺少中间证书链

我之前用的 mkcert https://github.com/FiloSottile/mkcert
本地生成证书,还可以自动安装根证书,很方便
tyhunter
2020 年 4 月 14 日
@lcdtyph 感谢大佬,现在就是 GMcert 下载回来的证书,导入本地会被 Windows 提示无法验证,下载回来是有三个 pem 文件,除了第一个 cert.pem 改名为 cert.crt 可以导入外,其他两个都不行,我试试你说的
tyhunter
2020 年 4 月 14 日
@Keyes 现在是导入会被 Windows 提示无法验证,比较头疼
ZeoKarl
2020 年 4 月 14 日
浏览器默认信任签发机构,那还要证书干什么🌚,直接 http 不好么
chinvo
2020 年 4 月 14 日
两个事

1 、MITM 是违法的,即使你在为某些奇怪的机构工作
2 、Windows 不支持国密
lcdtyph
2020 年 4 月 14 日
@tyhunter #11
不是导入签发给你的证书,是导入国密的根证书
根证书在生成证书那一页,“选择 CA”的右边有个下载

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/662137

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX