请问服务配置有 ca 机构颁发的 https 证书，安卓的 https 请求是否还可以被中间代理攻击？

现在使用安卓项目使用 https，使用 Fiddler 代理的话，会抛出证书效验失败。
中间人代理可以模拟 ca 机构的所有操作么？
还是说手机上内置了 ca 机构的初始证书，中间代理无法破解手机向 ca 机构的请求。

qwwuyu

2019-12-04 16:13:15 +08:00

2B 了，肯定是不能代理的，不然浏览器早 GG 了..

eason1874

2019-12-04 16:38:18 +08:00

可信 CA 的存在就是为了防中间人，你说呢？

crclz

2019-12-04 17:40:49 +08:00

建议简单但系统的了解一下 ssl 和 ca 分别解决了什么问题

morethansean

2019-12-04 17:42:57 +08:00

ca 机构的根证书是内置的，中间代理软件会让你安装它自己的证书去劫持啊。

chennqqi

2019-12-04 17:45:18 +08:00

https 不能解决的是本地证书被替换的问题

mouyase

2019-12-04 17:52:55 +08:00

客户端开发的时候，不要信任用户证书，就不会被攻击了，否则可以通过装证书实现中间攻击

jadec0der

2019-12-04 18:26:18 +08:00

建议系统了解下 SSL 的机制，证书和根证书的区别，fiddler 提供根证书，装了就能中间人 https 了

NerverLibis

2019-12-04 18:39:49 +08:00

可以攻击 dh 算法少于 2048 位可被中间人握手攻击常见于 sslv3 tsl1

mouyase

2019-12-04 18:59:14 +08:00

补充一个，root 后可以信任第三方证书

annoy1309

2019-12-04 20:47:31 +08:00

如果这个中间人有作恶的实力（比如直接或者间接控制 /干预某个根 CA ）还是可以做到的，所以做好的方法还是 PGP 之类，将加密链掌握在自己手里

ilotuo

2019-12-04 21:06:59 +08:00

我理解是中间人也装了 CA 证书就可以。
如果客户端要确认服务端身份，可以做个单向验证。

qwwuyu

2019-12-04 21:19:08 +08:00

5L 应该是正确的.. 正常情况下用户没法被代理攻击

jimages

2019-12-04 21:45:02 +08:00

看似安全，实际上用户可能会被诱导安装根证书（而且用户非常容易被诱导）。所以大厂都不只依靠 https 做安全校验，要么是检验证书指纹，要么是数据打上签名……balabala 等待方案

lululau

2019-12-04 21:48:09 +08:00

首先，得明白，用户自己通过代理看到 https 流量的明文（方法就是用户主动信任了代理软件“伪造”的 ca 证书），这个不叫“中间人攻击”

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.