一部の雇用者は、ルート証明書を使用してhttpsを傍受します。例えばCharles Proxyのような中間者をするのもかなり簡単です。ssl固定を行うJavascript?
クライアントが使用したい証明書以外の証明書をクライアントが使用しているかどうかを確認するスクリプトをWebページ用に作成します。
どうすればよいですか?
一部の雇用者は、ルート証明書を使用してhttpsを傍受します。例えばCharles Proxyのような中間者をするのもかなり簡単です。ssl固定を行うJavascript?
クライアントが使用したい証明書以外の証明書をクライアントが使用しているかどうかを確認するスクリプトをWebページ用に作成します。
どうすればよいですか?
javascriptクライアントでSSL認証局の整合性をチェックすることはできませんが、共通のライブラリを共有するノードjavascriptで実行されるクライアントとサーバーの両方でTLSライブラリを使用すると、
このようにして、バックエンドコードとフロントエンドコードを簡素化して、TLS接続を確認できます。したがって、このタスクのための良いTLSノードライブラリは、forgeのように考えることができます。
タイポが修正されました。 – loretoparisi
ありがとう@ loretoparisi - 私の目的は、実際にはhttpsトラフィックを安全にすることではありません。私はただいくつかの雇用者がルート証明書を使ってhttpsを傍受する場合(目的:ジャーナリズム)をチェックしたい。私はテストウェブページが簡単な方法だろうと思った!それは難しいまでですか? – Kristoffer
@Kristofferあなたは、ある従業員が 'mitm'攻撃をしているかどうか確認したいですか? – loretoparisi
この仮想の「真ん中の人」がHTTPSトラフィックを傍受できる場合は、別のSSL証明書を確認するために使用するコードを確実に置き換えることができます。ここで、SSLピニングは、雇用主/ MITMが改ざんできない側で行わなければなりません。通常はブラウザですが、コンピュータにルート証明書をインストールできるのではないでしょうか。 – boxmein
ありがとう@boxmein!私の目的は、実際にhttpsトラフィックを安全にすることではありません。私はただいくつかの雇用者がルート証明書を使ってhttpsを傍受する場合(目的:ジャーナリズム)をチェックしたい。私はテストウェブページが簡単な方法だろうと思った!それは難しいまでですか? – Kristoffer