... и как на данный момент перехватывать HTTPS трафик ...

Святая наивность ))) HTTPS - никак.
Для этого и придумали HTTPS (TLS) + сертификаты, чтобы «умельцы» вроде вас не лезли в чужой трафик встав посередке.

Логика использования sslstrip подразумевает, что изначальный запрос к сайту со стороны веб-обозревателя сделан по HTTP, а не по HTTPS. Так бывает, когда пользователь набирает в URL-строке просто имя домена в расчете на то, что сайт сам перенаправит его на HTTPS-порт. Вот тут да - можно в принципе перехватить такой HTTP-запрос и попытаться встрять посередке взяв на себя все HTTPS-запросы и создав для веб-обозревателя иллюзию того, что сайт работает просто по HTTP.

Раз ваш веб-обозреватель ругается на сертификаты, т.е. пытается выполнять HTTPS-запросы, у вас провернуть такой финт не получилось )))

Вы, прежде чем задавать дико глупые вопросы, ну хоть немного почитали бы чего-нибудь... И займитесь чем-нибудь реально полезным.

И займитесь чем-нибудь реально полезным.

сухарей пусть насушит

sslstrip

1) Современный браузер будет кричать, если вводишь пароль на странице без https
2) HSTS
Но на кого-то может сработать.
Да и самоподписанный сертификат многие тоже подтвердят, не глядя

Сейчас такое страшное окно вылезает, что большинство просто закрывают вкладку.

2) HSTS ...

HSTS не защищает первое подключение конкретного веб-обозревателя к сайту, если домен не находится в глобальном статичном списке (preload list) - а там присутствуют далеко не все. Когда первый раз зашел нормально, без приключений, и HSTS-настройки сайта сохранились в веб-обозревателе, тогда да.

С другой стороны, разработчики сайтов вполне могут усилить защиту возвращая в HTTP-ответах какие-нибудь обфусцированные HTTPS URL-ки, которые посреднику сложно отловить и подменить на HTTP.

Проще подделать сертификат, но не забыть зарезать жертве OCSP, благо на его недоступность пока ни кто не ругается.

подделать сертификат

Подделать так, чтобы браузер не ругался, это как?
А если добавлять в доверенные, то пофиг на OCSP, не?

Херню я сморозил.

Есть SSLStrip+ – но это уже полноценная атака получается.

Денис Александрович, вы когда налог на имущество заплатите?

популярные домены типа facebook, instagram, amazon etc жестко забиты в браузер и при первом же запуске полезут сразу на https. К тому же есть база HSTS в интернете и браузер чекнет ее прежде чем лезть на эти популярные домены.

HSTS ... (preload list) - а там присутствуют далеко не все

Там все домены, на которые есть хоть какой-то смысл делать атаку.
Да, твоего хомяка там нет.

OCSP при не доступности просто игнорируется. Но да, прошитые домены – есть.

А где список можно посмотреть? Кто за него отвечает, актуализирует? Гуглить лень.

https://www.chromium.org/hsts

.. a user who has a fresh install, or who wipes out their local state, is vulnerable. Because of that, Chrome maintains an «HSTS Preload List» .. These domains will be configured with HSTS out of the box.

вот полный список.

https://cs.chromium.org/chromium/src/net/http/transport_security_state_static...

Ну вот – вкшечки нет, можно атаковать, я тут приложуху уже светил (она в составе кали есть, емнип) с помощью которой HTTPS на HTTP подменить, и HTST обойти можно.

Никак. Страдай.

1.

HSTS ... (preload list) - а там присутствуют далеко не все

Там все кто туда сам добавился

2.

А вообще пользователям помогать надо чтобы вот такие редиски не подменяли ничего:

Вот зайдет пользователь на мой сайт в firefox с установленным дополнением «HTTPS+ Checker» - нажмёт на него - увидит что все 4 прямоугольника (HSTS, HPKP, DNSSEC, DANE/TLSA) горят зелёненьким цветом - и будет уверен что попал куда надо :)

HSTS ... (preload list) - а там присутствуют далеко не все

... Там все домены, на которые есть хоть какой-то смысл делать атаку.

Откуда такая уверенность? ) Вы проверяли? Вот просто удивляет такая ни на чем не основанная безапелляционность... Проверьте, к примеру, а все ли крупные российские банки отметились в этом списке.

Извините за офтоп, но как в список (по второй ссылке) мог попасть чей-то похоже личный сайт? А судя по тому что кроме главной страницы там ничего нет, ещё и пустой. Я говорю о домене «putin.red»

А что тут такого ?

Вот здесь можно добавить любой сайт и спустя пару месяцев он появится в этом списке.

https://hstspreload.org

Интересно. Попробую свой сайт туда добавить

Жаров познаёт мир.

Вот видишь.

тема про Кали линукс, твой перевод статьи. И полезли вопросы по расшифровке траффика браузера..

Почему все узнают ТСа, а я — нет? Кто он?

Пора бы тебе проапгрейдить libastral.so