История изменений
Исправление shell-script, (текущая версия) :
Или если проверяет, но CA подменного сертификата внесён в доверенные.
Т.е. есть у тебя сайт example.org с сетификатом для example.org. По умолчанию, браузер смотрит на сертификат, смотрит какой CA его выдал, проверяет подписи/фингерпринты и считает соединение защищённым.
Но если в барузере в качестве доверенного добавлен некий CA1, между браузером и сайтом есть некий сервер, который видя, что идёт запрос к example.org, подставляет свой сертификат для него, заверенный CA1, браузер такое соединение тоже считает валидным. При этом промежуточный сервер держит два шифрованных соединения. Браузер <-> server, server <-> example.org, а любы запросы/ответы просто проксирует между ними.
Но это уже не дырка в TLS, а MiTM.
Исходная версия shell-script, :
Или если проверяет, но CA подменного сертификата внесён в доверенные.
Т.е. есть у тебя сайт example.org с сетификатом для example.org. По умолчанию, браузер смотрит на сертификат, смотрит какой CA его выдал, проверяет подписи/фингерпринты и считает соединение защищённым.
Но если в барузере в качестве доверенного добавлен некий CA1, между браузером и сайтом есть некий сервер, который видя, что идёт запрос к example.org, подставляет свой сертификат для него, заверенный CA1, браузер такое соединение тоже считает валидным. При этом промежуточный сервер держит два шифрованных соединения. Браузер <-> server, server <-> example.org, а любы запросы/ответы просто проксирует между ними.