История изменений
Исправление Manhunt, (текущая версия) :
В основе DPI-прошивки лежит встроенный CA. Без соответствующих сертификатов подписанный ими трафик расшифровать нельзя.
«Встроенный CA» есть в любом решении, могущем перехватывать TLS. Например, в Squid и в mitmproxy. Вопрос только в том, откуда взять корневой сертификат (и приватный ключ к нему), которому доверял бы броузер. Очевидно, что приватные ключи от нормальных CA в составе каких-либо коммерческих решений не поставляются - просто потому, что это позволило бы воровать деньги через интернет-банкинг.
Так что на практике, когда нужно перехватывать TLS, для этого сперва конфигурируют броузер так, чтобы тот доверял MITM-овскому CA. Например, https://www.opennet.ru/opennews/art.shtml?num=54206 . И точно так же делается в корпоративной среде.
Исправление Manhunt, :
В основе DPI-прошивки лежит встроенный CA. Без соответствующих сертификатов подписанный ими трафик расшифровать нельзя.
«Встроенный CA» есть в любом решении, могущем перехватывать TLS. Например, в Squid и в mitmproxy. Вопрос только в том, откуда взять корневой сертификат (и приватный ключ к нему), которому доверял бы броузер. Очевидно, что приватные ключи от нормальных CA в составе каких-либо коммерческих решений не поставляются - просто потому, что это позволило бы воровать деньги через интернет-банкинг.
Так что на практике, когда нужно перехватывать TLS, для этого сперва конфигурируют броузер так, чтобы тот доверял MITM-овскому CA.
Исходная версия Manhunt, :
В основе DPI-прошивки лежит встроенный CA. Без соответствующих сертификатов подписанный ими трафик расшифровать нельзя.
«Встроенный CA» есть в любом решении, могущем перехватывать TLS. Например, в Squid и в mitmproxy. Вопрос только в том, откуда взять корневой сертификат (и приватный ключ к нему), которому доверял бы броузер. Очевидно, что приватные ключи от нормальных CA в составе каких-либо коммерческих решений не поставляются - просто потому, что это позволило бы воровать деньги через интернет-банкинг.