Re: Certificats des sites web
Le Wed, 14 Jun 2006 20:23:36 +0200
"Patrice OLIVER" <oliverp21@gmail.com> a écrit:
> Bonsoir,
>
> Qui saurait me dire où sont stockés les certificats de sites web de firefox
> ? (que l'on peut visualiser avec Certificat Manager)
Ça n'a pas d'importance pour ton problème, le certificat ne sert qu'à
être sûr que le site où tu es est le bon et pas un leurre, un peu comme
les signatures de mails. Le cryptage est fait par une génération de
clefs à la volée par SSL. Ce sont ces clefs que tu dois choper au vol.
J'ai essayé de voir comment faire mais ça n'est pas simple. En gros,
les certificats permettent de faire un échange cryptés de clefs SSL
lesquels permettent de faire le dialogue HTTPS.
Bref, ça n'est pas simple de mettre un intermédiaire. Je ne vois que
deux solutions:
1) Aller au bout de la procédure donc récupérer les clefs du serveur
https (/etc/apache-ssl/apache.pem) , regarder le protocole HTTPS et
tout décoder à partir de ça. Je pense que si tu n'as pas la clef du
serveur, c'est cuit.
2) Te mettre de l'autre coté et faire le cryptage négociation par un
proxy et intercepter le traffic en clair entre le proxy et le client.
Je crois que c'est ce que fait spikeproxy mais je n'en suis pas sûr.
François
>
> Merci,
> Patrice.
>
Reply to: