Quelle est la convocation de certificats de racine tiers?
J'ai récemment essayé d'utiliser Fiddler2 à partir d'un vendeur tiers Telerik. En décryptant le trafic HTTPS de mon réseau, il m'a demandé d'installer son propre certificat racine dans mon système d'exploitation Windows:
Jetez un coup d'œil à la capture d'écran ci-dessous:
Est-il sécuritaire de faire confiance à ce genre de certificats root? Quelles sont les mesures préventives à prendre lors de l'installation de tels certificats racines?
C'est sûr tant que vous comprenez les implications.
Fiddler agit comme un proxy/homme au milieu pour intercepter et décrypter le trafic entre vous et la cible.
Pour les sites SSL, il en général en générant de manière dynamique un certificat SSL avec le nom de la cible. Le problème est que votre navigateur ne fera pas confiance en certificats émis par Fiddler, d'où la suggestion d'installer le certificat de racine de violon.
La raison pour laquelle cela pourrait être mauvais est que si un utilisateur malveillant génère un certificat SSL signé par la racine de Fiddler pour un site comme ... Disons ... www.bankofamerica.com - Votre navigateur doit faire confiance automatiquement au "faux" certificat .
