MITM proxy

プロトコル

[4] 素のHTTPを転送するプロキシは、原理的に要求と応答を好きに傍聴、改竄でき、かつクライアントはそのことを判断する手段を有しませんから、 HTTPプロキシはその存在自体が MITM です。 HTTPプロキシ

[5] HTTPS の場合、クライアントは CONNECT 要求をプロキシに送信してきます。要求対象と Host: にサーバーの hostport が指定されます。通常プロキシは指定されたサーバーに TCP で接続し、以後送受信データをそのまま中継することが期待されていますが、 MITM proxy は CONNECT トンネルの送受信データを処理するサーバーとして振る舞い、自身がクライアントがあるかのように別の接続で本来のサーバーに接続し、両接続の送受信データを傍聴、改竄しながら中継します。

[6] 一見 HTTPS の場合でもクライアントは傍聴や改竄を検出できなそうに思えますが、プロキシはサーバーの証明書に対応する秘密鍵を持っていませんから、偽の証明書と秘密鍵を使ってクライアントと通信することになります。偽の証明書のルート証明書はクライアントの証明書データベースに含まれないため、クライアントは不正の可能性を検知できます。

[8] クライアントの利用者の同意の元正当な目的でやむを得ず使われる MITM proxy の場合、利用者がルート証明書を予め何らかの方法でクライアントの証明書データベースに追加しておく必要があります。

[9] MITM proxy は、HTTPS サーバーとしてクライアントに返すサーバー証明書を用意する必要があります。対象となるサーバーが固定されていれば事前に用意することも出来ますが、不特定多数のサーバーに擬態する可能性があるなら、動的に生成する必要があります。証明書の生成や選択には、 TLS の開始時にクライアントから送信されてくるSNIを使うこともできますが、 CONNECT 要求の要求対象や Host: を使うことも出来ます。生成や選択にかかる時間を考慮すると、後者に基づき用意するのが良いかもしれません。

MITM proxy 判定

[7] Chrome は、ネットワークエラーの画面において、証明書が MITM proxy のものと判断されるとき、専用のエラー画面を表示します。証明書エラー

ヘッダー

[3] 次のHTTPヘッダーは証明書に関する事項を扱うもので、 MITM proxy と干渉するため、 MITM proxy により削除される可能性があります。

メモ

[1] 【Ver7.0以降】HTTPSの規制サイトで規制画面が正常に表示さ... ( (2016-05-07 01:39:18 +09:00)) https://alsifaq.dga.jp/faq_detail.html?category=&id=4474&PHPSESSID=b8760cacf95181ae33401a1e5d322079

【ステップ2:証明書の警告画面を非表示にする。】
ステップ1の実施後、ブラウザによっては証明書の警告画面が表示されるようになります。
ステップ2では、ご利用のブラウザにWebFilterの証明書をインストールすることにより、
証明書の警告画面を非表示にします。
●Ver8.xの場合
「InterSafe WebFilter v8.0/v8.5 管理者マニュアル」
付録[H. 証明書のインストール]をご参照ください。
※Chromeは、Internet Explorerの証明書を参照していますので、
InternetExplorerに証明書をインストールしてください。
●Ver7.0の場合
「InterSafe WebFilter v7.0 管理者マニュアル」
付録[K. 証明書のインストール]をご参照ください。

[2] Google検索でSSL接続エラーが出た場合の対処法 | パソコンで副業ドットコム ( (2016-10-25 00:28:55 +09:00)) http://pcsidejob.com/20131122/6020

数日前より急に、GoogleChromeのツールバーから
検索したり、Google系のサイトにアクセスしようとすると
“SSL接続エラー”なる表示が出て、アクセスできなくなりました。
調べてみるとどうやら、セキュリティソフトが原因だったようです。
同様の症状で悩んでいる方のために回避方法を記載しておきます。
ちなみに私が使用しているセキュリティソフトはカスペルスキーなので、
その対処方法を記載しておきます。

[10] JVNTA#96603741: HTTPS 通信監視機器によるセキュリティ強度低下の問題 (2017-03-21 09:59:17 +09:00) http://jvn.jp/ta/JVNTA96603741/

[11] よくあるご質問(FAQ検索)| デジタルアーツ (2017-04-23 19:47:35 +09:00) http://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3572

「SSL Adapter」によるSSLデコード機能をご利用の環境にて、
「Chrome バージョン58」にアップデート後にSSLサイトにアクセスすると、
ページが表示できない現象が発生する可能性があります。
近日中に「i-FILTER」のバージョンアップにて対応予定です。
バージョンアップをお客様にて実施するまでは、下記のいずれかの
対応を検討してください。
---
A.Chromeの利用を控え他のブラウザを使用する
B.SSLデコード除外設定する
Chrome 58で使用するUserAgentを条件に、SSLデコード対象から外します。

[12] 1523701 - SEC_ERROR_UNKNOWN_ISSUER since updating to Firefox 65 (2019-02-02 14:47:00 +09:00) https://bugzilla.mozilla.org/show_bug.cgi?id=1523701