HTTPS 복호화 (중간자 공격, MitM)
Chute는 MitM을 통해 HTTPS 트래픽을 복호화할 수 있습니다. 자세한 내용은 Wikipedia 문서를 참조하세요.
인증서 생성기는 디버깅을 위해 새 CA 인증서를 생성하고 시스템에서 인증서를 신뢰하도록 설정하는 데 도움을 줍니다. Chute Mac 및 Chute iOS Chute Editor에서 사용할 수 있습니다. 이 인증서는 로컬에서 생성되며 프로필 파일과 시스템 키체인에만 저장됩니다. 새 인증서의 키는 OpenSSL을 사용하여 무작위로 생성됩니다.
기존 CA 인증서를 사용할 수도 있습니다. 인증서를 PKCS#12 형식(.p12)으로 암호와 함께 내보내세요. 시스템 제한으로 인해 암호는 비워둘 수 없습니다. "base64" 명령어를 사용하여 base64 문자열로 인코딩하고 아래 설정을 설정 파일에 추가하세요.
[MITM]
enable = true
ca-p12 = MIIJtQ.........
ca-passphrase = password
hostname = *google.com
Chute는 여기에 선언된 호스트에 대한 트래픽만 복호화합니다.
와일드카드 문자 * 및 ?가 지원됩니다.
- 접두사 -를 사용하여 호스트명을 제외합니다.
- 기본적으로 포트 443에 대한 요청만 복호화됩니다.
- 접미사 :port를 사용하여 다른 포트를 허용합니다.
- 접미사 :0을 사용하여 모든 포트를 허용합니다.
예:
-*.apple.com: 포트 443에서 *.apple.com으로 전송된 모든 요청을 제외합니다.www.google.com: 포트 443에서 www.google.com에 대한 MitM을 허용합니다.www.google.com:8080: 포트 8080에서 www.google.com에 대한 MitM을 허용합니다.www.google.com:0: 모든 포트에서 www.google.com에 대한 MitM을 허용합니다.*: 포트 443에서 모든 호스트명에 대한 MitM을 허용합니다. (권장하지 않음)*:0: 모든 포트에서 모든 호스트명에 대한 MitM을 허용합니다. (권장하지 않음)
일반적인 구성은 다음과 같습니다:
hostname = -*.apple.com, -*.icloud.com, *
Chute는 모든 MitM 요청에 URL 재작성 규칙 및 헤더 재작성 규칙을 적용합니다.
일부 애플리케이션은 고정된 인증서나 CA를 사용하는 엄격한 보안 정책을 가지고 있습니다. 이러한 호스트에 대한 복호화를 활성화하면 문제가 발생할 수 있습니다.
옵션
skip-server-cert-verify
skip-server-cert-verify = true
MITM 수행 시 원격 호스트의 인증서를 확인하지 않습니다. 활성화되면 Chute는 자체 서명된 인증서나 유효하지 않은 인증서를 포함하여 업스트림 서버가 제시하는 모든 인증서를 수락합니다. 이는 개발 환경에 유용하지만 보안이 저하됩니다.
[MITM]
enable = true
ca-p12 = MIIJtQ.........
ca-passphrase = password
skip-server-cert-verify = true
hostname = *google.com
보안 참고:
skip-server-cert-verify를 활성화하면 Chute와 업스트림 서버 간의 MitM 연결이 중간자 공격에 취약해집니다. 신뢰할 수 있는 네트워크나 개발 목적으로만 활성화하세요.