Расшифровка HTTPS (Атака «Человек посередине», MitM)

Chute может расшифровывать HTTPS-трафик с помощью MitM. Дополнительную информацию см. в статье Википедии.

Генератор сертификатов поможет вам создать новый сертификат CA для отладки и сделать сертификат доверенным системой. Он доступен в Chute Mac и редакторе Chute iOS. Этот сертификат генерируется локально и сохраняется только в вашем файле профиля и системной связке ключей. Ключ нового сертификата генерируется случайным образом с использованием OpenSSL.

Вы также можете использовать существующий сертификат CA. Экспортируйте сертификат в формат PKCS#12 (.p12) с парольной фразой. Обратите внимание, что парольная фраза не может быть пустой из-за системных ограничений. Используйте команду "base64" для кодирования в строку base64 и добавьте эти настройки ниже в ваш файл конфигурации.

[MITM]
enable = true
ca-p12 = MIIJtQ.........
ca-passphrase = password
hostname = *google.com

Chute расшифровывает только трафик к хостам, объявленным здесь.

Поддерживаются подстановочные символы * и ?.

• Используйте префикс - для исключения имени хоста.
• По умолчанию расшифровываются только запросы на порт 443.
  • Используйте суффикс :port для разрешения других портов.
  • Используйте суффикс :0 для разрешения всех портов.

Пример:

• -*.apple.com: Исключает все запросы, отправленные на *.apple.com на порту 443.
• www.google.com: Разрешает MitM для www.google.com на порту 443.
• www.google.com:8080: Разрешает MitM для www.google.com на порту 8080.
• www.google.com:0: Разрешает MitM для www.google.com на всех портах.
• *: Разрешает MitM для всех имен хостов на порту 443. (Не рекомендуется)
• *:0: Разрешает MitM для всех имен хостов на всех портах. (Не рекомендуется)

Общая конфигурация может выглядеть так:

hostname = -*.apple.com, -*.icloud.com, *

Chute будет применять правило перезаписи URL и правило перезаписи заголовков ко всем MitM-запросам.

Некоторые приложения имеют строгую политику безопасности с использованием закрепленных сертификатов или CA. Включение расшифровки для этих хостов может вызвать проблемы.

Опции

skip-server-cert-verify

skip-server-cert-verify = true

Не проверять сертификат удаленного хоста при выполнении MITM. Если включено, Chute будет принимать любой сертификат, представленный восходящим сервером, включая самоподписанные или недействительные сертификаты. Это полезно для сред разработки, но снижает безопасность.

[MITM]
enable = true
ca-p12 = MIIJtQ.........
ca-passphrase = password
skip-server-cert-verify = true
hostname = *google.com

Примечание по безопасности: Включение skip-server-cert-verify делает MITM-соединения уязвимыми для атак «человек посередине» между Chute и восходящим сервером. Включайте это только для доверенных сетей или целей разработки.