|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
백메가 |
2015-12 |
1666199 |
25 |
2015-12
1666199
1 백메가
|
|
[필독] 처음 오시는 분을 위한 안내 (734) |
정은준1 |
2014-05 |
5131418 |
0 |
2014-05
5131418
1 정은준1
|
91209 |
광주에서 괜찮은 치과 좀 추천부탁드려요 (5) |
맨홀홍 |
2020-05 |
3398 |
0 |
2020-05
3398
1 맨홀홍
|
91208 |
아이폰이나 아이패드 동영상 플레이어 (4) |
DDDIE |
2020-06 |
3398 |
0 |
2020-06
3398
1 DDDIE
|
91207 |
현 상태에서 RAID1 과 RAID 5중에 뭘로 구성하는게 더 나을까요? (7) |
동행큐브 |
2018-09 |
3398 |
0 |
2018-09
3398
1 동행큐브
|
91206 |
2포트 10G 랜카드를 사용하는데 속도가 이상합니다. (1) |
올빼미잠와 |
2020-09 |
3398 |
0 |
2020-09
3398
1 올빼미잠와
|
91205 |
갑자기 모니터 화면이 깜깜해졌네요 ㅠㅠ (7) |
라온제나 |
2020-01 |
3398 |
0 |
2020-01
3398
1 라온제나
|
91204 |
서버애 랜섬웨어 공격으로 협의하고 있는데요 잘 아시는 분 답변 부탁드립니다. (19) |
공사불신 |
2019-07 |
3398 |
0 |
2019-07
3398
1 공사불신
|
91203 |
m72e에 기기비트 지원 무선랜 카드 사용 가능한가요? (2) |
태엽감는새 |
2018-07 |
3398 |
0 |
2018-07
3398
1 태엽감는새
|
91202 |
메인보드에 히트싱크 하나 박으려 하는데요... (14) |
호박고구마 |
2019-09 |
3398 |
0 |
2019-09
3398
1 호박고구마
|
91201 |
내경 32mm 파이프 10cm정도 되는 놈 구할수 없을까요.? (6) |
나너우리 |
2019-02 |
3398 |
0 |
2019-02
3398
1 나너우리
|
91200 |
왜 레이드 카드는 특정 PCIe 슬롯에서는 작동이 안되는걸까요? (5) |
newretrowave |
2019-07 |
3398 |
1 |
2019-07
3398
1 newretrowave
|
91199 |
아수스 z10pe-d16ws 보드 사용자 님들 질문요 (19) |
트렌드 |
2023-03 |
3398 |
0 |
2023-03
3398
1 트렌드
|
91198 |
윈도우즈 8 이상에서요. (1) |
방o효o문 |
2015-04 |
3398 |
0 |
2015-04
3398
1 방o효o문
|
91197 |
SD카드 복구 프로그램 가장 유명한게 뭔가요? (10) |
어훕 |
2020-10 |
3398 |
0 |
2020-10
3398
1 어훕
|
91196 |
저렴한 미니 카메라 추천 받습니다 (3) |
dateno1 |
2023-11 |
3398 |
0 |
2023-11
3398
1 dateno1
|
91195 |
PCI 슬롯 질문좀 드립니다 (7) |
전진 |
2020-08 |
3398 |
0 |
2020-08
3398
1 전진
|
91194 |
windows 10 pro 영문판(dsp) 구입해도 문제가 없을까요? (8) |
전주갈매기 |
2017-06 |
3398 |
1 |
2017-06
3398
1 전주갈매기
|
91193 |
투알라틴 보드 필요하신분이 계실까요? (7) |
심바트 |
2018-09 |
3398 |
1 |
2018-09
3398
1 심바트
|
91192 |
서버 인텔 네트워크 어댑터, 광 지빅 인식불가 (8) |
물음표 |
2022-01 |
3398 |
0 |
2022-01
3398
1 물음표
|
91191 |
z420 수냉쿨러 개조가능할까요? (4) |
꿀땡이 |
2019-01 |
3399 |
0 |
2019-01
3399
1 꿀땡이
|
91190 |
CDC NCM ACM COMNEON 이게 뭘가요? (11) |
디지유 |
2022-03 |
3399 |
0 |
2022-03
3399
1 디지유
|
저런거 안해봐도 어차피 목적지 IP 나오니까 어느 사이트 이용하는지는 알 수 있을 것 같습니다만....
예를들어, Fiddler같은 프록시방식의 디버깅툴에서 볼 수 있듯이 Root CA를 프록시 클라이언트에 설치하고 Fiddler 툴로 https패킷을 재패킹하여 전송하기때문에 중간에서 스니핑&디버깅이 가능합니다.
정부가 나서서 스니핑을 하겠다하면, 모든 통신사의 https 프로토콜의 hand shake과정(물론 통신사의 협조하에..) 에서 인증서를 교체하고 패킷을 Relay 해주는식으로 감청을 한다면 완전히 불가능한건 아닌것으로 보입니다..
컴퓨터에 깔아서 자기꺼니까 가능한줄 알았는데 ..
중간 단계에서 .. 저걸 셋팅해놓으면 빼는게 가능한가요?
그렇다면 http도 뚫을 필요 없이 중간 단계에 저런 기능 하는것만 있으면
안에 내용 보는건 일도 아니겠네요..
브라우저에서 간혹 https사이트중에 암호화되지않았다는 경고창을 보시면 https에 사용된 인증서가 최상위 인증기관 (Global Sign CA, VerSignCA, Comodo CA)에서 인증받지 않은 로컬에서 Sign한 자체 인증서(Fiddler같은경우)를 사용한 경우이거나 인증서가 만료되었거나 입니다.
Fiddler에서 사용한 인증서는 테스트인증서(최상위 인증기관에서 발급받지않은 로컬에서 인증) 이므로 사용자가 직접 클라이언트에 설치하여 신뢰할 수 있는 루트인증서로 사용하게 되는것이지요..
https호스팅에서는 Root CA와 체인 인증서들이 존재하는데, 웹서버 호스트에서 https프로토콜을 암호화하는 인증서는 Root CA를 통해 발급된 체인 인증서입니다.
말그대로, Root CA에서 파생되어진 인증서들로 https서버 암호화에 쓰여집니다.
https프로토콜은 CONNECT라는 명령으로 서버에 설치되어있는 인증서로 Handshake하는 과정에서 클라이언트 컴퓨터에 설치된 루트인증서에 종속 (인증된 인증서가 맞는지 확인하는)되어있는 신뢰할 수 있는 인증서인지를 먼저 판단 후 통신하게됩니다.
단순히 Root CA만 있다고해서 감청이 되는것은 아니고 클라이언트와 통신할 인증서의 개인키또한 보유하고있어야 가능한 일일테구요,
이 과정에서 실제 최상위 기관에서 발급되어진 인증서를 가지고 통신사 또는 국가기관에서 패킷Relay를 한다면 불가능한 일은 아니겠지요..
다만, 이러한 과정을 해커집단이나 개인이 쉽게 할 수있는 부분은 아니니, 국가기관처럼 영향력있는 집단에서 수행한다면 그저 없는일이라고만 할 수는 없는 것으로 보입니다.
중국몽 함께하시겠다던 분이 떠오릅니다.
이것때문에 크롬같은경우 certificate pinning기법이 도입되어서 구글도메인의경우 특정CA가 발급한 인증서가 아니면 경고창을 띄워주죠.
IE에서도 EMET의 지원이 공식적으로 지원이 끝났지만 마찬가지방법으로 pinning을 지원하니 본문내용이 걱정되시면 EMET를 설정해주시면 됍니다.
개인적이지만 저는 가장중요한 시스템에서는 KISA루트인증서를 비신뢰리스트에 넣어놨습니다.
(KISA를 못믿어서가 아니라 하위기관의 인증서 관리정책을 믿을수가 없어서 넣은것입니다.)