|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
백메가 |
2015-12 |
1738016 |
25 |
2015-12
1738016
1 백메가
|
|
[필독] 처음 오시는 분을 위한 안내 (736) |
정은준1 |
2014-05 |
5205980 |
0 |
2014-05
5205980
1 정은준1
|
35081 |
NXG 200 GX 다른 라우터 OS 깔수 있을까요? (2) |
금콩커피 |
2018-12 |
2989 |
0 |
2018-12
2989
1 금콩커피
|
35080 |
월세 미납시 (17) |
이문영 |
2024-09 |
1126 |
0 |
2024-09
1126
1 이문영
|
35079 |
AMD 노스브릿지 필터 드라이버 질문 (3) |
akfalles |
2014-04 |
5197 |
0 |
2014-04
5197
1 akfalles
|
35078 |
[ 윈도우즈 서버 R12 아카데이 ] 개인용도로 사용 (4) |
전설속의미… |
2015-08 |
3879 |
0 |
2015-08
3879
1 전설속의미…
|
35077 |
ML110 G7에 ESXi를 설치하려고 합니다. (2) |
회로쟁이 |
2014-04 |
4444 |
0 |
2014-04
4444
1 회로쟁이
|
35076 |
가정내 기가빗구축을 위한 스위치 추천 부탁드립니다. (13) |
waney |
2016-09 |
5194 |
0 |
2016-09
5194
1 waney
|
35075 |
과거 도메인 포워딩 사이트 (2) |
Noname1 |
2021-06 |
1729 |
0 |
2021-06
1729
1 Noname1
|
35074 |
SSD 0xc000000f 부팅오류에 대해서.. (3) |
참세상맹글기 |
2012-04 |
50636 |
0 |
2012-04
50636
1 참세상맹글기
|
35073 |
[미크로틱] reverse proxy를 할 때, ssl은 어떻게 하세요? (4) |
회원K |
2014-04 |
7284 |
0 |
2014-04
7284
1 회원K
|
35072 |
mmf를 mp3나 wav로 변환하고 싶은데 안되네요. (5) |
김건우 |
2016-09 |
7797 |
0 |
2016-09
7797
1 김건우
|
35071 |
나스를 2대의 pc와 직결하고싶습니다 (3) |
Artofalgori… |
2023-01 |
2094 |
0 |
2023-01
2094
1 Artofalgori…
|
35070 |
마우스 포인트 가출사건.. (2) |
사랑하라 |
2020-02 |
2649 |
0 |
2020-02
2649
1 사랑하라
|
35069 |
ccr1036 시리즈 포트포워딩 질문. (2) |
홀릭0o0 |
2021-06 |
2644 |
0 |
2021-06
2644
1 홀릭0o0
|
35068 |
복원유틸리티(고스트,트루이미지) 사용법에 대한 질문 (5) |
심바트 |
2009-02 |
11601 |
0 |
2009-02
11601
1 심바트
|
35067 |
ssh 2분정도 되면 끊기는 현상 (8) |
봉삼이2 |
2012-05 |
19629 |
0 |
2012-05
19629
1 봉삼이2
|
35066 |
WEB, DB 서버의 구성에 대해 문의 드립니다. (3) |
프랴 |
2009-02 |
11363 |
0 |
2009-02
11363
1 프랴
|
35065 |
루커스ap unleshled에서 standalone 펌웨어 변경방법 (1) |
요를레이 |
2023-02 |
1296 |
0 |
2023-02
1296
1 요를레이
|
35064 |
시게이트 2.5하드 인식문제.. (5) |
이영규 |
2024-10 |
887 |
0 |
2024-10
887
1 이영규
|
35063 |
하드에 있는 자료들을 옮기려하는데 (4) |
hyunsemo |
2016-09 |
3584 |
0 |
2016-09
3584
1 hyunsemo
|
35062 |
hp 360e gen8 소음해결책 (13) |
고수닷컴 |
2017-10 |
6412 |
0 |
2017-10
6412
1 고수닷컴
|
저런거 안해봐도 어차피 목적지 IP 나오니까 어느 사이트 이용하는지는 알 수 있을 것 같습니다만....
예를들어, Fiddler같은 프록시방식의 디버깅툴에서 볼 수 있듯이 Root CA를 프록시 클라이언트에 설치하고 Fiddler 툴로 https패킷을 재패킹하여 전송하기때문에 중간에서 스니핑&디버깅이 가능합니다.
정부가 나서서 스니핑을 하겠다하면, 모든 통신사의 https 프로토콜의 hand shake과정(물론 통신사의 협조하에..) 에서 인증서를 교체하고 패킷을 Relay 해주는식으로 감청을 한다면 완전히 불가능한건 아닌것으로 보입니다..
컴퓨터에 깔아서 자기꺼니까 가능한줄 알았는데 ..
중간 단계에서 .. 저걸 셋팅해놓으면 빼는게 가능한가요?
그렇다면 http도 뚫을 필요 없이 중간 단계에 저런 기능 하는것만 있으면
안에 내용 보는건 일도 아니겠네요..
브라우저에서 간혹 https사이트중에 암호화되지않았다는 경고창을 보시면 https에 사용된 인증서가 최상위 인증기관 (Global Sign CA, VerSignCA, Comodo CA)에서 인증받지 않은 로컬에서 Sign한 자체 인증서(Fiddler같은경우)를 사용한 경우이거나 인증서가 만료되었거나 입니다.
Fiddler에서 사용한 인증서는 테스트인증서(최상위 인증기관에서 발급받지않은 로컬에서 인증) 이므로 사용자가 직접 클라이언트에 설치하여 신뢰할 수 있는 루트인증서로 사용하게 되는것이지요..
https호스팅에서는 Root CA와 체인 인증서들이 존재하는데, 웹서버 호스트에서 https프로토콜을 암호화하는 인증서는 Root CA를 통해 발급된 체인 인증서입니다.
말그대로, Root CA에서 파생되어진 인증서들로 https서버 암호화에 쓰여집니다.
https프로토콜은 CONNECT라는 명령으로 서버에 설치되어있는 인증서로 Handshake하는 과정에서 클라이언트 컴퓨터에 설치된 루트인증서에 종속 (인증된 인증서가 맞는지 확인하는)되어있는 신뢰할 수 있는 인증서인지를 먼저 판단 후 통신하게됩니다.
단순히 Root CA만 있다고해서 감청이 되는것은 아니고 클라이언트와 통신할 인증서의 개인키또한 보유하고있어야 가능한 일일테구요,
이 과정에서 실제 최상위 기관에서 발급되어진 인증서를 가지고 통신사 또는 국가기관에서 패킷Relay를 한다면 불가능한 일은 아니겠지요..
다만, 이러한 과정을 해커집단이나 개인이 쉽게 할 수있는 부분은 아니니, 국가기관처럼 영향력있는 집단에서 수행한다면 그저 없는일이라고만 할 수는 없는 것으로 보입니다.
중국몽 함께하시겠다던 분이 떠오릅니다.
이것때문에 크롬같은경우 certificate pinning기법이 도입되어서 구글도메인의경우 특정CA가 발급한 인증서가 아니면 경고창을 띄워주죠.
IE에서도 EMET의 지원이 공식적으로 지원이 끝났지만 마찬가지방법으로 pinning을 지원하니 본문내용이 걱정되시면 EMET를 설정해주시면 됍니다.
개인적이지만 저는 가장중요한 시스템에서는 KISA루트인증서를 비신뢰리스트에 넣어놨습니다.
(KISA를 못믿어서가 아니라 하위기관의 인증서 관리정책을 믿을수가 없어서 넣은것입니다.)