Nous recherchons des directives pour tester un nouveau produit qui fonctionne comme un proxy "man in the middle" et pour intercepter le trafic HTTPS.Comment tester un homme dans le proxy HTTPS du milieu?
Ce système doit agir en tant que navigateurs standard et bloquer toute tentative d'accéder à un site avec certificat non valide.
Nous avons pensé à tester les scénarios suivants:
- Certificat expiré
- Un certificat qui a été questions pour une date ultérieure
- Le nom d'hôte demandé ne correspond pas au nom d'hôte du certificat
- Le certificat est non signé par une racine CA
Mes questions sont:
- Quels autres scénarios certificats devrions-nous tester?
- Quels outils devrions-nous utiliser pour générer ces certificats «non valides»?
- Connaissez-vous un projet open source (peut-être un navigateur ou un proxy) qui a un ensemble de tests unitaires que nous pouvons apprendre?
Merci.
Vous créez un homme en le milieu proxy, et en essayant d'éviter les attaques man-in-the-middle? Je suis curieux de voir quelle est la demande. –
@Stefan Mai: L'inspection de contenu est une application qui conduit le développement de proxys SSL MiTM. –