如何提供MITM攻擊的有效SSL證書？

Question

我正在寫一個模擬DNS服務器的Ruby代碼，並在域名不存在的情況下返回他自己的IP。 例如，萬一服務器會收到google.com的請求，它會引用真實的谷歌網站。另一方面，如果請求將會到像ytjsdngfdsgmsdfg.com這樣的不存在的域，它將返回他自己的IP。 在服務器上還有一個apache服務器，它返回一個通用頁面，它將成爲所有這些不存在的域網站請求的響應。

我遇到了生成問題，並提供了一個有效的SSL證書，以防應答成爲我自己的apache服務器。 請記住，域名每次都會有所不同，因此生成一個證書不夠好。 我需要一些能夠爲我的服務器引用他自己的apache服務器的每個域名返回一個有效的SSL證書。 有沒有解決辦法呢？

Answer 1

在不修改客戶端的情況下，您不能：這是https斷言服務器身份的目的。

但是，如果您可以在客戶端（瀏覽器）上安裝您創建的CA證書，那麼該客戶端會考慮您簽署的任何證書的有效性。

Answer 2

如果您有客戶端的控制權，您應該創建自己的專用根CA，將其部署到客戶端並使用您自己的專用根CA爲您嘗試的域生成SSL服務器證書以實時模仿。請記住，不同的瀏覽器使用不同的位置來檢索根CA.

如果您無法訪問客戶端根CA存儲，則無法執行任何操作。