我希望使用 Fiddler 来检查 WCF 客户端发送和接收的 HTTP 流量。为此,我已将 Fiddler 根证书添加到 Windows 证书存储中。
我的问题是:如果我留下这个证书,以备日后再次测试是否存在任何风险?攻击者能否利用它存在的这一事实?完成测试后,我应该将其删除吗?
我希望使用 Fiddler 来检查 WCF 客户端发送和接收的 HTTP 流量。为此,我已将 Fiddler 根证书添加到 Windows 证书存储中。
我的问题是:如果我留下这个证书,以备日后再次测试是否存在任何风险?攻击者能否利用它存在的这一事实?完成测试后,我应该将其删除吗?
由于证书是由Fiddler为我的系统独特生成的,即使攻击者知道我安装了这样的证书,他们也无法利用它。如果他们知道证书的唯一私钥,他们可能会通过中间人攻击来利用它,但此时他们需要渗透我的系统以获取证书,此时就不需要进行中间人攻击。
话虽如此,为了更加安全,我已经在专门用于使用Fiddler的单独Firefox配置文件中安装了该证书,这样在进行一般的网络浏览时就不会在系统中拥有该证书。
来自Fiddler FAQs
有什么风险?
许多安全专家担心,如果用户配置Windows信任Fiddler的根证书,则该用户的流量可能会被任何其他Fiddler用户拦截和解密。他们认为Fiddler在所有安装中共享同一根证书。
别担心!每个Fiddler根证书都是独特生成的,针对每个用户、每台机器。没有两个Fiddler安装具有相同的根证书。只有当坏人已经在用户帐户内运行代码时(这意味着您已经被攻击了),Fiddler用户才会被“欺骗”。
我在多个客户处看到的企业使用说明中都包括在使用 Fiddler 后进行证书删除步骤。因此,答案肯定是“是的,在使用后请删除证书。”
不,这是不安全的,是的,你应该将其移除。
它的整个目的就是为了方便调试而破坏SSL的安全性。
它甚至在名称中有“DO_NOT_TRUST”,有充分的理由。