MITM攻撃で有効なSSL証明書を提供するにはどうすればよいですか？

Question

私は、DNSサーバをシミュレートし、ドメイン名が存在しない場合に自分のIPを返すRubyコードを書いています。 たとえば、サーバーがgoogle.comを要求する場合、サーバーは実際のGoogleのサイトを参照します。一方、リクエストがytjsdngfdsgmsdfg.comのような存在しないドメインにある場合は、自分のIPを返します。 サーバー上には、これらの存在しないドメインサイト要求のすべての応答となる汎用ページを返すApacheサーバーもあります。

応答が自分のApacheサーバーになる場合は、有効なSSL証明書を生成して提供することに問題が発生しました。 ドメイン名は毎回異なるため、1つの証明書を生成するだけでは十分ではないことに注意してください。 私は自分のサーバーが自分のApacheサーバーを参照するドメイン名ごとに有効なSSL証明書を返すものが必要です。 それに対処する解決策はありますか？

Answer 1

クライアントを変更しないと、次のことはできません。サーバーのIDをアサートするのはhttpsの目的です。

ただし、作成したCA証明書をクライアント（ブラウザ）にインストールできる場合、そのクライアントは署名した有効な証明書を検討します。

Answer 2

クライアントを管理している場合は、独自のプライベートルートCAを作成してクライアントに展開し、独自のプライベートルートCAを使用して、試用しているドメインのSSLサーバー証明書を生成しますリアルタイムで偽装するさまざまなブラウザが異なる場所を使用してルートCAを取得することに注意してください。

クライアントのルートCAストアにアクセスできない場合は、何もできません。