Di postingan Konsep Hacking HTTPS Jilid 1 kita sudah melihat bagaimana caranya memanfaatkan kelengahan user. Sekarang, masih sama.. kelengahan user lah penyebabnya hehe. Oh iya, sebelumnya, jika anda sudah membaca postingan saya itu, ada kah yang berpikir dalam hati: “itu sih berarti bukan hacking https, tetapi hacking http..” ya.. anda betul.. Tetapi untuk Hacking HTTPS Jilid 2 ini benar-benar pada lingkungan HTTPS. Hmmm.. HTTPS adalah protokol yang sangat aman secara teori. Tetapi pada prakteknya, lagi-lagi kelengahan user yang menyebabkan kekuatan HTTPS hilang hahah.
Secara gamblang seperti gambar di ataslah cara kerja HTTPS. Dalam hal ini, yang menjadi Bob adalah browser client, sedangkan yang menjadi Alice adalah HTTPS server. HTTPS server akan memberikan sertifikatnya kepada user melalui browser. Di sertifikat tersebut, terdapat informasi mengenai SSL certificate web server, termasuk public key dan fingerprint webserver. Sehingga browser tinggal mengenkripsi data dengan menggunakan public key webserver itu.
Nah, cara hacking HTTPS kali ini adalah membuat sertifikat palsu. Seluruh properties sertifikat palsu disamakan dengan yang asli sehingga meyakinkan pengguna. Hanya public key dan fingerprint yang berbeda. Public key yang digunakan adalah public key milik attacker. Sehingga data yang dikirimkan bisa didekripsi oleh attacker dengan private key nya.
Segampang itukah kita membuat sertifikat palsu? Jawabannya: ya. Tetapi browser telah melengkapi keamanannya dengan memiliki repository certificate. Untuk browser firefox ada di menu Options-> sub menu Advanced tab Encryption. Jadi jika fingerprint certificate berbeda, akan ada halaman seperti ini di browser firefox kita (pernah mengalami?). Hati-hati sertifikat palsu hehehe..