En realidad, las solicitudes HTTPS son susceptibles a ataques de hombre en el medio . Entonces, incluso más allá de las otras respuestas, sí, en teoría, son almacenables en caché .
Déjame explicarte algo. Todos sabemos que Quora tiene un certificado SSL confiable de una Autoridad de Certificación ‘respetable’.
Pero, ¿ quién está emitiendo ese certificado?
- ¿Es fácil cambiar los trabajos de un probador a un desarrollador en un dominio de red?
- ¿Cómo me ayuda la programación funcional a razonar sobre mi código (mejor que OOP)? ¿Convertimos las especificaciones en fórmulas lógicas de orden superior y las ejecutamos a través de solucionadores automáticos?
- ¿Deberían los ingenieros de software preocuparse en los próximos años de que sus trabajos sean reemplazados por computadoras?
- ¿Cuáles son las tecnologías basadas en Java más necesarias en 2017 para un programador de software?
- ¿Con qué frecuencia los programadores de tiempo completo se encuentran con un error que tarda un tiempo en solucionarse?
¿Es digicert? ¿Es Verisign? ¿Es RSA?
¿O es la autoridad de certificación del propio gobierno de su país?
Resulta que los cuatro son aceptables siempre que pertenezcan a la lista de proveedores de CA de confianza de su sistema. Y sí, lo hacen. Míralo, la CA del gobierno finlandés está instalada como una CA de confianza en mi Mac de forma predeterminada. Ahora, ¿por qué confiaría en cualquier CA del gobierno por defecto?
Su propio ISP podría actuar en nombre de algunas de estas agencias gubernamentales e interceptar todas las conexiones SSL de la siguiente manera:
Explicacion :
Su navegador inicia un protocolo de enlace SSL a través de la red para llegar al servidor. El ISP completa el apretón de manos con el certificado de CA del gobierno. Ahora, su sesión de datos SSL envía A encriptada al ISP, con claves conocidas por el ISP.
Su ISP decide retransmitir esta información al Servidor descifrando este mensaje y posiblemente modificándolos como B. Luego inicia una sesión de cliente SSL como si viniera de su IP – (resulta que el Servidor generalmente no valida al cliente certificado) y envía B cifrado al servidor. Aquí, el certificado de CA real participa en el cifrado de la clave de sesión.
Lo que ahora le ofrece una respuesta a esta pregunta: ¿se pueden almacenar en caché las solicitudes SSL ? Si , de hecho. Y pueden ser interceptados y manipulados.