Para secuestrar HTTPS, el método clásico para usar es el “secuestro SSL”:
Comprender los ataques de Man-In-The-Middle – Parte 4: Secuestro de SSL
Para que la intercepción sea exitosa, se le solicitará al usuario final que acepte un certificado en el que no se confía (se llama certificado SSL autofirmado y el navegador lo muestra en ROJO), que es generado por el propio agente MITM. Si confía en esa pantalla, puede ser interceptado. En el pasado, la mayoría de los sitios web no pueden permitirse el lujo de pagar costosos costos de certificación. Pero hoy en día hay un certificado SSL gratuito disponible:
- ¿Cuáles son los mejores correos electrónicos cifrados?
- ¿Cómo podemos recuperar datos si estamos afectados por el virus WannaCry?
- ¿Cuáles son los temas de tesis relacionados con el área de seguridad cibernética y las relaciones internacionales?
- ¿Qué hace que la actualización del antivirus Endpoint sea un error?
- ¿Deben las tarjetas de identificación de la compañía tener el nombre o el logotipo de la compañía?
Cómo configurar Apache con un certificado SSL firmado gratis en un VPS
Entonces, en particular para Facebook, la respuesta es no, a menos que desactive la cadena de certificación dentro de su navegador, lo que muchas personas hacen bajo alguna condición:
¿Cómo deshabilito la advertencia que Chrome da si un certificado de seguridad no es confiable?
Configuración de seguridad avanzada: deshabilitar certificado para Chrome
Desactivación de la compatibilidad del navegador: protocolo SSL v3