Is this common practice in big companies?
Sì. La funzionalità è disponibile nella maggior parte dei firewall aziendali e anche diversi firewall per le aziende più piccole. È persino disponibile nel web proxy gratuito Squid . E molti firewall personali lo hanno implementato.
Come sempre più siti, (innocui e dannosi), spostati su https://
, aspettati che aumenti anche l'utilizzo dell'intercettazione SSL, perché a nessuno piace avere un firewall che non riesce a proteggere un sistema perché è cieco per quanto riguarda il traffico crittografato.
Can someone point me to an ISO standard?
L'intercettazione SSL utilizza solo gli standard SSL e PKI esistenti. Non è necessario disporre di un nuovo standard che definisca il funzionamento dell'intercettazione SSL.
Per quanto riguarda gli standard di sicurezza informatica : non sono a conoscenza di nessuno che richieda esplicitamente l'intercettazione SSL, ma non Ho molta conoscenza di questo tipo di standard. Ma anche se non è richiesto esplicitamente, potrebbe essere implicitamente previsto che tu blocchi l'accesso a un sito SSL o esegui l'intercettazione SSL quando lo standard richiede il monitoraggio del traffico.
will give me a certificate error.
L'intercettazione SSL richiede che tu ti fidi della CA che intercetta. Nella maggior parte delle aziende questi certificati CA sono gestiti centralmente e installati su tutti i computer, ma se si utilizza un browser come Firefox potrebbe non essere d'aiuto poiché Firefox ha un proprio archivio CA e non utilizza l'archivio CA dei sistemi.
To me this is hurting security in one area to help it in another.
Sì, si tratta di una crittografia end-to-end per rilevare malware e perdite di dati che utilizzano connessioni crittografate. Ma dal momento che la rottura della crittografia end-to-end viene eseguita in pieno controllo dell'azienda e la crittografia è ancora disponibile nel mondo esterno, questo è un compromesso che la maggior parte delle aziende è disposta a prendere.
Nota che in passato i bug sono stati rilevati in diversi Prodotti di intercettazione SSL (come la stessa CA tra diverse società, nessun controllo di revoca ...) che ha ulteriormente indebolito la sicurezza.