È prassi comune per le aziende il traffico HTTPS MITM?

Is this common practice in big companies?

Sì. La funzionalità è disponibile nella maggior parte dei firewall aziendali e anche diversi firewall per le aziende più piccole. È persino disponibile nel web proxy gratuito Squid . E molti firewall personali lo hanno implementato.

Come sempre più siti, (innocui e dannosi), spostati su https:// , aspettati che aumenti anche l'utilizzo dell'intercettazione SSL, perché a nessuno piace avere un firewall che non riesce a proteggere un sistema perché è cieco per quanto riguarda il traffico crittografato.

Can someone point me to an ISO standard?

L'intercettazione SSL utilizza solo gli standard SSL e PKI esistenti. Non è necessario disporre di un nuovo standard che definisca il funzionamento dell'intercettazione SSL.

Per quanto riguarda gli standard di sicurezza informatica : non sono a conoscenza di nessuno che richieda esplicitamente l'intercettazione SSL, ma non Ho molta conoscenza di questo tipo di standard. Ma anche se non è richiesto esplicitamente, potrebbe essere implicitamente previsto che tu blocchi l'accesso a un sito SSL o esegui l'intercettazione SSL quando lo standard richiede il monitoraggio del traffico.

will give me a certificate error.

L'intercettazione SSL richiede che tu ti fidi della CA che intercetta. Nella maggior parte delle aziende questi certificati CA sono gestiti centralmente e installati su tutti i computer, ma se si utilizza un browser come Firefox potrebbe non essere d'aiuto poiché Firefox ha un proprio archivio CA e non utilizza l'archivio CA dei sistemi.

To me this is hurting security in one area to help it in another.

Sì, si tratta di una crittografia end-to-end per rilevare malware e perdite di dati che utilizzano connessioni crittografate. Ma dal momento che la rottura della crittografia end-to-end viene eseguita in pieno controllo dell'azienda e la crittografia è ancora disponibile nel mondo esterno, questo è un compromesso che la maggior parte delle aziende è disposta a prendere.

Nota che in passato i bug sono stati rilevati in diversi Prodotti di intercettazione SSL (come la stessa CA tra diverse società, nessun controllo di revoca ...) che ha ulteriormente indebolito la sicurezza.

Questa pratica si sta diffondendo man mano che le organizzazioni cercano di controllare di più le cose e, poiché le caratteristiche del mercato dei produttori sono in grado di spiare l'attività degli utenti.

To me this is hurting security in one area to help it in another.

Sì, ma questo MITM potrebbe danneggiare la sicurezza in un'area a cui l'organizzazione non importa (come essere decente con dipendenti / clienti / ecc.) al fine di concentrarsi su un'area a cui si preoccupa (come essere in grado di controllare).

Presumibilmente, puoi smettere di ricevere quegli errori del browser web installando un certificato pubblicato dalla tua azienda. Questo può esporre a problemi, come noto in chat room sul college che richiede la certificazione SSL . In quel caso, il certificato proveniva da Cyberoam, che presentava questa vulnerabilità: "È quindi possibile intercettare il traffico da qualsiasi vittima di un dispositivo Cyberoam con qualsiasi altro dispositivo Cyberoam - o estrarre la chiave dal dispositivo e importarla in altri DPI dispositivi". (DPI="Deep Packet Inspection") Pertanto, l'installazione di quel certificato non è raccomandata.

Un'opzione migliore è semplicemente non navigare sul web quando connesso alla VPN. La navigazione sul Web potrebbe non essere comoda: la soluzione alternativa è ridurre al minimo il tempo connesso alla VPN. Utilizza in breve tempo la VPN solo per le comunicazioni sensibili che devono essere crittografate e quindi smetti di usarla. Se questo diventa troppo sconveniente, segnala i problemi. Se ci sono lamentele sufficienti, forse la VPN sarà percepita come troppo problematica con la politica attuale, che può portare a considerare una modifica della politica.

Per alcuni altri commenti (come quello di Arlix), ISO potrebbe non fornire alcun standard su questo. Tuttavia, un'organizzazione di standard che ha risposto è l'IETF, che ha annotato questo documento "Best Current Practice": IETF BCP 188 (attualmente RFC 7258: "Il monitoraggio pervasivo è un attacco") . Questa potrebbe essere la soluzione migliore se stai cercando una risorsa ufficiale che descriva perché questo non dovrebbe essere fatto. Le aziende che eseguono questo attacco MITM non sono conformi agli standard.

Tieni presente che i due più grandi ostacoli all'adozione delle funzionalità di intercettazione SSL sono i seguenti:

1. Requisiti di privacy aziendali o pubblici (criteri): vorrete assicurarvi che qualsiasi soluzione di intercettazione SSL che utilizzate consenta l'uso di policy (categorizzazione di URL e funzionalità di whitelist) per garantire che sia possibile eliminare i siti che non voglio essere il monitoraggio. Il settore bancario è un ottimo esempio, vuoi essere obeso se la tua rete o il tuo dispositivo viene violato e le credenziali bancarie dei dipendenti / degli amici sono compromesse? Considerare i requisiti di archiviazione e conformità come parte di tale discussione.

2. Future modifiche SSL - ovvero convalida dei certificati. Esempio: molti siti Web si stanno spostando verso la verifica del certificato nel codice. È qui che il sito Web verifica che il certificato utilizzato dal client corrisponda effettivamente al certificato che invia. Questo rompe completamente quasi tutte le implementazioni SSL Intercept che eseguono il MITM come funzioni fondamentali. Cambiamenti degli standard futuri o best practice del settore come questo potrebbero avere un impatto sulla spesa o persino sulla redditività di Intercettazione SSL.