Ciò che rende Superfish e prodotti simili (tutti qui definiti semplicemente "Superfish"), diversi dal MitM aziendale è che Superfish sta facendo il MitM sul computer client. Corporate MitM viene eseguito su un server o appliance separato.
Questo è importante perché il sistema che esegue il MitM deve avere la chiave privata di una CA radice affidabile per funzionare. (In senso stretto, la CA radice non ha bisogno di essere attendibile, ma l'utente vedrà le bandiere rosse se non lo è.)
Per Superfish, ciò significa che la chiave deve trovarsi sul dispositivo client - notoriamente non ben mantenuto e generalmente molto vulnerabile agli attacchi.
Per i MitM aziendali, la chiave è sul server di monitoraggio, in genere gestita da personale esperto che esegue una manutenzione regolare e non esegue operazioni (ad esempio: navigazione sul Web, download di software aggiuntivo, apertura di documenti, ecc.) che potrebbero esporre il sistema a rischi inutili.
Tuttavia, tutti i proxy SSL (aziendali o meno) devono ancora essere implementati con attenzione per tenere conto del fatto che stanno rimuovendo la capacità del client di auto-validare il certificato del sistema remoto. In particolare questo significa:
- Il proxy SSL deve convalidare correttamente i certificati dei sistemi remoti e avvisare adeguatamente l'utente o interrompere completamente la connessione quando qualcosa non va. Come Charles Duffy ha menzionato nei commenti, la corretta validazione dei certificati richiede anche che il proxy non si fidi della propria CA incorporata.
- Idealmente, il proxy SSL dovrebbe anche effettuare alcune verifiche dell'integrità rispetto ai certificati di riferimento aggregati alla comunità o storici. Questo è implementato in alcune estensioni del browser Web e, in circostanze normali, può essere eseguito manualmente dall'utente, per aiutare a rilevare l'uso fraudolento di CA root-trusts altrimenti affidabili. Dal momento che il proxy SSL rimuove la capacità dell'utente di farlo da sé, o di utilizzare efficacemente un'estensione del browser per questo scopo, sarebbe meglio se il proxy potesse eseguire il proprio controllo per compensare. (Anche se dubito che questo sia disponibile nella maggior parte dei prodotti MitM aziendali.)
Un'altra cosa su cui devi stare attento, dato che hai detto che questo servizio ti è stato fornito da un fornitore esterno, è che il proxy SSL può vedere il traffico di tutti i tuoi utenti come se non fosse criptato. (Questo è lo scopo stesso di un proxy SSL.) Ciò significa che i dati che vorresti proteggere in altro modo dai visualizzatori di terze parti saranno completamente visibili dal venditore qualora decidessero di abusare della tua fiducia.