In che modo gli utenti finali possono rilevare tentativi malevoli di spoofing SSL quando la rete dispone già di un proxy SSL autorizzato?

12

Sto lavorando sulla rete di un cliente in cui hanno abilitato lo spoofing dell'autorità HTTPS sul proprio proxy. Ciò consente loro di eseguire efficacemente un attacco man-in-the-middle per decifrare tutto il traffico crittografato in uscita.

Quando mi collego a un sito HTTPS, il mio browser ottiene un certificato per il sito che è stato firmato dal proxy della società, non il vero certificato. Chrome e Internet Explorer dicono che il sito web è protetto (tutto è verde, nessun avviso), ma Firefox dice che non lo è. Lo so, dato che il proxy SSL è a posto, che non lo è.

Suppongo che Chrome e IE accettino il certificato di spoofing perché il certificato del proxy è distribuito dall'oggetto Criteri di gruppo. Pertanto, quando il proxy invia un certificato di spoofing (firmato da solo) per un sito web, Chrome e IE lo mostrano come valido.

Come ci si può aspettare che qualcuno naviga in sicurezza in questo ambiente? Con tutti i certificati firmati dal proxy, come posso verificare che il sito Web non venga ulteriormente falsificato da altre terze parti? Sono preoccupato che possa arrivare un momento in cui Firefox è configurato per ignorare questi certificati falsificati. Come posso impedire ai miei browser (Firefox, ecc.) Di accettare questi certificati?

Perché i browser consentono questa funzione? Sembrerebbe quasi più sensato disabilitare completamente HTTPS piuttosto che permettere un così falso senso di sicurezza come questo. Non si tratta di un problema di sicurezza importante: il browser accetta certificati apparentemente legittimi anche se non sono quelli forniti dai siti web?

    
posta Benoît 20.06.2012 - 18:46
fonte

3 risposte

2

Potresti essere interessato a Certificate Patrol:

link

Tiene traccia dei certificati che hai visto prima e ti avvisa se sono stati modificati prematuramente. Ovviamente, potresti anche non installare il certificato di root dell'azienda in primo luogo.

    
risposta data 10.10.2012 - 22:12
fonte
8

How can someone be expected to browse securely in this environment?

Non puoi davvero. Se c'è un proxy MITM ufficiale e non è la tua rete, non fare nulla che non vuoi che gli amministratori di rete siano in grado di vedere. Usa la tua connessione personale per connetterti a siti con account personali.

With all certificates being signed by the proxy, how can I validate that the website isn't additionally being spoofed by some other third-party?

Penso sia giusto presumere che il proxy stesso, quando effettua la connessione al sito Web effettivo, controlli la validità del certificato rispetto a un elenco di CA con cui è stato configurato (probabilmente quello del sistema operativo su cui è in esecuzione) .

I'm worried that there might come a time where Firefox is also configured to ignore these spoofed certificates. How can I prevent my browsers (Firefox, et. al.) from accepting these certificates?

La tendenza è sempre stata quella di aumentare la consapevolezza sui certificati non validi in Firefox.

In Firefox, puoi disabilitare certe CA andando in Opzioni - > Avanzate: > Crittografia - > Visualizza certificati - > Autorità. Quindi, usa "Modifica fiducia" (o elimina un certificato CA). È probabile che tu trovi il certificato CA installato all'interno di questa istituzione. Puoi anche controllare le eccezioni nella scheda "Server", se ce ne sono.

Why do browsers allow this function? It would seem almost more sensible to completely disable HTTPS than to allow such a false sense of security as this. Is this not a major security issue - that the browser accepts seemingly-legitimate certificates even though they are not the ones provided by the websites?

Stai fraintendendo la responsabilità di garantire la fiducia. I browser sono lì solo per usare una lista di ancore fidate. Anche se spesso vengono con un elenco predefinito, è compito dell'amministratore della macchina (e / o dell'utente) controllare l'elenco delle CA che vogliono fidarsi. (C'è una leggera eccezione a questo con certificati EV , anche se non è privo di una serie di problemi.)

Se hai dei dubbi su quale CA è in uso, fai clic sull'icona del lucchetto o sulla barra blu / verde (a seconda del browser), dovresti essere in grado di vedere i dettagli di sicurezza. Confrontalo con quello che vedi usando una macchina di cui ti fidi su una rete di cui ti fidi.

Se non ti fidi di quali certificati CA sono installati sulla macchina, non usarla. Più in generale, questo si riduce a questo: non usare una macchina di cui non ti fidi.

    
risposta data 20.06.2012 - 20:21
fonte
0

How can someone be expected to browse securely in this environment?

È possibile creare una connessione sicura all'esterno, come una VPN. Quindi fai il tunnel di tutte le tue richieste attraverso questa connessione sicura. Il problema è che il proxy potrebbe anche capire il protocollo VPN e intercettare anche questo. È possibile rilevare un proxy VPN se si confronta il certificato VPN con una versione nota. Se vieni intercettato sulla VPN dovrai trovare un altro protocollo che il proxy consente di passare e non intercetta.

With all certificates being signed by the proxy, how can I validate that the website isn't additionally being spoofed by some other third-party?

Non puoi. Fai affidamento sul proxy per stabilire la connessione. Può o meno farlo in modo sicuro, ma in entrambi i casi non hai controllo.

I'm worried that there might come a time where Firefox is also configured to ignore these spoofed certificates. How can I prevent my browsers (Firefox, et. al.) from accepting these certificates?

Nella mia esperienza, Firefox offre all'utente un maggiore controllo mantenendo il proprio archivio certificati. IE / Edge e Chrome utilizzano entrambi l'archivio certificati di Windows integrato. Ovviamente, un amministratore potrebbe cambiare l'archivio di Firefox, quindi dipende solo da ciò che fanno i tuoi amministratori.

Why do browsers allow this function?

A volte si desidera configurare un server affidabile senza tutta la documentazione necessaria per ottenere un certificato firmato da una CA pubblica o per eseguire attività di sviluppo o test. In questi casi è necessario avere il controllo su esattamente quali certificati e CA si fidano.

It would seem almost more sensible to completely disable HTTPS than to allow such a false sense of security as this. Is this not a major security issue - that the browser accepts seemingly-legitimate certificates even though they are not the ones provided by the websites?

Questo è più un problema con i tuoi amministratori che controllano la tua sicurezza di un problema con il browser. Pensaci in questo modo: non stai eseguendo Firefox, stai eseguendo un programma browser fornito dai tuoi amministratori che fa ciò che vogliono che faccia.

    
risposta data 27.07.2018 - 22:48
fonte

Leggi altre domande sui tag