Sto lavorando sulla rete di un cliente in cui hanno abilitato lo spoofing dell'autorità HTTPS sul proprio proxy. Ciò consente loro di eseguire efficacemente un attacco man-in-the-middle per decifrare tutto il traffico crittografato in uscita.
Quando mi collego a un sito HTTPS, il mio browser ottiene un certificato per il sito che è stato firmato dal proxy della società, non il vero certificato. Chrome e Internet Explorer dicono che il sito web è protetto (tutto è verde, nessun avviso), ma Firefox dice che non lo è. Lo so, dato che il proxy SSL è a posto, che non lo è.
Suppongo che Chrome e IE accettino il certificato di spoofing perché il certificato del proxy è distribuito dall'oggetto Criteri di gruppo. Pertanto, quando il proxy invia un certificato di spoofing (firmato da solo) per un sito web, Chrome e IE lo mostrano come valido.
Come ci si può aspettare che qualcuno naviga in sicurezza in questo ambiente? Con tutti i certificati firmati dal proxy, come posso verificare che il sito Web non venga ulteriormente falsificato da altre terze parti? Sono preoccupato che possa arrivare un momento in cui Firefox è configurato per ignorare questi certificati falsificati. Come posso impedire ai miei browser (Firefox, ecc.) Di accettare questi certificati?
Perché i browser consentono questa funzione? Sembrerebbe quasi più sensato disabilitare completamente HTTPS piuttosto che permettere un così falso senso di sicurezza come questo. Non si tratta di un problema di sicurezza importante: il browser accetta certificati apparentemente legittimi anche se non sono quelli forniti dai siti web?