Le future versioni di TLS impediranno l'ispezione del traffico?

9

Al giorno d'oggi è possibile ispezionare (non crittografare) il traffico TLS (HTTPS) all'interno di un'organizzazione. Il meccanismo consiste nell'utilizzare una CA radice configurata nel client Web e in un dispositivo di rete che riceve le connessioni HTTPS e forgia un certificato on-the-fly per la destinazione usando quella CA radice. Pertanto, per questo controllo del traffico TLS è necessario controllare sia gli endpoint che la rete. Alcuni dispositivi di rete come IPS, proxy e DLP lo implementano.

L'ispezione del traffico ha un business case: le organizzazioni potrebbero voler proteggersi da fughe di notizie e malware che comunicano usando questi canali criptati. Se l'ispezione del traffico non fosse possibile, l'organizzazione avrebbe un buco che sarebbe sfruttato dagli aggressori.

Tuttavia, non sono sicuro del futuro e qual è la tendenza. Ho letto di blocco dei certificati ad esempio che tenta di evitare l'ispezione del traffico fino a un certo punto.

Le future versioni di TLS eviteranno l'ispezione del traffico?

Oggigiorno tutto il traffico HTTPS potrebbe essere ispezionato utilizzando questo meccanismo? Compreso Google, Apple, Microsoft ...

    
posta Eloy Roldán Paredes 26.12.2015 - 12:34
fonte

3 risposte

12

Non ci sono.

AFAIK non c'è nulla all'interno di TLS 1.3 Draft a riguardo. E non credo che ci sia una soluzione tecnica a questo. Se consenti a qualcuno di installare una CA radice aggiuntiva sul tuo computer, tutte le scommesse sono disattivate.

    
risposta data 26.12.2015 - 13:02
fonte
14

TLS di per sé protegge lo sniffing e la modifica del traffico tra due endpoint, ovvero client e server. L'intercettazione TLS crea solo due connessioni TLS in cui solo una era, cioè il client per il dispositivo di intercettazione e il dispositivo di intercettazione per il server. Funzionerà ancora con versioni future di TLS.

L'intercettazione TLS è possibile solo se la convalida degli endpoint non rileva l'intercettazione (o lo consente esplicitamente). Il modo in cui viene eseguita la convalida dell'endpoint non fa parte del protocollo TLS stesso e pertanto le modifiche al protocollo TLS non incideranno su questa parte. Pertanto i meccanismi correnti per l'intercettazione SSL utilizzando una CA proxy affidabile saranno funzionano ancora come il pinning SSL se l'intercettazione non dovrebbe essere consentita. Nota che i browser di oggi ignoreranno il blocco se il certificato è firmato da una CA esplicitamente aggiunta, il che significa che il blocco verrà ignorato quando viene utilizzata l'intercettazione TLS legale. Ma ancora una volta è un problema di convalida del certificato e non è correlato alla versione TLS.

    
risposta data 26.12.2015 - 13:02
fonte
0

Alcune nuove ricerche sembrano indicare che 1.3 blocca correttamente l'ispezione del traffico: link . Forse alcune cose sono cambiate nelle specifiche dal 2015?

    
risposta data 05.02.2018 - 19:11
fonte

Leggi altre domande sui tag