Rilevamento ispezione SSL

7

Recentemente è stata fatta un'interessante domanda sull'ispezione SSL, e questo mi ha fatto riflettere se è effettivamente possibile, da parte dell'utente finale (o anche lato server), per rilevare se il collegamento SSL viene monitorato o no?

Un metodo per un IDP per decodificare il traffico SSL e decodificare i pacchetti HTTPS consiste nell'utilizzare un certificato radice nella modalità proxy forward SSL.
Come vengono rilasciati questi certificati radice alle aziende? A quanto ho capito, tale certificato potrebbe essere utilizzato per decodificare qualsiasi traffico SSL.

EDIT: Ok per i certificati di root, ma per quanto riguarda il rilevamento dell'ispezione dei pacchetti SSL, è fattibile?

    
posta fduff 13.06.2012 - 22:16
fonte

3 risposte

5

Dall'esterno , l'intercettatore può accedere passivamente a tutto ciò che viene inviato "in chiaro" come parte dei passaggi iniziali di un SSL / TLS connessione. Ciò include il fatto che SSL è usato, la versione del protocollo, l'insieme concordato di algoritmi crittografici, il certificato del server, spesso il server previsto nome ... Una volta che l'iniziale "stretta di mano" è completa, gli esterni vedono solo i dati crittografati, che non possono decifrare; si noti che l'URL di destinazione fa parte di quei dati crittografati (il nome del server di destinazione potrebbe essere visibile nell'handshake, non nel resto dell'URL). Va detto che mentre i dati crittografati sono opachi agli intercettatori, la lunghezza di tali dati non lo è; a seconda della suite di cifratura, la lunghezza può essere nota a spie esterne con precisione a singolo byte.

Tale registrazione passiva dei pacchetti in transito non può essere rilevata dal client o dal server (per definizione).

Per accedere ai contenuti del tunnel SSL , gli ispettori devono in qualche modo hackerare il client o il server. Ci sono prodotti pensati per l'implementazione da parte di amministratori di grandi reti (aziendali), dove questo "hack" è incarnato da un ulteriore " root CA "inserita nello store delle root attendibili del sistema client. Questa CA radice extra è controllata dal proxy, che genera al volo un certificato falso per il server che si tenta di raggiungere, e fondamentalmente esegue un attacco man-in-the-middle . Questo può essere rilevato dal lato client chiedendo al tuo browser di visualizzare il certificato del server e vedere a quale CA radice questo certificato si attacca.

Tuttavia , l'inserimento di una CA radice aggiuntiva nel trust store richiede l'accesso privilegiato alla macchina (ad es. come amministratore) e chiunque possa farlo, potrebbe anche installare software di spionaggio meno cospicuo come key logger e screenshot grabber. Pertanto, se l'ispezione dei contenuti SSL è possibile, è possibile anche ispezione non rilevabile . La CA radice aggiuntiva è per gli ispettori del contenuto SSL che agiscono su base ufficiale e non sentono l'impulso di nascondere le loro intercettazioni.

Al contrario , se la tua macchina è "pulita" (non toccata da potenziali spie), allora SSL (HTTPS) ti ti proteggerà dall'ispezione esterna dei tuoi dati. Questa è una delle funzionalità principali di SSL.

    
risposta data 04.01.2013 - 20:18
fonte
1

I certificati di root delle CA sono liberamente scaricabili dagli emittenti di CA. Thawte , Verisign . Certificati di tutte le principali emittenti di CA - qui . Se questo è quello che stai cercando.

    
risposta data 13.06.2012 - 22:42
fonte

Leggi altre domande sui tag