Come funziona il server proxy SSL in azienda?

Naviga le tue risposte
6

Molte aziende utilizzano un proxy di rete per intercettare il traffico basato sul Web, ad esempio.

Ho alcune domande sul loro funzionamento:

1) Non ho mai visto l'avviso SSL in compagnia. Dubito che installino certificati attendibili dal proprio proxy nel sistema operativo (poiché i browser potrebbero utilizzare diversi archivi certificati, Firefox ha il proprio, ad esempio). Quindi, come intercettano il traffico senza avviso del browser?

2) Supponendo che installino il certificato proxy in ogni host. Se un host vuole accedere a " link " , il nome host nel certificato sarà quello del proxy, non di Google . Quindi, in ogni caso, dovrebbe apparire un avvertimento SSL. Genera certificati (con google hostname per esempio) firmato dal proxy certificato attendibile?

    
posta Duke Nukem 08.08.2016 - 17:02
fonte

2 risposte

6

I've never seen SSL warning in company

Hai verificato che l'intercettazione SSL è stata eseguita? Vedi Come devo verificare di avere una connessione SSL diretta a un sito web? .

So how does they intercept trafic without browser warning?

Un proxy di intercettazione SSL crea una connessione SSL tra il proxy e il server di destinazione originale e un'altra connessione SSL tra il proxy e il client. La seconda connessione utilizzerà un certificato firmato dalla CA proxy. Pertanto è un classico SSL man in the middle attack e l'unica differenza tra l'attacco e l'intercettazione "legale" è che il sistema client ha esplicitamente affidato la CA proxy e quindi si fiderà anche dei certificati firmati con la CA proxy.

I doubt that they install trusted certificates from their proxy into the OS (because browsers may use different certificates store, Firefox has it's own for example).

Se disponi di archivi CA diversi per i diversi browser, devi importare la CA proxy in tutti questi.

If a host wants to go to "https://google.com", the hostname into the certificate will be that of the proxy , not google

No. L'oggetto del certificato sarà il nome host originale (ad es. Google.com). Ma questo certificato sarà firmato dalla CA proxy e non dalla CA originale. E poiché il client considera affidabile la CA proxy e il nome host corrisponde al certificato, non si verificheranno avvisi.

    
risposta data 08.08.2016 - 17:56
fonte
0

L'effettiva implementazione di un Proxy può variare da un'organizzazione all'altra. Nelle implementazioni in cui il certificato aziendale viene importato in ogni host per rimuovere gli errori SSL, probabilmente parlerai di Deep Packet Inspection. I firewall Next Gen (come Palo Alto ) supportano questo ma ancora, questo è solo se stanno facendo l'ispezione dei pacchetti.

Un server proxy non ha bisogno di per eseguire la decrittazione SSL, ma solo di passare la richiesta (e il contenuto crittografato) senza eseguire alcuna analisi sul payload. Questo generalmente non genererà avvisi SSL.

    
risposta data 08.08.2016 - 17:22
fonte

Leggi altre domande sui tag

Implementazione di un link di autologin in un'email [duplicate] Metodi per determinare se un file è crittografato?