Perché il proxy BlueCoat trasmette la comunicazione HTTPS ai siti Google?

4

Ho una macchina dietro il server proxy aziendale BlueCoat. Per qualsiasi sito HTTPS ottengo un certificato firmato dalla CA BlueCoat, ad esempio:

BlueCoat
  *.duckduckgo.com

Le uniche eccezioni sono i siti di proprietà di Google per i quali ottengo il certificato corretto per google.com e la maggior parte delle sue SAN ( youtube.com non viene modificato, android.com viene intercettato):

GeoTrust Global CA
  Google Internet Authority G2
    *.google.com
      expires on 2016-08-17
      fingerprint 66:05:80:34:2A:DC:33:B8:92:78:5D:2C:F9:C9:69:F6:19:81:4A:35:DB:FF:19:89:3B:FA:5F:6B:33:37:58:FD

Ottengo gli stessi risultati per i browser che utilizzano gli archivi di certificati Microsoft e Mozilla (anche se ciò non dovrebbe avere importanza).

Dubito che l'amministratore proxy abbia deliberatamente aggiunto un'eccezione per i domini di Google, ma non posso escluderlo (e non ho alcun mezzo di conferma).

C'è qualche altra spiegazione per aggirare il proxy BlueCoat quando accedi ai siti di Google? O un modo per capirlo?

Il pinning del certificato non dovrebbe avere nulla a che fare con esso (e tutti gli altri siti come twitter.com sono dotati di certificati firmati BlueCoat).

    
posta techraf 06.06.2016 - 10:06
fonte

1 risposta

3

La mia ipotesi è che il tuo amministratore proxy abbia disattivato l'ispezione ssl per i domini google a causa di un aggiornamento di Chrome e di quali cipherità tenterà di utilizzare per i domini google.

collegamento

Purtroppo, bluecoat non supporta al momento le crittografie richieste da Google Chrome e le connessioni SSL hanno esito negativo.

Una soluzione alternativa è quella di autorizzare i siti Google da ispezioni SSL, che a mio parere sono pessime. L'altro sarebbe disattivare il supporto per i nuovi codici EC in Google Chrome.

Questo problema riguarda solo Chrome, non altri browser.

    
risposta data 06.06.2016 - 11:36
fonte

Leggi altre domande sui tag