Società che decodifica SSL, è comune?

"Decrittazione SSL" (tramite una CA controllata dal firewall e MitM al volo) è una funzione offerta sulla maggior parte delle "costose" appliance firewall, quindi si può dire che la maggior parte delle grandi aziende può distribuire la decrittazione SSL. Che lo facciano davvero è un'altra questione. I motivi comuni per non utilizzare questa funzione sono:

• Aspetti legali. In molte giurisdizioni, ai dipendenti è consentito un certo livello di utilizzo personale dei computer forniti dalla società (nello stesso modo in cui le persone possono utilizzare il telefono aziendale per brevi chiamate personali ), e ficcanaso di una comunicazione tra il dipendente e la sua banca o il medico sarebbe cibo per contenzioso.

• Compatibilità. Molti "decrittori SSL" fanno un lavoro alquanto instabile; per esempio. il falso certificato del server che il browser client vede contiene una chiave RSA a 1024 bit che attiva avvisi o CRL / OCSP per quel certificato non supportato correttamente. E, naturalmente, che MitM rompe i certificati client (ad esempio, smart card).

• Resistenza dell'utente. Agli utenti non piace l'idea che i loro dati SSL vengano controllati.

L'ultimo punto è interessante. I firewall che eseguono la decrittografia SSL utilizzano una CA speciale e una generazione di certificati falsi al volo per facilitare la distribuzione, ma questo non è certo l'unico metodo per farlo. Su un computer da ufficio controllato dall'azienda, il sysadmin può perfettamente installare localmente un software che si aggancia alle librerie SSL e ispeziona i dati mentre scorre, al di fuori della protezione SSL. La maggior parte dei software antivirus fa proprio questo; e non causa così tanto irritazione da parte dell'utente. Quindi possiamo dire che ciò che gli utenti non apprezzano non è che i loro dati siano controllati; ciò che realmente aborriscono è sapere che i loro dati sono controllati. L'ignoranza è beatitudine.

Personalmente, quando vedo mettere in atto un sistema di "decodifica SSL", il mio primo pensiero non è "OMG stanno guardando il mio SSL!" ma piuttosto "Almeno sono aperti al riguardo".

Non ho statistiche - penso che nessuno lo abbia, tranne forse i produttori di elettrodomestici, ma non lo dicono (onestamente, chi vuole dire: "il mio prodotto ha una bella funzionalità che nessuno usa"?). Ma il mio sentimento e la mia esperienza mi dicono che la decifratura SSL a livello aziendale attraverso una CA visibile controllata dal firewall è ancora qualcosa di raro, mentre un'ispezione nascosta e trasparente eseguita direttamente sulla macchina client è molto diffusa. Il metodo del "falso certificato del server" diventerà più comune in futuro, perché rende molto più semplice il supporto del filtro dei contenuti per i dispositivi forniti dall'utente (anche se non è completo BYOD , le aziende che forniscono un WiFi" esterno "gratuito per i loro dipendenti lo preferiscono quando anche quella rete non privilegiata non diventa un pozzo nero di malware e video di legalità discutibili).

Per quello che vale, sono nel team di sicurezza aziendale che supervisiona una mezza dozzina di importanti aziende che possediamo (principalmente negli Stati Uniti), per un totale di oltre 10.000 dipendenti, e non impieghiamo la decodifica SSL ovunque. Una tecnica del genere non è nemmeno sul nostro radar.

Credo che dipenda dall'industria in cui ti trovi. Potrebbe essere giustificato se la società ha molti contenuti proprietari che temono che i concorrenti possano mettere le mani su. Alcune società hanno persino delle politiche che vietano l'uso di Internet per scopi non professionali. Pertanto, se si utilizza Internet esclusivamente per scopi di lavoro, la decrittografia di SSL non dovrebbe avere importanza per l'utente.

Ovviamente, è importante dirlo apertamente ai dipendenti in modo tale che, se sono a disagio, possono scegliere di utilizzare il proprio piano 3G / dati per la navigazione personale.

Link all'articolo su una società di servizi finanziari che ha deciso di decodificare SSL: link