Deep Packet Inspection SSL: in che modo le appliance DPI prevengono gli avvisi sui certificati?

Questi dispositivi funzionano come un uomo nel mezzo, cioè la comunicazione non è più end-to-end. Poiché la crittografia SSL viene terminata sul dispositivo DPI e re-crittografata, il client non vede alcuna informazione sulla crittografia originale, in particolare:

• Le versioni di crittografia e protocollo potrebbero essere diverse, ovvero il client non si accorge se il server originale utilizza crittografi deboli perché il traffico tra il client e la soluzione DPI è protetto con una versione di crittografia o protocollo migliore. D'altra parte, consente anche una soluzione DPI per assicurarsi che la connessione al server utilizza la crittografia strong, indipendentemente dal client originale.
• La convalida del certificato viene eseguita all'interno del dispositivo DPI e verrà creato un nuovo certificato (firmato dalla CA DPI). Ciò significa che il client non vedrà problemi del certificato originale come un algoritmo di firma debole. D'altro canto, il client non può essere ingannato nell'accettare certificati non validi perché il dispositivo DPI potrebbe imporre una validazione strong.

Sfortunatamente in passato c'erano diversi casi in cui i dispositivi DPI rendevano l'intero sistema meno sicuro perché non riusciva a convalidare correttamente i certificati, utilizzava una CA proxy comune tra tutti i dispositivi di un singolo fornitore o simili.

Per ulteriori informazioni su questo argomento, ti consiglio di leggere l'ampio articolo SSL / TLS Interception Proxies e Transitive Trust dal 2012.

Un ispettore di pacchetti può semplicemente ignorare gli avvisi sui certificati.

L'importante è che le informazioni possano essere decodificate e che gli utenti normali non ricevano avvisi sui loro browser.

Creare un certificato di origine e installarlo su tutti gli archivi di certificati in tutte le macchine. Usa un proxy come Charles per generare certificati e firmare con il tuo certificato radice.

link

Un deep packet inspector è configurato con un certificato di decrittazione spesso emesso per CN * (tutti i siti) o genera e firma i certificati con un certificato CA intermedio che è a sua volta firmato e considerato affidabile dai certificati CA forniti da ActiveDirectory o in altro modo.

I sistemi che stanno dietro un dispositivo di decrittografia sono configurati per fidarsi delle sue attività di spionaggio affidandosi al certificato CA, al certificato intermedio o al certificato globale di caratteri jolly, e quindi non mostreranno avvisi.