In che modo gli strumenti Deep Packet Inspection (DPI) prevengono dagli avvisi dei certificati tramite la decrittografia e la re crittografia dei pacchetti?
Questi dispositivi funzionano come un uomo nel mezzo, cioè la comunicazione non è più end-to-end. Poiché la crittografia SSL viene terminata sul dispositivo DPI e re-crittografata, il client non vede alcuna informazione sulla crittografia originale, in particolare:
Sfortunatamente in passato c'erano diversi casi in cui i dispositivi DPI rendevano l'intero sistema meno sicuro perché non riusciva a convalidare correttamente i certificati, utilizzava una CA proxy comune tra tutti i dispositivi di un singolo fornitore o simili.
Per ulteriori informazioni su questo argomento, ti consiglio di leggere l'ampio articolo SSL / TLS Interception Proxies e Transitive Trust dal 2012.
Un ispettore di pacchetti può semplicemente ignorare gli avvisi sui certificati.
L'importante è che le informazioni possano essere decodificate e che gli utenti normali non ricevano avvisi sui loro browser.
Creare un certificato di origine e installarlo su tutti gli archivi di certificati in tutte le macchine. Usa un proxy come Charles per generare certificati e firmare con il tuo certificato radice.
Un deep packet inspector è configurato con un certificato di decrittazione spesso emesso per CN * (tutti i siti) o genera e firma i certificati con un certificato CA intermedio che è a sua volta firmato e considerato affidabile dai certificati CA forniti da ActiveDirectory o in altro modo.
I sistemi che stanno dietro un dispositivo di decrittografia sono configurati per fidarsi delle sue attività di spionaggio affidandosi al certificato CA, al certificato intermedio o al certificato globale di caratteri jolly, e quindi non mostreranno avvisi.