È possibile intercettare il protocollo SSL senza disabilitare la chiave pubblica sul lato client?

2

Attualmente sto configurando un firewall pfSense nel mio laboratorio. Supporta SSL Inception che funziona abbastanza bene per la maggior parte dei siti.

Ma ci sono alcuni siti che usano HTTP Public Key Pinning per prevenire gli attacchi MitM e questo è un vero problema perché i sistemi dietro il firewall non sono stati appena impostati e hanno bloccato le chiavi pubbliche in alcuni casi che poi interrompono il protocollo SSL per quei siti .

Un modo per aggirare questo è disabilitare HPKP che è possibile in firefox impostando security.cert_pinning.enforcement_level su 0 e funziona bene. C'è un altro modo per aggirare questo problema?

// L'host su cui ho provato è una macchina Kali con il browser Iceweasel.

L'errore che mi è stato mostrato ha detto che la connessione è stata interrotta a causa dell'HSTS che è stato motivo di confusione perché c'erano anche siti Web che utilizzavano l'HSTS e l'intercettazione funzionava bene. Ho quindi capito che questo apparentemente ha a che fare con HPKP e dopo averlo disattivato gli errori HSTS non si sono più manifestati.

Questo sembra essere un problema specifico del software. Dopo @Steffen Ullrich Mi ha fatto notare che questo non dovrebbe accadere. L'ho provato con un client Windows 7 e Chrome come browser e ha funzionato bene.

    
posta davidb 05.07.2016 - 23:36
fonte

3 risposte

5

In caso di intercettazione legale SSL, la CA proxy che viene utilizzata per emettere i certificati per le connessioni intercettate viene importata esplicitamente nel browser / OS come attendibile. In tal caso, il browser ignorerà sia il blocco interno che il blocco eseguito con l'intestazione HPKP. Questo è esplicitamente fatto in questo modo per rendere possibile l'intercettazione legale SSL (nei firewall, per ragioni di sicurezza). Il che significa che non è necessario disabilitare il blocco della chiave pubblica in questi casi.

    
risposta data 06.07.2016 - 07:11
fonte
1

Is there another way to get around this problem?

Sì, puoi configurare lo strumento di intercettazione SSL per eliminare qualsiasi intestazione HPKP nelle risposte.

Avrai bisogno di tutti gli utenti per iniziare con un profilo del browser dedicato, che è sempre e solo utilizzato sotto intercettazione SSL. Se lo stesso profilo del browser viene mai utilizzato senza intercettazione SSL, il server reale potrebbe ricollegare il certificato e causare problemi quando l'utente riattiva l'intercettazione SSL.

    
risposta data 06.07.2016 - 03:31
fonte
0

Per quanto comprendo, Pinning Public Key e Pinning del certificato di HTTP uno dei loro obiettivi principali è prevenire gli attacchi MITM.

Quindi dimostreresti che questa tecnica è sbagliata se potessi romperla senza disabilitarla.

    
risposta data 06.07.2016 - 00:35
fonte

Leggi altre domande sui tag