Ispezione SSL multipla

2

Voglio chiederti se pensi che fare l'ispezione SSL in modalità proxy (Resign) potrebbe essere un problema.

Lo scenario è il seguente: 1 --> 2 --> 3

  1. Client navigazione web
  2. Dispositivo IPS con controllo SSL (il cliente si affida al certificato dell'IPS in quanto l'IPS è diventato una CA subordinata della CA)
  3. Dopodiché il traffico va al cloud dove è di nuovo rassegnato dal proxy cloud .

Che ne pensi? È possibile realizzarlo? Il proxy cloud dovrebbe essere una CA subordinata della CA?

    
posta D3sync 03.12.2015 - 08:08
fonte

3 risposte

2

Penso che non sia una buona idea in quanto questa implementazione vanificherebbe l'idea di base di SSL / TLS: Crittografia end-to-end .

In pratica, una tale distribuzione può causare i seguenti problemi:

  • Siti, servizi Web, ecc. che utilizzano Blocco dei certificati (ad esempio, tramite HPKP ) smetterebbe di funzionare perché il browser / client vede improvvisamente un certificato SSL diverso valido.
  • Molte app per smartphone bloccano i certificati per gli endpoint dei loro servizi Web perché esiste un solo client che rende relativamente facile la chiave pubblica.
  • Google Chrome e Firefox un elenco predefinito di certificati aggiunti e hard-code dei certificati di Google nel browser. Pertanto, i domini Google non sarebbero più accessibili dal browser Chrome. Qui puoi trovare ulteriori informazioni su ciò che riguarda Firefox.

Tutto nel mondo SSL / TLS sta andando verso il blocco dei certificati e il restringimento della relazione di trust tra CA e domini abilitati a SSL / TLS. Ecco perché non penso che ciò che hai suggerito sia un design di rete a prova di futuro .

    
risposta data 03.12.2015 - 08:28
fonte
0

Se questo è per il tuo progetto e non inteso come un tipo di cosa proxy generico, quello che stai descrivendo si chiama Terminazione SSL / TLS, dove fondamentalmente c'è uno o più punti di ingresso (di solito bilanciamento del carico) che gestiscono il processo crittografico e quindi proxy la richiesta ai server appropriati. Il client non esegue strette di mano o simili con il server finale effettivo, solo con il servizio di bilanciamento del carico che gestisce la terminazione.

Se intendi un progetto generico, ti suggerisco di leggere il messaggio SSL universale di CLoudFlare

Ecco una risposta correlata

    
risposta data 03.12.2015 - 10:19
fonte
0

Questa è una pratica standard con i firewall di nuova generazione che eseguono l'ispezione a livello di applicazione.

È sicuramente fattibile, ma ha alcune complicazioni con il blocco dei certificati. Gli endpoint dovrebbero essere configurati per disabilitare il supporto di pinning o il proxy dovrebbe riscrivere le informazioni sul pinning come parte delle dimissioni.

Per essere chiari, questo può funzionare efficacemente solo con gli endpoint configurati per fidarsi intenzionalmente del tuo proxy, dei suoi certificati e delle sue ridefinizioni dei pin.

    
risposta data 06.12.2015 - 20:04
fonte

Leggi altre domande sui tag