Qualcuno può spiegare come i firewall aziendali Check Point sono in grado di leggere il traffico SSL? Il mio capo ha spiegato brevemente che il firewall della nostra azienda, che è Check Point, è in grado di intercettare i certificati SSL e riemetterli all'utente finale, mantenendo così una copia della chiave pubblica e ispezionando tutto il traffico HTTPS e generale SSL.
Inoltre, se il firewall aziendale è in grado di fare ciò, probabilmente anche il mio ISP sta facendo questo?
Generalmente questo è possibile perché l'azienda controlla i dispositivi soggetti a monitoraggio, quindi può istruire i dispositivi a fidarsi del proprio certificato CA.
To make the PC trust the gateway CA certificate:
- Export the CA certificate from the SmartDashboard (on the HTTPS Inspection window of the Security Gateway, or on the HTTPS Inspection > Gateways pane).
2 . Install the certificate on the user's PC:
Manually put the certificate file in the user's PC. Click the file and follow the wizard instructions to add the certificate to the trusted root certificates repository on client machines.
Use GPO or group policy to distribute the certificate to a large group of users. See the documentation for more details.
Possono quindi intercettare l'handshake TLS e sostituire il certificato con uno generato e firmato autonomamente e di cui il dispositivo si fida. Possono quindi agire da man-in-the-middle, decrittografando il tuo traffico prima di inviarlo alla destinazione legittima.
is my ISP likely doing this as well?
No, il tuo ISP non è in una posizione in cui ha accesso ai tuoi dispositivi, quindi non possono installare il loro certificato CA di fiducia.
Inoltre, alcuni client (ad esempio alcune app mobili e alcuni browser in alcune circostanze) "pin" i certificati, il che significa che accetteranno solo un certificato firmato da una particolare CA. In questo scenario non accetteranno i certificati generati dalla tua azienda.
Leggi altre domande sui tag encryption firewalls tls check-point