Errore di sicurezza durante l'importazione del certificato?

1

Recentemente l'azienda in cui lavoro ha cambiato il modo in cui gli utenti accedono a Internet. Gli utenti Windows accedono a un server Active Directory e, per utilizzare Internet, possono utilizzare qualsiasi browser con l'opzione proxy disabilitata. Per gli utenti Linux, c'è un'eccezione: dobbiamo importare un certificato personale dall'area Informazioni di sicurezza generata per noi. Le mie domande sono:

1) A cosa serve questo certificato? Penso che questa possa essere una domanda sciocca, ma ho sempre pensato che i certificati non fossero per il cliente, solo per il server. Quello che voglio dire è: se provo ad accedere a google.com tramite https, il mio browser verificherà il certificato di google se è buono o meno. Riesci a vedere che, in questo punto di vista, esiste solo il certificato del server?

2) Se non lo si importa, ogni tentativo di accesso al sito provoca un errore di convalida del certificato. Perché? AFAIK, l'errore di convalida del certificato si è verificato solo quando il certificato del server non era valido o obsoleto.

3) C'è qualche difetto in questa situazione? Ad esempio: posso utilizzare questo certificato per provare un attacco MITM?

4) Gli utenti Windows non hanno bisogno di importare questo certificato, mentre gli utenti Linux lo fanno. Gli utenti Linux devono autenticarsi ogni 12 ore, mentre gli utenti Windows no. Qualcuno potrebbe scrivere qualcosa per spiegare cosa sta succedendo qui?

La mia azienda utilizza un prodotto da link per gestire gli account, filtrare siti Web ecc.

Modifica :

Dopo la risposta di Steffen, mi è venuto in mente: il certificato che ho dovuto importare è lo stesso per tutti gli utenti Linux. Dato che ho il certificato, A) posso "estrarre" (o esportare o ottenere o qualsiasi altra cosa) la chiave privata? In tal caso, B) posso, dopo aver annusato il traffico di rete, usarlo per decodificare i pacchetti che occasionalmente ottengo?

    
posta Marveringius 16.09.2016 - 16:02
fonte

1 risposta

5

1) What's this certificate for?

Per l'intercettazione SSL sul firewall, ovvero la connessione SSL verrà terminata sul firewall e il firewall eseguirà una nuova connessione SSL al server. Tutti i certificati che ottieni nella connessione intercettata verranno firmati dal certificato CA che hai importato e pertanto considerati attendibili. In questo modo il firewall può analizzare anche il traffico SSL.

2) If I don't import it, every site access attempt results in a certificate validation error. Why is that?

Poiché l'host non si fida del certificato CA del firewall utilizzato per creare i nuovi certificati per le connessioni SSL intercettate.

3) Is there any flaw in this situation? For example: can I use this certificate in order to try a MITM attack?

Chiunque abbia accesso alla chiave privata del certificato CA può MITM la connessione.

4) Windows users don't need to import this certificate, whilst Linux users do. Linux users need to authenticate every 12 hours, whilst Windows users don't. May someone write something to explain what's going on here?

Con Windows il certificato CA proxy viene automaticamente propagato a tutte le macchine utilizzando una politica. E probabilmente c'è qualche processo in cui mappa un indirizzo IP per l'utente attualmente connesso alla macchina, quindi non è necessario il login manuale.

.. Given the fact that I have the certificate,
A) can I "extract" (or export or get or whatever) the private key from it?

No. Hai solo il certificato. Ciò include il pubblico ma non la chiave privata. È lo stesso con tutti gli altri certificati CA presenti nel sistema o nel browser: vengono utilizzati per verificare solo un certificato che viene eseguito utilizzando la chiave pubblica nel certificato.

Per ulteriori informazioni su tale MITM basato su firewall, vedi La mia azienda può vedere a quali siti HTTPS sono stato indirizzato?

    
risposta data 16.09.2016 - 16:19
fonte

Leggi altre domande sui tag