SSL Proxy come un uomo nel mezzo

Un proxy di intercettazione SSL da solo non può ingannare nessuno. La CA utilizzata dal proxy per generare i nuovi certificati deve essere considerata attendibile dal client o altrimenti la convalida del certificato avrà esito negativo. Questo è vero dentro e fuori dalle reti aziendali. La differenza principale è che nelle reti aziendali di solito c'è un amministratore che ha il controllo dei sistemi client e installa lì i certificati necessari senza l'aiuto dell'utente e quindi l'utente potrebbe non accorgersene.

Tuttavia, anche al di fuori delle reti aziendali l'intercettazione SSL silenziosa potrebbe essere possibile se l'utente malintenzionato può utilizzare un certificato CA che è attendibile sul sistema client e in cui l'utente malintenzionato ha la chiave privata. Tale situazione potrebbe ad esempio essere creata utilizzando malware. Ma tali certificati potrebbero già risiedere nel sistema degli utenti. Ad esempio, c'è l'infame Superfish che è stato fornito con i sistemi Lenovo e che ha installato un certificato CA attendibile sul sistema dei client iniettare annunci nel traffico HTTPS. Ancora peggio questo certificato era lo stesso in tutte le installazioni e la chiave privata poteva essere facilmente estratta. Pertanto, se un utente ha ancora questo certificato come attendibile sul sistema, un utente malintenzionato potrebbe utilizzarlo all'interno di un attacco uomo nel mezzo e l'utente non lo noterà.

Ci sono anche altri casi in cui tali attacchi sono possibili. Ad esempio, diversi prodotti antivirus eseguono l'intercettazione SSL e alcuni non riescono a convalidare correttamente i certificati. Poiché in tali casi il browser non è più responsabile del controllo del certificato ma di alcuni software con una convalida interrotta, è possibile montare un uomo invisibile nell'attacco centrale. Vedi L'impatto sulla sicurezza delle intercettazioni HTTPS per i dettagli.