È possibile utilizzare un proxy in uscita per eseguire l'aggiornamento a TLS

1

Data una situazione in cui la tecnologia legacy esiste da un sistema e non vogliamo eseguire un aggiornamento completo (.net in questo caso con una versione che non ha alcun supporto per TLS 1.1 / 1.2) poiché il prodotto presto sarà EOL. Tuttavia, ci viene richiesto di eseguire l'aggiornamento da TLS 1.0 a 1.1 per alcune chiamate in uscita. Esiste una configurazione proxy che consentirebbe una tale attività?

Grazie

    
posta Travis Howe 07.04.2016 - 21:25
fonte

1 risposta

2

A causa della sicurezza incorporata in TLS questo non può essere fatto cambiando l'handshake TLS esistente nel proxy. Occorre invece creare una connessione TLS tra il server di destinazione e il proxy e un'altra connessione TLS tra il proxy e il client. La seconda connessione non può ottenere il certificato originale dal server, ma il proxy deve crearne uno nuovo firmato dalla propria CA. Tutte le convalide dei certificati verranno eseguite dal proxy, pertanto è necessario considerare attendibile il proxy in uscita. È inoltre necessario configurare l'applicazione per considerare attendibile la CA utilizzata dal proxy per creare i nuovi certificati.

Poiché TLS è terminato e ricreato sul proxy, non esiste più una crittografia end-to-end. Ciò significa che i certificati client non funzioneranno in questa configurazione in modo trasparente, ovvero dovresti spostare l'invio del certificato client corretto al proxy. Solo pochi proxy lo supportano.

Se puoi vivere con queste limitazioni e se ti interessa solo il traffico HTTPS c'è un sacco di software in grado di farlo. Se si dispone di uno dei migliori firewall o gateway sicuri, la funzionalità è probabilmente già presente sotto forma di funzionalità di avvio SSL. A parte questo, potresti utilizzare il proxy web calam gratuito o strumenti di test come mitmproxy.org/">mitmproxy. Ma si noti che in particolare gli strumenti di test non sempre validano correttamente i certificati. Inoltre, alcune soluzioni non possono essere gestite correttamente con i siti che utilizzano Indicazione del nome del server che rende questi prodotti inutilizzabili con molti siti di oggi.

Se il tuo obiettivo non è quello di gestire il traffico HTTPS ma con altri protocolli (es. IMAP, SMTP, SIP ... o protocolli personalizzati) la scelta è molto più piccola e potresti dover sviluppare la tua versione specifica del protocollo di tale proxy.

    
risposta data 07.04.2016 - 21:50
fonte

Leggi altre domande sui tag