Utilizzo del server e del certificato radice nella terminazione e ispezione di ssl

1

Sto conducendo ricerche su fornitori che consentono la terminazione e l'ispezione SSL, mi sono imbattuto nella tecnologia Cisco CWSA, la tecnologia è stata in qualche modo facile da comprendere e ciò mi ha fatto impazzire la differenza tra root e server certificato.

Questo articolo menzioni:

A Server certificate cannot be used in order to sign other certificates; therefore, HTTPS decryption does not work if a Server certificate is installed on the WSA.

Intendo se quel certificato è firmato da CA radice, quindi perché non può andare lì sull'appliance per la decodifica? Mi manca qualcosa qui. Aiuta ragazzi

    
posta Saladin 01.08.2015 - 17:46
fonte

1 risposta

1

C'è una differenza tra le capacità di un certificato "root", che può essere usato per firmare altri certificati e un certificato "server" che non può.

Per un proxy SSL se si utilizza un certificato server, l'unico host il cui traffico potrebbe essere intercettato in modo inequivocabile è quello il cui nome comune è incluso nel certificato del server.

L'idea generale con questo tipo di proxy di intercettazione SSL è che avrai un certificato CA che sarà considerato affidabile dai client che si connettono attraverso il proxy e che può essere usato per creare certificati server che i clienti si fidano, on- the-fly.

    
risposta data 01.08.2015 - 17:55
fonte

Leggi altre domande sui tag