Poiché il traffico HTTPS è crittografato durante il transito, come viene analizzato da un gateway di sicurezza Web?
I prodotti che pretendono di essere in grado di filtrare il traffico crittografato con SSL solitamente lo fanno facendo un man-in -il-attacco medio , proprio come farebbe un attaccante attivo. Il "prodotto di sicurezza" si trova sul proxy Web, attraverso il quale viene eseguita la connessione. intercetta il flusso e genera al volo un certificato personalizzato con il nome del sito di destinazione; il client stabilisce in modo efficace un tunnel SSL con il proxy, non con il sito di destinazione previsto. Contemporaneamente, il proxy si collega al sito di destinazione e inoltra i dati in entrambe le direzioni.
Questo può funzionare solo perché il certificato generato automaticamente è firmato relativamente a un'autorità di certificazione speciale controllata dal proxy e installato come una "CA radice" nell'archivio pertinente nelle macchine client. Ciò richiede che chiunque installi il proxy abbia il controllo amministrativo dei sistemi client.
Oltre a tali "prodotti di sicurezza", tale impostazione MitM istituzionale si trova in prodotti che pretendono di "accelerare Internet" (cioè acquisiscono i dati, li comprimono e li inviano a un gateway specifico che li decomprime) .
Si noti che un tale sistema non può funzionare con connessioni SSL bi-autenticate (il tipo in cui il client anche ha un certificato): la firma generata dal client non può essere convertita dal proxy in una firma che convincerà il server (perché, tra i dati firmati dal client, è il certificato del server come il client lo ha visto, cioè quello generato automaticamente dal proxy).
Un altro modo per analizzare il traffico crittografato con SSL, non sul lato client ma sul server, è avere un prodotto che ha una copia della chiave privata del server e assicurarsi che il server faccia non utilizzare le suite di crittografia "DHE". In queste condizioni, è sufficiente prendere una copia dei pacchetti per decifrare il tunnel. Ovviamente, questo è per le connessioni al server specifico one e richiede una certa cooperazione del server (la chiave privata del server è, dopo tutto, privata al server).
Leggi altre domande sui tag web-application firewalls tls certificates man-in-the-middle