SSL MITM e Autenticazione reciproca - mercato dei venditori

0

Nell'interesse di convalidare il mio modo di pensare:

Ho esaminato apparecchi commerciali man-in-the-middle (MITM). Sembra che i principali attori sul mercato non supportino i certificati client e l'autenticazione reciproca. Fondamentalmente, le appliance MITM disponibili non sono in grado di generare e firmare un certificato client affidabile dal server.

Mi chiedo se uno sviluppatore adeguatamente motivato possa progettare un'appliance MITM che possa sia generare nuovi certificati server che rispondano a Client Hellos (questa capacità è ben nota), sia generare nuovi certificati client che rispondano alle richieste di certificati client . Se la mia comprensione è corretta, l'intera sessione SSL sarà distinta su entrambe le estremità del dispositivo MITM.

Mi manca qualcosa qui? Supponendo che sia i certificati di affidabilità client e server firmati dal MITM, è possibile l'autenticazione reciproca MITM SSL con i certificati client? In un'altra nota, ciò richiederebbe la rottura delle sessioni TCP?

Grazie per qualsiasi risposta!

    
posta The_Glidd 15.05.2017 - 21:26
fonte

1 risposta

0

Se sia il client che il server si fidano del proxy MITM, allora sarebbe possibile utilizzare certificati falsi (emessi dal proxy MITM) su entrambi i lati generati dinamicamente in base ai certificati originali inviati dal server e dal client.

Ma in pratica l'ispezione SSL viene solitamente utilizzata all'interno di un firewall perimetrale per proteggere i clienti all'interno dell'azienda. In questo caso, la società ha il controllo dei client e può assicurarsi che tutti i client si fidino della CA del proxy MITM. Tuttavia, la società di solito non ha alcun controllo sui server e quindi non può fare affidamento sulla CA proxy MITM. Di conseguenza, i server di solito non accettano il certificato del client falso, il che significa che i certificati client non funzioneranno. E poiché a causa di questo problema di solito non c'è richiesta per questa caratteristica, non è implementata, anche se sarebbe teoricamente possibile.

    
risposta data 15.05.2017 - 21:35
fonte

Leggi altre domande sui tag