¿Por qué el proxy BlueCoat pasa la comunicación HTTPS a los sitios de Google?

4

Tengo una máquina detrás del servidor proxy corporativo de BlueCoat. Para cualquier sitio HTTPS obtengo un certificado firmado por la CA de BlueCoat, por ejemplo:

BlueCoat
  *.duckduckgo.com

Las únicas excepciones son los sitios propiedad de Google para los cuales obtengo el certificado adecuado para google.com y la mayoría de sus SAN ( youtube.com no se ve afectado, android.com es interceptado):

GeoTrust Global CA
  Google Internet Authority G2
    *.google.com
      expires on 2016-08-17
      fingerprint 66:05:80:34:2A:DC:33:B8:92:78:5D:2C:F9:C9:69:F6:19:81:4A:35:DB:FF:19:89:3B:FA:5F:6B:33:37:58:FD

Obtengo los mismos resultados para los navegadores que utilizan los almacenes de certificados de Microsoft y Mozilla (aunque eso no debería importar).

Dudo que el administrador de proxy haya agregado deliberadamente una excepción para los dominios de Google, pero no puedo excluir eso (y no tengo ningún medio de confirmación).

¿Hay alguna otra explicación para omitir el proxy de BlueCoat al acceder a los sitios de Google? ¿O una forma de averiguarlo?

La fijación de certificados no debería tener nada que ver con esto (y todos los otros sitios como twitter.com vienen con certificados firmados por BlueCoat).

    
pregunta techraf 06.06.2016 - 10:06
fuente

1 respuesta

3

Supongo que su administrador de proxy ha desactivado la inspección ssl para los dominios de Google debido a una actualización de Chrome, y qué conjuntos de cifrado intentará usar para los dominios de Google.

enlace

Lamentablemente, bluecoat no actualmente admite los sistemas de cifrado solicitados por Google Chrome, y las conexiones SSL fallan.

Una solución alternativa es agregar a la lista blanca los sitios de Google de las inspecciones de SSL, lo que, en mi opinión, es malo. El otro sería desactivar el soporte para los nuevos cifrados EC en Google Chrome.

Este problema solo afecta a Chrome, no a otros navegadores.

    
respondido por el Dog eat cat world 06.06.2016 - 11:36
fuente

Lea otras preguntas en las etiquetas