El "descifrado SSL" (a través de una CA controlada por firewall y MitM sobre la marcha) es una característica que se ofrece en la mayoría de los dispositivos de firewall "caros", por lo que se puede decir que la mayoría de las grandes empresas pueden Implementar descifrado SSL. Si realmente lo hacen es otro asunto. Las razones comunes para no usar esa función incluyen:
Preocupaciones legales. En muchas jurisdicciones, a los empleados se les permite cierto nivel de uso personal de las computadoras provistas por la compañía (de la misma manera que las personas pueden usar el teléfono de la compañía para llamadas personales cortas) ), e indagar en una comunicación entre el empleado y su banco o médico sería alimento para litigios.
Compatibilidad. Muchos "descifradores SSL" hacen un trabajo un tanto inestable; p.ej. el certificado de servidor falso que ve el navegador del cliente contiene una clave RSA de 1024 bits que activa advertencias, o CRL / OCSP para ese certificado no se admite correctamente. Y, por supuesto, que MitM rompe los certificados de los clientes (por ejemplo, las tarjetas inteligentes).
Resistencia del usuario. A los usuarios simplemente no les gusta la idea de que se inspeccionen sus datos SSL.
El último punto es interesante. Los firewalls que realizan el descifrado SSL utilizan una CA especial y la generación de certificados de servidores falsos sobre la marcha para facilitar la implementación, pero este no es el único método para hacerlo. En una computadora de oficina controlada por la empresa, el administrador del sistema puede instalar perfectamente localmente algún software que se enganche con las bibliotecas SSL e inspeccione los datos a medida que fluyen, fuera de la protección SSL. La mayoría de los programas antivirus hacen precisamente eso; y no causa tanto al usuario preocuparse. Por lo tanto, podemos decir que lo que no les gusta a los usuarios no es que se inspeccionen sus datos; lo que realmente aborrecen es saber que sus datos son inspeccionados. La ignorancia es la felicidad.
Personalmente, cuando veo un sistema de "descifrado SSL" puesto en marcha, mi primer pensamiento no es "¡Dios mío, están mirando mi SSL!" sino más bien "Al menos están abiertos al respecto".
No tengo estadísticas. Creo que nadie lo tiene, excepto posiblemente los proveedores de dispositivos, pero no lo dicen (honestamente, ¿quién quiere decir: "mi producto tiene una buena característica que nadie usa"?). Pero mi sensación y experiencia me dicen que el descifrado SSL en toda la empresa a través de una CA visible controlada por firewall es todavía algo raro, mientras que la inspección oculta y transparente que se realiza directamente en la máquina cliente es altamente prevalente. El método del "certificado de servidor falso" se volverá más común en el futuro, ya que hace que sea mucho más fácil admitir el filtrado de contenido para los dispositivos provistos por el usuario (incluso si no se completa BYOD , las empresas que proporcionan un WiFi" externo "de cortesía para sus empleados lo prefieren, incluso cuando esa red sin privilegios no se convierte en un cesspool de malware y videos de legalidades cuestionables).