Inspección profunda de paquetes SSL: ¿Cómo los dispositivos DPI evitan las advertencias de los certificados?

Estos dispositivos funcionan como un hombre en el medio, es decir, la comunicación ya no es de extremo a extremo. Debido a que el cifrado SSL finaliza en el dispositivo DPI y se vuelve a cifrar, el cliente no ve ninguna información del cifrado original, especialmente:

• Los cifrados y las versiones de protocolo pueden ser diferentes, es decir, el cliente no se da cuenta si el servidor original utilizó cifrados débiles porque el tráfico entre el cliente y la solución de DPI está protegido con una mejor versión de cifrado o protocolo. Por otro lado, también permite que una solución de DPI se asegure de que la conexión al servidor use un cifrado sólido sin importar lo que haría el cliente original.
• La validación del certificado se realiza dentro del dispositivo DPI y se creará un nuevo certificado (firmado por la entidad emisora de certificados DPI). Esto significa que el cliente no verá los problemas del certificado original como un algoritmo de firma débil. Por otro lado, no se puede engañar al cliente para que acepte certificados no válidos porque el dispositivo DPI podría imponer una validación sólida.

Desafortunadamente, hubo varios casos en el pasado en los que los dispositivos DPI hicieron que todo el sistema fuera menos seguro debido a que no se pudieron validar correctamente los certificados, se utilizó una CA proxy común entre todos los dispositivos de un solo proveedor o similar.

Para obtener más información sobre este tema, recomiendo leer el extenso artículo Proxies de intercepción SSL / TLS y Transitive Trust a partir de 2012.

Un inspector de paquetes puede simplemente ignorar las advertencias de los certificados.

Lo importante es que la información se puede descifrar y los usuarios normales no reciben advertencias en sus navegadores.

Cree un certificado raíz e instálelo en todos los almacenes de certificados en todas las máquinas. Use un proxy como Charles para generar certificados y firme con su certificado raíz.

enlace

Un inspector de paquetes profundo está configurado con un certificado de descifrado emitido a menudo para CN * (todos los sitios) o genera y firma certificados con un certificado de CA intermedio que a su vez está firmado y en el que confían sus certificados de CA suministrados por ActiveDirectory o de otra manera.

Los sistemas detrás de dicho dispositivo de descifrado están configurados para confiar en sus actividades de indagación confiando en el certificado de CA, el certificado intermedio o el certificado de comodín global, y por lo tanto no mostrarán advertencias.