¿Cómo verifica el certificado del servidor un firewall que realiza una inspección de HTTPS?

2

Tengo una pregunta sobre la inspección de HTTPS. Según el sitio web de Checkpoint :

  

En la inspección de HTTPS saliente, cuando un cliente de la organización inicia una conexión HTTPS a un sitio seguro, la puerta de enlace de seguridad:

     
  1. Intercepta la solicitud.
  2.   
  3. Establece una conexión segura al sitio web solicitado y valida el certificado del servidor del sitio.
  4.   
  5. Crea un nuevo certificado SSL para la comunicación entre Security Gateway y el cliente, envía al cliente el nuevo certificado y continúa la negociación de SSL con él.
  6.   
  7. Usando las dos conexiones SSL:      
    1. Descifra los datos cifrados del cliente.
    2.   
    3. Inspecciona el contenido de texto sin cifrar de todos los blades establecidos en la Política.      

      > 3. Cifra los datos nuevamente para mantener la privacidad del cliente mientras los datos viajan al recurso del servidor web de destino.

    4.   
  8.   

HI quiero habilitar la protección de HTTPS en fortigate FW pero no obtuve suficiente información en su sitio web, así que estoy revisando lo mismo en el sitio web de Checkpoint. Pero acabé teniendo más dudas.

  1. ¿Cómo FW valida el certificado del servidor?

  2. Para verificar que el FW del certificado debe tener certificados raíz confiables, si no se verifica, no se puede habilitar la inspección de HTTPS ya que no podemos autenticar el propio servidor.

  3. Para cifrar el cortafuegos de datos debe generar la clave de sesión, FW cifra la clave de sesión utilizando la clave pública del servidor y la envía al servidor. Esta clave se utiliza para el cifrado y descifrado de datos.

  4. El PC cliente también debe generar la clave de sesión para el cifrado y descifrado. ¿El cliente genera la misma clave que la generada por Firewall? Una vez que se haya habilitado la inspección, se establecerán dos túneles, qué claves se utilizan para cifrar / descifrar los datos en el final del sistema y el final del cortafuegos ...

pregunta Bharath917 06.07.2016 - 09:17
fuente

1 respuesta

8
  

... porque el firewall no tiene certificados raíz de confianza.

El firewall tiene un conjunto de certificados raíz de confianza. No son necesariamente exactamente los mismos que el cliente tiene en el navegador, pero habrá una superposición para la CA utilizada comúnmente. E incluso podría ser intencional permitir que el firewall confíe menos en la CA que el navegador.

    
respondido por el Steffen Ullrich 06.07.2016 - 09:24
fuente

Lea otras preguntas en las etiquetas