¿Es posible la intercepción SSL sin deshabilitar la fijación de claves públicas en el lado del cliente?

2

Actualmente estoy configurando un firewall pfSense en mi laboratorio. Es compatible con SSL Inception, que funciona bastante bien para la mayoría de los sitios.

Pero hay algunos sitios que usan HTTP Pinturas de Clave Pública para evitar ataques MitM y esto es un verdadero problema porque los sistemas detrás del firewall no solo se han configurado y han clavado claves públicas en algunos casos que luego rompen el SSL para esos sitios .

Una forma de evitar esto es deshabilitar HPKP, que es posible en firefox configurando security.cert_pinning.enforcement_level a 0 y funciona bien. ¿Hay otra forma de solucionar este problema?

// El host en el que probé esto era una máquina Kali con el navegador Iceweasel.

El error que se me mostró dijo que la conexión era droppen debido a HSTS, lo cual fue muy confuso porque también había sitios web que usan HSTS y la intercepción funcionó bien. Luego me di cuenta de que esto aparentemente tiene que ver con HPKP y después de desactivarlo, los errores de HSTS ya no aparecían.

Esto parece ser un problema específico del software. Después de que @Steffen Ullrich me señaló que esto no debería estar sucediendo, lo intenté con un cliente de Windows 7 y Chrome como navegador y funcionó bien.

    
pregunta davidb 05.07.2016 - 23:36
fuente

3 respuestas

5

En el caso de una intercepción SSL legal, la CA proxy que se utiliza para emitir los certificados de las conexiones interceptadas se importa de forma explícita en el navegador / SO como de confianza. En tal caso, el navegador ignorará tanto la fijación interna como la fijación realizada con el encabezado HPKP. Esto se hace explícitamente de esta manera para hacer posible la intercepción SSL legal (en firewalls, por razones de seguridad). Lo que significa que no hay necesidad de deshabilitar la fijación de claves públicas en tales casos.

    
respondido por el Steffen Ullrich 06.07.2016 - 07:11
fuente
1
  

¿Hay otra manera de solucionar este problema?

Sí, puede configurar su herramienta de intercepción SSL para eliminar cualquier encabezado HPKP en las respuestas.

Necesitará que todos los usuarios comiencen con un perfil de navegador dedicado, que solo se usa bajo la intercepción SSL. Si alguna vez se usa el mismo perfil de navegador sin la intercepción SSL, el servidor real puede fijar su Certificado nuevamente y causar problemas cuando el usuario vuelva a habilitar la intercepción SSL.

    
respondido por el Lie Ryan 06.07.2016 - 03:31
fuente
0

Según entiendo la identificación de claves públicas HTTP y la identificación de certificados, uno de sus objetivos principales es prevenir los ataques MITM.

Entonces, probarías que esta técnica es incorrecta si pudieras romperla sin deshabilitarla.

    
respondido por el aventurin 06.07.2016 - 00:35
fuente

Lea otras preguntas en las etiquetas