¿Por qué a veces necesito "omitir" la intercepción SSL?

Navega tus respuestas
2

Utilizo el filtro BlueCoat ProxyClient en una red de oficina pequeña (< 50 computadoras). Lo tenemos configurado para el filtrado basado en categorías y funciona perfectamente en casi todos los sitios. Sin embargo, a veces, tenemos un sitio que

  1. Incluso si está en una categoría permitida
  2. Incluso si lo agregamos explícitamente a una lista blanca
  3. Aunque podemos navegar hasta él en un navegador,
  4. Todavía no funciona correctamente a menos que lo agreguemos a la lista de "omisión de interceptación SSL".

¿Qué hace realmente este "bypass" y por qué es necesario?

Ejemplo

  1. Instalamos la comunidad de Visual Studio 2015 en una de nuestras computadoras
  2. Cuando intentamos actualizar nuestra licencia usando nuestra cuenta de MS, recibimos el mensaje "Error al actualizar la licencia".
  3. Al utilizar Fiddler, encontramos que VS intentaba acceder a https://app.vssps.visualstudio.com . Eso es marcado como Technology / Internet por BlueCoat, que está en nuestra categoría permitida lista.
  4. Lo agregamos a nuestra lista blanca explícita y todavía no ayudó.
  5. Habilitamos la configuración de descifrado HTTPS en Fiddler y encontramos que estaba enviando muchas solicitudes a https://app.vssps.visualstudio.com/_api con un encabezado Authenticate que parecía válido, pero la respuesta estaba regresando como 401 Not Authenticated .
  6. Finalmente agregamos app.vssps.visualstudio.com a la lista de omisión de SSL y de repente comenzó a funcionar.
pregunta just.another.programmer 14.03.2016 - 19:08
fuente

1 respuesta

3

Supongo que su proxy está eliminando el encabezado Authenticate de la solicitud. Hice una búsqueda rápida en Google sobre el problema y encontré esta página del foro . Desde la misma página:

  

Es por diseño si el proxy ve un encabezado de Autorización y el   el proxy tiene la autenticación habilitada o utilizada en la política, el proxy   consumirá el encabezado de autorización, por lo tanto, el encabezado de autorización   no se reenviará al dispositivo en sentido ascendente.

     

En este caso, el encabezado de autorización se generó desde el cliente   y NO debido al desafío de autenticación del proxy, es por esto que   ha fallado. Así que para 'decirle' al proxy que no suprima el   Encabezado de autorización, tendríamos que deshabilitar la autenticación para esto   URL y reenvíe el encabezado de Autorización al flujo ascendente como lo que el   CPL sugirió que estará haciendo "

Creo que el problema que estás teniendo es similar. La solución propuesta en el foro:

  

La solución en este momento sería tener "seguridad   forzar el reenvío de credenciales "habilitado o usar la CPL para omitir la autenticación de   el dominio. Dado que el comando afectará a la "Autorización de Proxy"   encabezados también.

Espero que esto ayude.

    
respondido por el Rahil Arora 14.03.2016 - 20:17
fuente

Lea otras preguntas en las etiquetas

Descifrado de Whatsapp por agencias gubernamentales ¿La vulnerabilidad de glibc getaddrinfo afecta a los sistemas Windows?