Inspección SSL múltiple

Navega tus respuestas
2

Quiero preguntarle si cree que hacer una Inspección SSL en modo proxy (Resignar) podría ser un problema.

El escenario es el siguiente: 1 --> 2 --> 3

  1. Cliente navegación web
  2. Dispositivo IPS con inspección SSL (el cliente confía en el certificado del IPS porque el IPS se convirtió en una CA subordinada de la CA)
  3. Después de eso, el tráfico se dirige a la nube, donde el proxy de la nube renunció nuevamente.

¿Qué piensas? ¿Es posible realizarlo? ¿El proxy en la nube debe ser una CA subordinada de la CA?

    
pregunta D3sync 03.12.2015 - 08:08
fuente

3 respuestas

2

Creo que no es una buena idea, ya que esta implementación anularía la idea básica de SSL / TLS: cifrado de extremo a extremo .

En la práctica, tal implementación puede causar los siguientes problemas:

  • Sitios, servicios web, etc. que utilizan Fijación de certificados (por ejemplo, a través de HPKP ) dejaría de funcionar porque el navegador / cliente repentinamente está viendo un certificado SSL válido pero diferente .
  • Muchas aplicaciones de teléfonos inteligentes realizan la fijación de certificados para sus puntos finales de servicio web porque solo hay un cliente que hace que la fijación de claves públicas sea relativamente fácil.
  • Google Chrome y Firefox una lista predefinida de certificados anclados y codifica los certificados de Google en el navegador. Por lo tanto, los dominios de Google ya no serían accesibles desde el navegador Chrome. Aquí puede encontrar más información sobre Firefox.

Todo en el mundo de SSL / TLS se dirige hacia la fijación de certificados y el estrechamiento de la relación de confianza entre las CA y los dominios habilitados para SSL / TLS. Por eso no creo que lo que sugirió es un diseño de red a prueba de futuro .

    
respondido por el thomaskonrad 03.12.2015 - 08:28
fuente
0

Si esto es para su propio proyecto y no pretende ser un tipo de proxy de propósito general, entonces lo que está describiendo se llama Terminación SSL / TLS, donde básicamente hay uno o más puntos de entrada (balanceadores de carga generalmente) que manejan El proceso criptográfico y luego la solicitud a los servidores apropiados. El cliente no hace handshakes ni nada de eso con el servidor final real, solo con el equilibrador de carga que maneja la terminación.

Si lo consideras un proyecto de propósito general, te sugiero que leas publicación Universal SSL de CLoudFlare

Aquí hay una respuesta relacionada

    
respondido por el Purefan 03.12.2015 - 10:19
fuente
0

Esta es una práctica estándar con cortafuegos de próxima generación que realizan inspecciones a nivel de aplicación.

Definitivamente es factible, pero tiene algunas complicaciones con la fijación de certificados. Los puntos finales deberían configurarse para deshabilitar el soporte de anclaje o el proxy tendría que volver a escribir la información de anclaje como parte de la renuncia.

Para que quede claro, esto solo puede funcionar de manera efectiva con puntos finales configurados para confiar de manera intencional en su proxy, sus certificados y las excepciones de anclaje.

    
respondido por el Alain O'Dea 06.12.2015 - 20:04
fuente

Lea otras preguntas en las etiquetas

¿Es esto vulnerable a un ataque de redirección de URL inseguro? Preguntas sobre las variaciones de las claves RSA