Con HTTPS, el túnel SSL / TLS se establece primero , y el tráfico HTTP ocurre solo dentro de ese túnel. Todavía se filtra información:
-
Si el cliente usa un proxy, la conexión al proxy se ve así: CONNECT www.example.com:443
con el nombre del servidor de destino. Alternativamente, el cliente podría enviar la dirección IP del servidor de destino, pero esto es solo un poco menos revelador; y, para conocer la dirección IP del servidor, el cliente debe hacer una resolución de nombres, utilizando los servidores DNS proporcionados por la propia compañía.
-
Los clientes suficientemente recientes enviarán el nombre del servidor de destino como parte del protocolo inicial de SSL (que es la Indicación del nombre del servidor extensión).
-
El servidor responde devolviendo su certificado, que incluye, a simple vista y por definición, el nombre del servidor.
A partir de estos, podemos concluir que el nombre del servidor de destino es definitivamente no un secreto. Puede asumir que su empresa lo aprende.
El resto de la comunicación está encriptada por lo que es inaccesible para terceros. Sin embargo, la longitud de los paquetes de datos que son enviados y recibidos por el cliente todavía puede ser deducida por cualquier intruso (con una precisión de un solo byte si se usa un conjunto de cifrado RC4), y esto también puede revelar una Mucha información, dependiendo del contexto.
Si su empresa se toma en serio la seguridad , es posible que haya instalado un proxy más avanzado como ProxySG de Blue Coat . Tales sistemas realizan un ataque Man-in-the-Middle generando dinámicamente un certificado falso para el servidor de destino Esto les da acceso a los datos completos, como si no hubiera SSL.
Tenga en cuenta que, sin embargo, tal intercepción solo es posible si la empresa puede agregar al almacén de confianza de su sistema de escritorio el certificado de CA raíz que el proxy utiliza para emitir los certificados falsos. Esta es una acción bastante intrusiva. Por lo tanto, si pudieran hacer eso, ¿por qué se detendrían allí? Es posible que hayan insertado, con la misma facilidad, un puñado de software de espionaje que conectará su navegador web, su teclado y su pantalla; y se conoce todo lo que haces en la máquina.
Alternativamente, si puede asegurarse de que su máquina esté libre de cualquier interferencia de su empresa (por ejemplo, es su propio dispositivo y no instaló ningún software proporcionado por la empresa en él), entonces MitM-proxy no puede descifrar sus conexiones SSL.
Una forma muy sencilla de ocultar su tráfico de su empresa es no utilizar sus instalaciones en absoluto. Traiga su propia computadora portátil con una llave 3G (o conectada a su teléfono inteligente). Al pagar por su propia Internet, puede evadir la detección basada en la red y pasar sus días recorriendo la Web en lugar de hacer el trabajo que le pagan por hacer (pero, por supuesto, la detección de vagos no ha sido nunca restringido a solo usar artilugios computarizados).