¿Fallo de seguridad al importar el certificado?

1

Recientemente, la compañía en la que trabajo cambió su forma de que los usuarios accedan a Internet. Los usuarios de Windows inician sesión en un servidor de Active Directory y, para utilizar Internet, pueden usar cualquier navegador con la opción de proxy deshabilitada. Para los usuarios de Linux, hay una excepción: tenemos que importar un certificado de personas desde el área de Información de Seguridad que generamos para nosotros. Mis preguntas son:

1) ¿Para qué es este certificado? Creo que esto puede ser una pregunta tonta, pero siempre he pensado que los certificados no eran para el cliente, solo para el servidor. Lo que quiero decir es: si intento acceder a google.com a través de https, mi navegador verificará el certificado de Google si es bueno o no. ¿Puedes ver que, en este punto de vista, solo hay un certificado de servidor?

2) Si no lo importo, cada intento de acceso al sitio produce un error de validación de certificado. ¿Porqué es eso? AFAIK, el error de validación del certificado se produjo solo cuando el certificado del servidor no era válido o está desactualizado.

3) ¿Hay algún fallo en esta situación? Por ejemplo, ¿puedo usar este certificado para intentar un ataque MITM?

4) Los usuarios de Windows no necesitan importar este certificado, mientras que los usuarios de Linux sí lo hacen. Los usuarios de Linux necesitan autenticarse cada 12 horas, mientras que los usuarios de Windows no lo hacen. ¿Alguien puede escribir algo para explicar lo que está pasando aquí?

Mi empresa utiliza un producto de enlace para administrar las cuentas, filtrar sitios web, etc.

EDIT :

Después de la respuesta de Steffen, se me ocurrió: el certificado que tuve que importar es el mismo para todos los usuarios de Linux. Dado que tengo el certificado, A) ¿puedo "extraer" (o exportar o obtener o lo que sea) la clave privada de este? Si es así, B) ¿puedo, después de rastrear el tráfico de la red, usarlo para descifrar los paquetes que ocasionalmente recibo?

    
pregunta Marveringius 16.09.2016 - 16:02
fuente

1 respuesta

5
  

1) ¿Para qué sirve este certificado?

Para la intercepción de SSL en el servidor de seguridad, es decir, la conexión SSL finalizará en el servidor de seguridad y el servidor de seguridad realizará una nueva conexión SSL con el servidor. Todos los certificados que obtenga en su conexión interceptada estarán firmados por este certificado de CA que ha importado y, por lo tanto, se consideran de confianza. De esta manera, el firewall puede analizar incluso el tráfico SSL.

  

2) Si no lo importo, cada intento de acceso al sitio produce un error de validación de certificado. ¿Porqué es eso?

Debido a que su host no confía en el certificado de CA del firewall que se usa para crear los nuevos certificados para las conexiones SSL interceptadas.

  

3) ¿Hay algún fallo en esta situación? Por ejemplo, ¿puedo usar este certificado para intentar un ataque MITM?

Cualquier persona que tenga acceso a la clave privada del certificado de CA puede MITM la conexión.

  

4) Los usuarios de Windows no necesitan importar este certificado, mientras que los usuarios de Linux sí lo hacen. Los usuarios de Linux necesitan autenticarse cada 12 horas, mientras que los usuarios de Windows no lo hacen. ¿Alguien puede escribir algo para explicar lo que está pasando aquí?

Con Windows, el certificado de CA proxy se propaga automáticamente a todas las máquinas mediante una política. Y es probable que exista algún proceso al que se asigne una dirección IP al usuario que está conectado actualmente en la máquina, por lo que no es necesario iniciar sesión manualmente.

  

.. Dado el hecho de que tengo el certificado,
  A) ¿Puedo "extraer" (o exportar u obtener o lo que sea) la clave privada?

No. Usted tiene el certificado solamente. Esto incluye la clave pública pero no la privada. Lo mismo ocurre con todos los demás certificados de CA que tiene en su sistema o en su navegador: se usan para verificar un certificado únicamente, lo que se hace usando la clave pública en el certificado.

Para obtener más información sobre este MITM basado en firewall, consulte ¿Puede mi empresa ver a qué sitios HTTPS visité?

    
respondido por el Steffen Ullrich 16.09.2016 - 16:19
fuente

Lea otras preguntas en las etiquetas