¿Es posible utilizar un proxy de salida para actualizar a TLS?

1

Dada una situación en la que existe tecnología heredada de un sistema y no queremos hacer una actualización completa (.net en este caso con una versión que no tiene soporte para TLS 1.1 / 1.2) ya que el producto Pronto se EOL. Sin embargo, estamos obligados a actualizar de TLS 1.0 a 1.1 para algunas llamadas salientes. ¿Hay una configuración de proxy que permita tal actividad?

Gracias

    
pregunta Travis Howe 07.04.2016 - 21:25
fuente

1 respuesta

2

Debido a la seguridad incorporada en TLS, esto no se puede hacer cambiando el protocolo de enlace TLS existente en el proxy. En su lugar, se debe crear una conexión TLS entre el servidor de destino y el proxy y otra conexión TLS entre el proxy y el cliente. La última conexión no puede obtener el certificado original del servidor, pero el proxy debe crear uno nuevo firmado por su propia CA. Todas las validaciones de certificados las realizará el proxy, por lo que debe confiar en el proxy de salida para hacerlo correctamente. También debe configurar su aplicación para confiar en la CA utilizada por el proxy para crear los nuevos certificados.

Dado que TLS se termina y se vuelve a crear en el proxy, ya no hay un cifrado de extremo a extremo. Esto significa que los certificados de cliente no funcionarán en esta configuración de forma transparente, es decir, deberá transferir el envío del certificado de cliente correcto al proxy. Solo unos pocos proxies apoyan esto.

Si puede vivir con estas limitaciones y si solo le importa el tráfico HTTPS, existe una gran cantidad de software que puede hacer esto. Si tiene uno de los mejores cortafuegos o puertas de enlace seguras, es probable que la funcionalidad ya esté allí en forma de capacidades de inicio de SSL. Aparte de eso, puede utilizar el squid web proxy o herramientas de prueba como mitmproxy . Pero tenga en cuenta que especialmente las herramientas de prueba no siempre validan los certificados correctamente. Además, algunas soluciones no pueden manejar adecuadamente los sitios que utilizan Indicación del nombre del servidor , lo que hace que estos productos sean inutilizables con muchos de los sitios actuales.

Si su objetivo no es lidiar con el tráfico HTTPS sino con otros protocolos (es decir, IMAP, SMTP, SIP ... o protocolos personalizados), la opción es mucho menor y es posible que necesite desarrollar su propia versión específica del protocolo de tal proxy.

    
respondido por el Steffen Ullrich 07.04.2016 - 21:50
fuente

Lea otras preguntas en las etiquetas