Dado que el tráfico HTTPS está cifrado en tránsito, ¿cómo lo analiza una puerta de enlace de seguridad web?
Los productos que pretenden poder filtrar el tráfico cifrado con SSL generalmente lo hacen haciendo un man-in -el ataque central , como lo haría un atacante activo. El "producto de seguridad" se encuentra en el proxy web, a través del cual se realiza la conexión. intercepta el flujo y genera sobre la marcha un certificado personalizado con el nombre del sitio de destino; el cliente establece efectivamente un túnel SSL con el proxy, no con el sitio de destino deseado. Al mismo tiempo, el proxy se conecta al sitio de destino y envía los datos en ambas direcciones.
Esto puede funcionar solo porque el certificado generado automáticamente se firma en relación con una entidad de certificación especial controlada por el proxy, y se instala como una "CA raíz" en la tienda correspondiente en las máquinas cliente. Esto requiere que quienquiera que instale el proxy tenga control administrativo de los sistemas cliente.
Además de estos "productos de seguridad", tal configuración institucional MitM se encuentra en productos que pretenden "acelerar Internet" (es decir, capturan los datos, los comprimen y los envían a una puerta de enlace específica que los descomprime) .
Tenga en cuenta que un sistema de este tipo no puede funcionar con conexiones SSL autenticadas (el tipo en el que el cliente también tiene un certificado): el proxy no puede convertir la firma generada por el cliente en una firma que convencerá al servidor (porque, entre los datos firmados por el cliente, está el certificado del servidor tal como lo vio el cliente, es decir, el generado automáticamente por el proxy).
Otra forma de analizar el tráfico cifrado con SSL, no en el lado del cliente sino en el servidor, es tener un producto que tenga una copia de la clave privada del servidor y asegurarse de que el servidor sí lo haga. No usar las suites de cifrado "DHE". Bajo estas condiciones, es suficiente agarrar una copia de los paquetes para descifrar el túnel. Por supuesto, esto es para conexiones a un servidor específico, y requiere cierta cooperación de dicho servidor (la clave privada del servidor es, después de todo, privada al servidor).
Lea otras preguntas en las etiquetas web-application firewalls tls certificates man-in-the-middle