¿Cómo pueden los usuarios finales detectar intentos maliciosos de falsificación de SSL cuando la red ya tiene un proxy SSL autorizado?

12

Estoy trabajando en la red de un cliente donde han habilitado la autorización de HTTPS en su proxy. Esto les permite realizar un ataque de hombre en medio para descifrar todo el tráfico cifrado saliente.

Cuando me conecto a un sitio HTTPS, mi navegador obtiene un certificado para el sitio que ha sido firmado por el proxy de la empresa, no el certificado real. Chrome e Internet Explorer dicen que el sitio web está protegido (todo está en verde, no hay advertencias), pero Firefox dice que no lo está. Sé que, dado que el proxy SSL está en su lugar, no lo está.

Supongo que Chrome e IE aceptan el certificado falsificado porque el GPO implementa el certificado del proxy. Entonces, cuando el proxy envía un certificado falsificado (firmado por sí mismo) para un sitio web, Chrome e IE lo muestran como válido.

¿Cómo se puede esperar que alguien navegue de forma segura en este entorno? Con todos los certificados firmados por el proxy, ¿cómo puedo validar que el sitio web no está siendo falsificado por otro tercero? Me preocupa que pueda llegar un momento en que Firefox también esté configurado para ignorar estos certificados falsificados. ¿Cómo puedo evitar que mis navegadores (Firefox, et al.) Acepten estos certificados?

¿Por qué los navegadores permiten esta función? Parece casi más sensato deshabilitar por completo el HTTPS que permitir una sensación de seguridad tan falsa como esta. ¿No es este un problema de seguridad importante, que el navegador acepte certificados aparentemente legítimos aunque no sean los proporcionados por los sitios web?

    
pregunta Benoît 20.06.2012 - 18:46
fuente

3 respuestas

2

Es posible que esté interesado en la Patrulla de certificados:

enlace

Rastrea los certificados que has visto anteriormente y te advierte si han cambiado prematuramente. Por supuesto, también podría simplemente no instalar el certificado raíz de la empresa en primer lugar.

    
respondido por el Mark E. Haase 10.10.2012 - 22:12
fuente
8
  

¿Cómo se puede esperar que alguien navegue de forma segura en este entorno?

Realmente no puedes. Si hay un proxy MITM oficial y no es su red, simplemente no haga nada que no quiera que los administradores de la red puedan ver. Use su propia conexión personal para conectarse a sitios con cuentas personales.

  

Con todos los certificados firmados por el proxy, ¿cómo puedo validar?   que el sitio web no está siendo además falsificado por algún otro   ¿tercero?

Creo que es justo suponer que el propio proxy, cuando realiza la conexión con el sitio web real, verifica la validez del certificado contra una lista de CA con las que se configuró (probablemente la del sistema operativo en el que se está ejecutando) .

  

Me preocupa que pueda llegar un momento en que Firefox también esté   Configurado para ignorar estos certificados falsificados. ¿Cómo puedo prevenir mi   ¿Los navegadores (Firefox, et al.) aceptan esta certificación?

La tendencia siempre ha sido aumentar el conocimiento sobre certificados no válidos en Firefox.

En Firefox, puedes deshabilitar ciertas CA al ingresar a Opciones - > Avanzado - > Cifrado - > Ver certificados - > Autoridades. Luego, use "Editar confianza" (o elimine un certificado CA). Es probable que encuentre el certificado CA instalado dentro de esta institución. También puede revisar las excepciones en la pestaña "Servidores", si las hay.

  

¿Por qué los navegadores permiten esta función? Parecería casi más   Es conveniente deshabilitar por completo HTTPS que permitir un sentido tan falso   De seguridad como esta. ¿No es este un problema de seguridad importante?   El navegador acepta certificados aparentemente legítimos a pesar de que son   ¿No son los proporcionados por los sitios web?

Usted está malentendido, cuya responsabilidad es garantizar la confianza. Los navegadores solo están ahí para usar una lista de anclajes de confianza. Aunque a menudo vienen con una lista predeterminada, es responsabilidad del administrador de la máquina (y / o del usuario) verificar la lista de entidades de certificación en las que desean confiar. (Hay una pequeña excepción a esto con certificados EV , aunque no está exenta de problemas).

Si tiene alguna duda sobre qué CA se está utilizando, haga clic en el icono de candado o en la barra azul / verde (según el navegador), debería poder ver los detalles de seguridad. Compárelo con lo que ve usando una máquina en la que confía en una red en la que confía.

Si no confía en qué certificados de CA están instalados en la máquina, no la use. En general, esto se reduce a esto: no utilice una máquina en la que no confíe.

    
respondido por el Bruno 20.06.2012 - 20:21
fuente
0
  

¿Cómo se puede esperar que alguien navegue de forma segura en este entorno?

Puede crear una conexión segura con el exterior, como una VPN. Luego canaliza todas sus solicitudes a través de esta conexión segura. El problema es que el proxy también puede entender el protocolo VPN e interceptarlo también. Puede detectar un proxy VPN si compara el certificado VPN con una versión que se sabe que es buena. Si estás siendo interceptado en la VPN, tendrás que encontrar otro protocolo que el proxy permita pasar y no intercepte.

  

Con todos los certificados firmados por el proxy, ¿cómo puedo validar que el sitio web no está siendo falsificado por algún otro tercero?

No puedes. Usted confía en el proxy para realizar la conexión. Puede o no puede hacer esto de forma segura, pero de cualquier manera no tiene control.

  

Me preocupa que pueda llegar un momento en que Firefox también esté configurado para ignorar estos certificados falsificados. ¿Cómo puedo evitar que mis navegadores (Firefox, et al.) Acepten estos certificados?

En mi experiencia, Firefox proporciona al usuario más control al mantener su propio almacén de certificados. IE / Edge y Chrome utilizan el almacén de certificados de Windows incorporado. Por supuesto, un administrador podría cambiar la tienda de Firefox, por lo que solo depende de lo que hagan sus administradores.

  

¿Por qué los navegadores permiten esta función?

A veces, desea configurar un servidor de confianza sin todos los trámites necesarios para obtener un certificado firmado por una CA pública, o desea realizar un trabajo de desarrollo o prueba. En estos casos, debe tener control sobre qué certificados y CA confía exactamente.

  

Parecería más sensato deshabilitar completamente el HTTPS que permitir una sensación de seguridad tan falsa como esta. ¿No es este un problema de seguridad importante, que el navegador acepte certificados aparentemente legítimos aunque no sean los proporcionados por los sitios web?

Esto es más un problema con los administradores que controlan su seguridad que un problema del navegador. Piénselo de esta manera: no está ejecutando Firefox, está ejecutando un programa de navegador provisto por sus administradores que hace lo que ellos quieren que haga.

    
respondido por el juhraffe 27.07.2018 - 22:48
fuente

Lea otras preguntas en las etiquetas