Tengo entendido que la inspección TLS se puede realizar de dos maneras diferentes:
- 1er enfoque: usando un servidor proxy que negocia TLS con ambos extremos.
- En este escenario, habría 2 canales TLS diferentes (Cliente < - > Proxy < - > Servidor)
- Si el cliente / servidor utiliza implementaciones TLS no estándar o si se deben cumplir requisitos específicos en la negociación de TLS, el Proxy deberá tener características específicas que lo permitan.
- Segundo enfoque: utilizando un elemento intermedio que contiene los secretos necesarios para descifrar la negociación de la clave compartida TLS (por ejemplo, la clave privada asociada al certificado del servidor) con la capacidad de volver a cifrar (utilizando el certificado del servidor) y reenviar el tráfico al servidor.
- En este escenario, el Cliente y el Servidor no verían el servidor intermedio y esencialmente sería un canal TLS único, incluso si el elemento intermedio puede ver y bloquear el tráfico sospechoso.
- El elemento intermedio no tendría que implementar otras funciones, ya que solo actúa escuchando y reenviando / bloqueando.
Cuando se utiliza una aplicación de cifrado DH o ECDH a través de una comunicación TLS, ¿es posible hacer uso del Segundo Enfoque? Por lo que sé, el Intercambio de claves en DH hace imposible que un "interlocutor" descubra cuál es el secreto compartido, ya que las claves privadas RSA solo se usan como medio para autenticar el servidor.
Según el cryptosuite utilizado, ¿la inspección TLS se limitaría al primer enfoque?