¿Debo preocuparme si mi empleador está realizando ataques de HTTPS de intermediario? [duplicar]

Question

¿Debo preocuparme si mi empleador está realizando ataques de HTTPS de intermediario? [duplicar]

#1 de Mike Ounsworth (2 votos)

0

Tengo razones para creer que mi empleador puede estar realizando ataques HTTPS man-in-the-middle en computadoras portátiles de trabajo emitidas por la empresa, ya que el Certificado SSL de Java de enumera a mi empleador como la Autoridad de certificación.

Cuando se inicia, la Plataforma Java ( jp2launcher.exe ) muestra una advertencia de que la conexión a https://javadl-esd-secure.oracle.com:443 no es de confianza, y ese " El certificado no es válido y no se puede utilizar para verificar la identidad de este sitio web. "

Al hacer clic en Más información se abre una ventana que indica que " la la firma para esta aplicación se generó con un certificado de una autoridad de certificación confiable, pero no podemos asegurarnos de que no haya sido revocada por esa autoridad. "Un enlace a la página de ayuda de Java para certificados autodenominados también se incluye.

No puedo compartir los detalles completos del certificado, ya que hacerlo revelaría la identidad de mi empleador. Sin embargo, puedo confirmar que Java enumera a mi empleador como la Autoridad de certificación.

¿Mi empleador está ejecutando ataques de HTTPS de intermediario? Si es así, ¿debería preocuparme por posibles vulnerabilidades de seguridad?

He leído que el escaneo HTTPS puede debilitar la seguridad del navegador, como cuando Kaspersky expuso a los usuarios a ataques MITM a principios de este año. Si el análisis HTTPS administrado por la empresa es una práctica común , ¿no podría ser víctima de los mismos problemas de seguridad mencionados anteriormente?

tls certificates corporate-policy man-in-the-middle certificate-authority

pregunta Steven M. Vascellaro 14.07.2017 - 15:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates corporate-policy man-in-the-middle certificate-authority

TLS: ¿es posible la autenticación y el secreto de reenvío sin PKI? Si clono una VM con VirtualBox, ¿el software puede detectar que es la misma VM?

score 2 · Answer 1

Como se prometió, aquí hay una copia y una pasta de mi respuesta a su pregunta anterior .

Bien, ha encontrado el certificado CA de su compañía en su almacén de confianza de Java. Eso nos dice que tienen la capacidad de realizar el ataque MitM que estás describiendo, pero no prueba que realmente lo estén haciendo. Ese certificado puede estar allí por una razón completamente legítima, como por ejemplo, para que su cliente VPN pueda autenticar el servidor VPN, o para que no obtenga errores de certificado al conectarse a los recursos de la red interna. Como dice @schroeder, este es un comportamiento completamente normal para las compañías que emiten computadoras portátiles o tienen políticas BYOD. En este caso, parece que instalaron el certificado para que puedan firmar en código sus applets de Java. También parece que hicieron un mal trabajo al configurar su CA ya que no han proporcionado información de revocación para los certificados. No hay nada en su pregunta que indique que están haciendo una intercepción de HTTPS.

Para asegurarse de que estén inspeccionando el tráfico HTTPS, debe capturarlos en el acto. Cuando realice una conexión TLS que sospecha que es MitM'd, mire el certificado de servidor que se presenta; si se encadena a la CA de su compañía, entonces esa conexión está siendo MitM'd y usted tendrá pruebas, pero si se encadena a una CA de confianza pública, entonces es segura.

Tendrás que investigar un poco sobre la aplicación java que estás utilizando para descubrir cómo ver los detalles de cada conexión TLS (puedes hacerlo a través de la configuración de JVM, pero no estoy seguro) . Los navegadores, por ejemplo, son muy buenos al mostrarle los detalles de la conexión TLS.