¿Cómo se maneja el descifrado de datos con dispositivos proxy en redes perimetrales (DMZ) en las empresas? Supongamos que alojamos cientos de sitios web en nuestros servidores DMZ. ¿Cómo podemos descifrar los datos o incluso autenticar primero el servidor al cliente externo que se conecta desde Internet? No puedo imaginar que Symantec, GoDady, etc. nos proporcionen una CA raíz para nuestro dispositivo proxy para la renuncia del certificado, así que, ¿cómo se puede usar un proxy en tales casos?
La CA no le proporcionará un certificado para un proxy. Tampoco le proporcionarán un certificado para un servidor específico. Solo le proporcionarán un certificado que coincida con un nombre de host específico (o varios nombres). El lugar donde utilice este certificado depende de usted (algunas CA pueden restringirlo). Incluso puede utilizar el mismo certificado en varios sistemas.
Esto significa para su caso que podría usar el mismo certificado tanto en el proxy como en el servidor final, es decir, terminar el tráfico TLS en el proxy y luego tener otra conexión TLS con el mismo certificado al servidor real. Pero también puede terminar el tráfico TLS en el proxy con el certificado emitido por la CA pública y luego usar un certificado diferente para el servidor real usando su propia PKI en la que confía su proxy. O bien, si la conexión al servidor real desde el proxy se considera protegida por otros medios (como IPSec), también podría utilizar el tráfico normal sin TLS para conectarse desde el proxy al servidor real.
Al terminar la conexión TLS en el proxy, el proxy tiene acceso al texto sin formato y también puede realizar cambios en el tráfico, como solicitar autenticación, filtrar el tráfico en un WAF, etc.
Lea otras preguntas en las etiquetas proxy dmz decryption