¿Cuál es la mejor práctica para que el tráfico https de MitM'ing distinga certificados autofirmados?

0

Mi organización está preocupada por los virus y ataques que entran en nuestra red.

Debido a que algunos fabricantes de navegadores y otras partes han declarado que el tráfico de http es persona non grata, cada vez es más difícil realizar dicha función.

Como muchos sitios hoy en día bloquean el acceso http:// (en lugar de simplemente redirigir a su versión https:// ), nos vemos obligados a hacer MitM para continuar con nuestros análisis de manera efectiva.

Lo que significa que debemos realizar la autenticación de certificados de forma centralizada, ya que será nuestro proxy el que realizará el TLS del lado del cliente.

Al no querer bloquear certificados firmados por terceros de terceros, en dicha configuración de MitM, ¿hay algo que podamos hacer para asegurar que nuestros usuarios puedan distinguir entre sitios web posteriores con certificados autofirmados y certificados basados en CA? ? Por ejemplo, si nuestra corriente arriba hace un MitM en nuestro tráfico, ¿hay alguna manera de que podamos informar al usuario, sin bloquear la conexión (por ejemplo, que lo decida)?

    
pregunta cnst 12.12.2015 - 07:15
fuente

1 respuesta

1

No creo que sea una buena idea dejar que los usuarios decidan qué certificados son buenos y cuáles no lo son, o aceptar certificados autofirmados o no válidos en general. Al menos no creo que la mayoría de los usuarios entiendan los problemas subyacentes y puedan tomar la decisión correcta. Pero tal vez todos sus usuarios tengan una comprensión más profunda del tema y de los problemas involucrados al tomar una decisión equivocada, por lo que aquí hay una manera de transferir al menos parte de esta información al usuario:

  • Para las conexiones TLS correctas que tienen un certificado válido, el nuevo certificado generado en el dispositivo de intercepción SSL será firmado por la CA proxy del dispositivo. De esta manera, no se producen advertencias en el navegador siempre que la CA proxy se importe como confiable.
  • Las conexiones TLS con un certificado no válido (caducado, sujeto incorrecto, autofirmado ...) no estarán firmadas por la CA proxy, pero se creará un certificado autofirmado que contendrá la mayor parte de la información original (sujeto) , caducidad ...). Esto dará como resultado una advertencia dentro del navegador porque no está firmada por una CA de confianza y el usuario puede ver los detalles del certificado y decidir aceptarlo de todos modos.

De esta manera, solo los certificados válidos son aceptados silenciosamente por el navegador y todos los demás necesitan la intervención manual del usuario. Tenga en cuenta que estoy bastante seguro de que no todos los dispositivos de intercepción SSL tratarán con certificados no válidos como lo he descrito, por lo que debe verificar los detalles con el producto o la implementación específica que tiene en mente. Además, no toda la información sobre los motivos por los cuales un certificado no es válido se transfiere de esta manera. Especialmente, no puede distinguir entre certificados autofirmados originalmente y certificados con una cadena de confianza rota (como certificados de cadena faltantes o CA raíz no confiable) de esta manera y no tiene forma de ver al emisor original del certificado.

Pero, una vez más, no recomiendo confiar plenamente en los usuarios para decidir cuáles son los certificados buenos y malos, por lo que esta práctica debe limitarse a solo algunos sitios malos. Según mi experiencia, los únicos certificados autofirmados válidos que tiene son para dispositivos locales (enrutadores, etc.) y, por lo tanto, generalmente no deberían verse afectados por la interceptación de SSL. Los sitios públicos en Internet, en su lugar, deben usar CA públicas y casi todos lo hacen. Si no lo hacen o lo hacen mal, es mejor bloquear estos sitios. Desde mi experiencia, los sitios comunes en Internet no causarán ningún problema porque esto también causaría problemas en los navegadores y perderían a los visitantes de esta manera.

    
respondido por el Steffen Ullrich 12.12.2015 - 08:08
fuente

Lea otras preguntas en las etiquetas