SSL MITM y autenticación mutua - mercado de proveedores

0

Con el fin de validar mi pensamiento:

He estado observando los dispositivos comerciales de intermediario (MITM). Parece que los principales actores en el mercado no son compatibles con los certificados de cliente y la autenticación mutua. Básicamente, los dispositivos MITM disponibles no son capaces de generar y firmar un certificado de cliente de confianza para el servidor.

Me pregunto si un desarrollador debidamente motivado podría diseñar un dispositivo MITM que podría generar nuevos certificados de servidor que respondan a Hellos de clientes (esta capacidad es bien conocida), así como generar nuevos certificados de clientes que respondan a las solicitudes de certificados de clientes. . Si mi entendimiento es correcto, la sesión SSL completa sería distinta en cualquier extremo del dispositivo MITM.

¿Me estoy perdiendo algo aquí? Suponiendo que tanto el cliente como el servidor confíen en los certificados firmados por MITM, ¿es posible la autenticación mutua SSL MITM con certificados de cliente? En otra nota, ¿requeriría esto romper las sesiones TCP?

Gracias por cualquier respuesta!

    
pregunta The_Glidd 15.05.2017 - 21:26
fuente

1 respuesta

0

Si tanto el cliente como el servidor confiarían en el proxy MITM, entonces sería posible utilizar certificados falsos (emitidos por el proxy MITM) en ambos lados, que se generan dinámicamente en función de los certificados originales enviados por el servidor y el cliente.

Pero en la práctica, la inspección SSL generalmente se usa dentro de un firewall perimetral para proteger a los clientes dentro de la empresa. En este caso, la empresa tiene el control de los clientes y puede asegurarse de que todos los clientes confíen en la CA del proxy MITM. Sin embargo, la empresa generalmente no tiene control de los servidores y, por lo tanto, no puede hacer que confíen en la CA de proxy de MITM Por lo tanto, los servidores generalmente no aceptan el certificado de cliente falso, lo que significa que los certificados de cliente no funcionarán. Y debido a este problema, por lo general no hay demanda para esta característica, no se implementa, aunque sería posible en teoría.

    
respondido por el Steffen Ullrich 15.05.2017 - 21:35
fuente

Lea otras preguntas en las etiquetas