¿Las futuras versiones de TLS evitarán la inspección de tráfico?

9

Hoy en día es posible inspeccionar (descifrar) el tráfico TLS (HTTPS) dentro de una organización. El mecanismo consiste en utilizar una CA raíz que está configurada en el cliente web y un dispositivo de red que recibe las conexiones HTTPS y falsifique certificados sobre la marcha para el destino utilizando esa CA raíz. Por lo tanto, para esta inspección de tráfico TLS necesita controlar tanto los puntos finales como la red. Algunos dispositivos de red como IPSs, proxies y DLP implementan esto.

La inspección de tráfico tiene un caso de negocios: es posible que las organizaciones quieran protegerse contra las fugas de información y la comunicación de malware mediante estos canales cifrados. Si la inspección de tráfico no fuera posible, la organización tendría un agujero que sería explotado por los atacantes.

Sin embargo, no estoy seguro sobre el futuro y cuál es la tendencia. He leído sobre fijación de certificados , por ejemplo, que intenta evitar la inspección de tráfico en algún momento.

¿Las futuras versiones de TLS evitarán la inspección del tráfico?

¿Hoy en día se puede inspeccionar todo el tráfico HTTPS utilizando este mecanismo? Incluyendo Google, Apple, Microsoft ...

    
pregunta Eloy Roldán Paredes 26.12.2015 - 12:34
fuente

3 respuestas

12

No.

AFAIK no hay nada dentro del TLS 1.3 Draft sobre eso. Y tampoco creo que haya una solución técnica para esto. Si permite que alguien instale una CA raíz adicional en su computadora, todas las apuestas están desactivadas.

    
respondido por el StackzOfZtuff 26.12.2015 - 13:02
fuente
14

TLS por sí mismo protege el rastreo y la modificación del tráfico entre dos puntos finales, es decir, el cliente y el servidor. La intercepción TLS simplemente hace dos conexiones TLS donde solo había una, es decir, el cliente al dispositivo de intercepción y el dispositivo de intercepción al servidor. Esto todavía funcionará con futuras versiones de TLS.

La intercepción TLS solo es posible si la validación de los puntos finales no detecta la intercepción (o lo permite explícitamente). La forma en que se realiza la validación del punto final no forma parte del propio protocolo TLS y, por lo tanto, los cambios en el protocolo TLS no afectarán esta parte. Por lo tanto, los mecanismos actuales para la interceptación de SSL mediante el uso de una CA proxy de confianza sigue funcionando igual que la fijación SSL si no se debe permitir la intercepción. Tenga en cuenta que los navegadores de hoy ignorarán la fijación si el certificado está firmado por una CA agregada explícitamente, lo que significa que la identificación se ignorará cuando se utilice la interceptación legal de TLS. Pero esto nuevamente es un problema de validación del certificado y no está relacionado con la versión TLS.

    
respondido por el Steffen Ullrich 26.12.2015 - 13:02
fuente
0

Algunas investigaciones nuevas parecen indicar que 1.3 bloquea con éxito la inspección de tráfico: enlace . Tal vez algunas cosas han cambiado en la especificación desde 2015?

    
respondido por el RussM 05.02.2018 - 19:11
fuente

Lea otras preguntas en las etiquetas