¿Cómo puedo saber si mi compañía o mi ISP están usando un proxy TLS?

Navega tus respuestas
8

Estaba leyendo el otro día en " ¿Previene https el ataque de personas en el medio por un servidor proxy? " Permítanme citar algunas líneas:

  

Blue Coat, el nombre más grande en el negocio de la intercepción de SSL, está lejos de ser el único que ofrece intercepción de SSL y rompe en una caja. Hasta hace poco, por ejemplo, Microsoft le vendería un programa, Forefront Threat Management Gateway 2010, que también podría hacer el trabajo por usted. Con un dispositivo o programa proxy de intercepción SSL instalado, esto es lo que realmente sucede

     

    

Sisuempresahaconfiguradoelproxycorrectamente,nosabráquenadaestádeshabilitadoporquehabrádispuestoqueelcertificadoSSLinternodelproxyseregistreensumáquinacomouncertificadoválido.Delocontrario,recibiráunmensajedeerroremergenteque,sihaceclicenparacontinuar,aceptaráelcertificadodigital"falso". En cualquier caso, obtiene una conexión segura con el proxy, obtiene una conexión segura con el sitio externo, y todo lo que se envía a través del proxy se puede leer en texto sin formato. Whoops.

Entonces, si entendí correctamente toda mi información privada, como las credenciales bancarias, Facebook, correo electrónico, etc., puede ser fácilmente interceptada sin que yo lo sepa.

Si eso es cierto, ¿cómo puedo saber si mi compañía o mi ISP tienen un proxy implementado y están escuchando a escondidas todos mis datos confidenciales?

    
pregunta adam86 11.07.2016 - 11:24
fuente

1 respuesta

21

Cómo saber si su empresa intercepta TLS

Como lo explica la publicación a la que se vinculó, el proxy descifrará todo el tráfico y luego lo cifrará de nuevo pero firmará con otro certificado. Por lo tanto, el certificado que reciba será diferente del que le envió el sitio web. Por lo tanto, una forma de detectar esto es comparar los certificados que obtiene cuando visita un sitio web desde la red de su empresa con el que recibe cuando lo visita desde fuera de esa red (por ejemplo, desde su casa).

Todos los navegadores tienen funcionalidad para ver la huella digital de un certificado. En Chrome, haga clic en el candado verde en la barra de URL, luego haga clic en "Información" y finalmente en "Ver certificado".

Algunas advertencias, sin embargo:

  • Algunos sitios web pueden proporcionar certificados diferentes a diferentes usuarios por diversos motivos, por lo que no coinciden con un sitio y podrían no ser suficientes para concluir que existe un proxy TLS.
  • Es posible que el proxy no intercepte el tráfico para todos los dominios, por lo que incluso si todos los certificados que intentas coinciden es imposible saber que tu tráfico nunca será interceptado.

Entonces, ¿cómo evitas esas advertencias? Tendría que pasar por el almacén de confianza de su sistema operativo y su navegador (si usa el suyo propio) para ver si se han agregado certificados allí. Para obtener instrucciones sobre cómo hacer esto, consulte esta pregunta .

Finalmente, se debe tener en cuenta que la intercepción de TSL es una cosa perfectamente legítima para que lo haga un empleador. Y como es probable que esté utilizando una computadora que le proporcionó su empleador en el trabajo, hay muchas otras formas en las que podrían controlar sus hábitos de navegación y cualquier otra cosa que haga en su computadora sin tener que depender de un servidor proxy. Entonces, si desea privacidad, no use la computadora o la red de su trabajo.

Pero ¿qué pasa con el ISP?

Si bien su empleador puede tener razones legítimas para hacer esto, su ISP ciertamente no lo tiene. Afortunadamente, no pueden hacer esto fácilmente. ¿Por qué? La respuesta está en tu cita:

  

Si su empresa ha configurado el proxy correctamente, no sabrá que nada está deshabilitado porque habrá dispuesto que el certificado SSL interno del proxy se registre en su máquina como un certificado válido. De lo contrario, recibirá un mensaje de error emergente que, si hace clic para continuar, aceptará el certificado digital "falso".

Ya que su ISP no controla su computadora, no hay forma de que instalen un certificado raíz (otro ). Por lo tanto, recibirá una advertencia de que el certificado es incorrecto cada vez que visita un sitio a través de HTTPS. No es muy sigiloso en otras palabras.

Si aún le preocupa que alguien pueda haber escondido un certificado raíz en su almacén de confianza, podría usar el método anterior para verificar. Pero tendría que comparar los certificados que obtiene de los de una computadora con otro ISP, preferiblemente incluso en otro país. O simplemente puede compararlos con los pines de la clave pública precargados para los sitios que usan HPKP.

    
respondido por el Anders 11.07.2016 - 11:46
fuente

Lea otras preguntas en las etiquetas

Creación de políticas de nombre de usuario y mejores prácticas Contraseña segura vs. restricción en el número de intentos