detección de inspección SSL

7

Recientemente se hizo una pregunta sobre la inspección de SSL, y eso me hizo preguntarme Si es realmente posible, desde el usuario final (o incluso del lado del servidor), detectar si el enlace SSL está siendo monitoreado o no.

Un método para que un IDP decodifique el tráfico SSL y decodifique los paquetes HTTPS es usar un certificado raíz en el modo de proxy de reenvío SSL. ¿Cómo se emiten estos certificados raíz a las empresas? Según tengo entendido, dicho certificado podría usarse para decodificar cualquier tráfico SSL.

EDITAR: está bien para los certificados raíz, pero ¿qué hay de detectar la inspección de paquetes SSL? ¿Es esto factible?

    
pregunta fduff 13.06.2012 - 22:16
fuente

3 respuestas

5

Desde el exterior , el espía puede acceder de forma pasiva a todo lo que se envía "claro" como parte de los pasos iniciales de un SSL / TLS . Esto incluye el hecho de que se utiliza SSL, la versión del protocolo, el conjunto de algoritmos criptográficos acordados, el certificado del servidor, a menudo el servidor previsto nombre ... Una vez que se completa el "apretón de manos" inicial, los forasteros solo ven datos cifrados, que no pueden descifrar; tenga en cuenta que la URL de destino forma parte de los datos cifrados (el nombre del servidor de destino puede verse en el protocolo de enlace, no en el resto de la URL). Debe decirse que, si bien los datos cifrados son opacos para los intrusos, la longitud de dichos datos no lo es; dependiendo de la suite de cifrado, la longitud puede ser conocida por espías externos con una precisión de un solo byte.

Dicha grabación solo pasiva de paquetes en tránsito no se puede detectar desde el cliente o el servidor (por definición).

Para acceder a los contenidos del túnel SSL , los inspectores deben, de alguna manera, piratear el cliente o el servidor. Hay productos diseñados para ser implementados por administradores de grandes redes (corporativas), donde este "pirateo" está representado por un adicional " raíz CA "insertada en el almacén de raíces confiables del sistema cliente. Esta CA raíz adicional es controlada por el proxy, que genera sobre la marcha un certificado falso para el servidor al que intenta acceder, y básicamente ejecuta un ataque del hombre en el medio . Esto se puede detectar en el lado del cliente al pedirle a su navegador que muestre el certificado del servidor y ver a qué CA raíz se adjunta este certificado.

Sin embargo , insertar una CA raíz adicional en el almacén de confianza requiere acceso privilegiado a la máquina (es decir, como Administrador) y quienquiera que pueda hacer eso, podría haber instalado un software de espionaje menos visible, como Registradores clave y capturadores de pantalla. Por lo tanto, si la inspección de contenido SSL es posible, también es posible la inspección no detectable . La CA raíz adicional es para los inspectores de contenido SSL que actúan de manera oficial y no sienten la necesidad de ocultar su espionaje.

A la inversa , si su máquina está "limpia" (no tocada por posibles espías), entonces SSL (HTTPS) lo protegerá contra la inspección externa de sus datos. Esta es una de las características principales de SSL.

    
respondido por el Thomas Pornin 04.01.2013 - 20:18
fuente
1

Los certificados raíz de las CA se pueden descargar libremente desde los emisores de CA. Thawte , Verisign . Certificados de raíces de todos los principales emisores de CA: aquí . Si esto es lo que buscas.

    
respondido por el Kapish M 13.06.2012 - 22:42
fuente

Lea otras preguntas en las etiquetas