¿Cómo funciona el servidor Proxy SSL en la empresa?

6

Muchas empresas utilizan un proxy de red para interceptar el tráfico basado en web, por ejemplo.

Tengo algunas preguntas sobre su funcionamiento:

1) Nunca he visto una advertencia de SSL en compañía. Dudo que instalen certificados de confianza de su proxy en el sistema operativo (ya que los navegadores pueden usar diferentes almacenes de certificados, Firefox tiene su propio ejemplo). Entonces, ¿cómo interceptan el tráfico sin avisar al navegador?

2) Suponiendo que instalen el certificado de proxy en cada host. Si un host desea ir a " enlace " , el nombre de host en el certificado será el del proxy, no Google . Entonces, en cualquier caso, debería aparecer una advertencia de SSL. ¿Generan certificados (con google nombre de host, por ejemplo) firmados por un proxy de confianza?

    
pregunta Duke Nukem 08.08.2016 - 17:02
fuente

2 respuestas

6
  

Nunca he visto una advertencia de SSL en la empresa

¿Verificaste que la intercepción SSL se haya realizado? Consulte Cómo ¿Verifico que tengo una conexión SSL directa a un sitio web? .

  

Entonces, ¿cómo interceptan el tráfico sin avisar al navegador?

Un proxy interceptor de SSL crea una conexión SSL entre el proxy y el servidor de destino original y otra conexión SSL entre el proxy y el cliente. La última conexión utilizará un certificado firmado por la CA proxy. En la medida en que es un clásico de SSL en el ataque central y la única diferencia entre el ataque y la intercepción "legal" es que el sistema cliente ha confiado explícitamente en la CA proxy y, por lo tanto, también confiará en los certificados firmados con la CA proxy. / p>

  

Dudo que instalen certificados de confianza de su proxy en el sistema operativo (ya que los navegadores pueden usar diferentes almacenes de certificados, Firefox tiene su propio ejemplo).

Si tiene diferentes tiendas de CA para los diferentes navegadores, tendría que importar la CA proxy a todos estos.

  

Si un host desea ir a " enlace ", el nombre de host en el certificado será el del proxy, no Google

No. El asunto del certificado será el nombre de host original (es decir, google.com). Pero este certificado será firmado por la CA proxy y no por la CA original. Y como el cliente confía en que la CA proxy y el nombre de host coincidan con el certificado, no se producirán advertencias.

    
respondido por el Steffen Ullrich 08.08.2016 - 17:56
fuente
0

La implementación real de un Proxy puede variar de una organización a otra. En las implementaciones donde el certificado de la compañía se importa a cada host para eliminar los errores de SSL, es probable que esté hablando de Deep Packet Inspection. Los firewalls de próxima generación (como Palo Alto ) apoyan esto pero, nuevamente, esto es solo si están realizando una inspección de paquetes.

Un servidor proxy no necesita para realizar el descifrado SSL, simplemente pasa la solicitud (y el contenido cifrado) sin realizar ningún análisis en la carga útil. Esto generalmente no generará advertencias de SSL.

    
respondido por el HashHazard 08.08.2016 - 17:22
fuente

Lea otras preguntas en las etiquetas