https://www.opennet.ru/openforum/vsluhforumID8/8151.html ДВС.<br>Ситуация довольно простая.<br>Есть человек и сайт, куда этот человек часто ходит. По https.<br>В т.ч. и с работы.<br>Но. На работе, для обеспечения фильтрации контента установлена некая система - закрытая даже от админов. На браузеры рабочих мест вставлен сертификат, которому они должны доверять.<br>(не спрашивайте, что оно такое - не знаю. И сертификат не видел).<br>Фактически, (по опросам)так:<br>Когда из дома то браузер-&gt;сайт<br>Когда с работы браузер-&gt;MITM система-&gt;сайт<br>Допустим, я владею этим самым нужным сайтом, и не хочу отдавать чувствительные данные, когда человече заходит на него с работы.<br><br>Существует ли методика определения со стороны сервера(сайта), что вход на сайт осуществлён через эту систему с левым "доверенным" сертификатом?<br>Ещё раз: соединение по ssl, сертификат на сайте - реальный, не самоподписаный.<br>?<br>Спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#11 Fri, 11 Jan 2019 17:21:46 GMT &gt; key words: SSL bump.<br><br>Еще key word: TLS Termination<br><br><br>Например HAProxy умеет такое.<br><br>https://www.haproxy.com/documentation/haproxy/deployment-guides/tls-infrastructure/<br><br>А вот то что нужно, смотрите параметры ssl_fc_* и req.ssl_*<br><br>https://cbonte.github.io/haproxy-dconv/1.9/configuration.html#7.3.4-ssl_fc_cipherlist_str<br><br>Если даже богатый язык конфигурации HAProxy не позволит создать ACL-ы по параметру ssl_fc_cipherlist_str (очень сомневаюсь), то возможно это можно будет сделать используя LUA скрипт.<br><br>HAProxy LUA Scripting - https://www.arpalert.org/src/haproxy-lua-api/1.9dev/index.html<br><br>------<br><br>У Nginx, кстати, есть почти что подходящий модуль - ngx_stream_ssl_preread:<br><br>https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html<br><br>С его помощью можно "войти" внутрь TLS/SSL и взять такие параметры как версия протокола, SNI хост, и список шифров по ALPN! Но ALPN это сравнительно новое расширение TLS, старые браузеры не поддерживают. Если ваши клиенты пользуются обновленными браузе https://www.opennet.ru/openforum/vsluhforumID8/8151.html#10 Fri, 11 Jan 2019 04:58:18 GMT &gt; Да, если он стрррашно интелектуальный. Но! Если джава может вытащить - под <br>&gt; каким сертификатом он соединился, то обнаружть вполне можно. Джаву только не <br>&gt; знаю.<br><br>Если бы контент браузера мог легко вытаскивать сертификаты это был бы номер ....<br><br>&gt; Появилась инормация поподробнее... это обычная машина с ситемой, постоенной на фре 9.х <br>&gt; Стоит система каких-то безумных денег.<br>&gt; _СКРИТПУЮЩИЙСЯ_?<br><br>key words: SSL bump.<br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#9 Thu, 10 Jan 2019 22:28:47 GMT &gt;Идеально сделанный MITM невозможно заметить на стороне сервера без клиентского сертификата<br><br>Да, если он стрррашно интелектуальный. Но! Если джава может вытащить - под каким сертификатом он соединился, то обнаружть вполне можно. Джаву только не знаю.<br><br>&gt; обмен ключами - такие-то. А MITM Box-ы, обычно старые железки с <br><br>Появилась инормация поподробнее... это обычная машина с ситемой, постоенной на фре 9.х<br>Стоит система каких-то безумных денег. <br><br>&gt; Но чтобы замутить такое вам потребуется скритующийся веб-сервер.<br><br>_СКРИТПУЮЩИЙСЯ_?<br><br>Даже не знаю, настраивал только nginx и индейца. Почитать, что там за возможности в модулях..<br><br>ммм... на месте разрабов я бы просто сделал список из 10-ка подходящих браузеров и кейс в выбором наиболее близкого. Ну и ежемесячную подкачку с "базы" актуального списка..<br><br>но "ловить на косвенных" - интересная идея. Надо поискать, что там джава может вытащить о свойствах соединения из браузера..<br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#8 Thu, 10 Jan 2019 21:59:45 GMT Идеально сделанный MITM невозможно заметить на стороне сервера без клиентского сертификата, но я почему-то уверен, что 99% MITM-ов не идельные.<br><br>Смотрите, браузеры, при соединении с TLS сервером, говорят, к примеру: привет дядь сервер, я могу tls1, tls1.1, tls1.2 tls1.3, шифры такие-то, аутентификации такие-то, обмен ключами - такие-то. А MITM Box-ы, обычно старые железки с другим (различным от современных браузеров) списком поддерживаемых алгоритмов.<br><br>То есть, мы можете у себя иметь базу, что Firefox такой-то имеет такой список алгоритмов, Хром - такой список, и.т.д.<br><br>И если к вам подключится клиент, который к примеру говорит что он Firefox 63, но не поддерживает tls1.3, вы можете быть 99% уверены что там MITM (может локальный антивирь, или корпоротивный MITM Box, или что угодно, но MITM).<br><br>Но чтобы замутить такое вам потребуется скритующийся веб-сервер.<br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#7 Wed, 09 Jan 2019 10:17:36 GMT &gt; Спасибо всем отозвавшимся, <br>&gt; я понял, что в данных условиях мои хотелки невозможны.<br><br>Но можно это проверить со стороны клиента - ткнув на замочек и посмотрев сертификат.<br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#6 Wed, 09 Jan 2019 10:01:03 GMT &gt; А джавой нельзя вытащить из браузера что-то типа "я использую не совсем <br>&gt; кошерный серт, ибо так приказал насяльника"?<br><br>Технически запретов на это нет, но вот даст ли _браузер_ эти данные...<br><br>Java-апплет -- это же не полноценное приложение.<br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#5 Tue, 08 Jan 2019 19:28:37 GMT Спасибо всем отозвавшимся,<br>я понял, что в данных условиях мои хотелки невозможны.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#4 Tue, 08 Jan 2019 19:27:28 GMT &gt;&gt; Существует ли методика определения со стороны сервера(сайта), что вход на сайт осуществлён <br>&gt;&gt; через эту систему с левым "доверенным" сертификатом?<br>&gt;&gt; Ещё раз: соединение по ssl, сертификат на сайте - реальный, не самоподписаный.<br>&gt; используйте SSL Client Certificate для того чтобы сервером определять настоящего клиента <br><br>т.е. всё-таки клиентский сертификат для браузера... м-да..<br>это, конечно, будет работать, но несколько не то, что надо.<br><br> https://www.opennet.ru/openforum/vsluhforumID8/8151.html#3 Tue, 08 Jan 2019 19:00:49 GMT &gt; Существует ли методика определения со стороны сервера(сайта), что вход на сайт осуществлён <br>&gt; через эту систему с левым "доверенным" сертификатом?<br>&gt; Ещё раз: соединение по ssl, сертификат на сайте - реальный, не самоподписаный. <br><br>используйте SSL Client Certificate для того чтобы сервером определять настоящего клиента<br><br>