Squid ssl_bump и безопасность., Catvoyager, 08-Ноя-15, 05:37 [смотреть все]Допустим, в целях безопасности есть необходимость в фильтрации ssl трафика и мы решаем использовать ssl_bump на Сквиде. Генерим ключевую пару с самоподписанным сертификатом и добавляем наш CA сертификат во всё что можно на юзерских машинах. При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться на наши левые сертификаты и строка адреса всегда будет "зелёной". И тут наш пользователь заходит на фишинговый HTTPS ресурс с левым сертификатом... Вопрос в том, как себя поведёт при этом Squid - он сгенерит ключевую пару для запрашиваемого домена с помощью своей ключевой пары и пользователь увидит "зелёный замочек", подумает, что всё ОК и попытается расплатится на нём своей платёжной картой (со всеми вытекающими) или всё-таки есть возможность, к примеру подключить к ssl_bump CAbundle (например https://raw.githubusercontent.com/bagder/ca-bundle/master/ca...), настроить запросы к CRL/OCSP, включить проверку валидности сертификата сайта и, в случае невозможности проверки, допустим передавать конечному пользователю оригинальный сертификат или подсовывать просроченный, на который браузер будет ругаться? Иначе теряется весь смысл в использовании PKI и вместо повышения безопасности мы получаем прямо противоположный эффект.
|
- Squid ssl_bump и безопасность., pavlinux, 02:51 , 10-Ноя-15 (1) +1
- Squid ssl_bump и безопасность., Мясо, 01:16 , 11-Ноя-15 (2) –1
А с чего бы не быть зеленым? У Вас в картинке "не зеленый" потому что используется (уже) ненадежный SHA1.
- Squid ssl_bump и безопасность., pavlinux, 05:24 , 11-Ноя-15 (4) +1
> А с чего бы не быть зеленым? Ну попробуй с ssl_bump зайти на фейсбук. А ещё весело, когда SSL сайт делает кроссдоменные коннекты на обычный HTTP. А еще если кросс домены и один из них с "недоверенным" сертом, зелёнка сразу исчезает. И ваще веселуха, если зоопарк из всего перечисленного и сервак в CDN :D
- Squid ssl_bump и безопасность., Мясо, 01:26 , 11-Ноя-15 (3) +1
|