Назад | Перейти на главную страницу

Сертификат SSL для прозрачного прокси-сервера MITM SSL

Я хотел бы настроить прозрачный корпоративный прокси SSL с Privoxy или Кальмар.

Одна из загвоздок в моем плане - понять, какой сертификат SSL требуется. Я знаю, что могу получить мультидоменный / подстановочный SSL-сертификат; однако это предназначено только для охвата субдоменов одной организации. Казалось бы, мне нужен шаблонный сертификат для каждого TLD сейчас и в будущем на планете.

Я не хочу, чтобы предупреждения системы безопасности появлялись, когда пользователи проходят через прокси из-за сбоя проверок безопасности; Я также хотел бы избежать установки вручную доверия CA в браузерах, если это возможно. Однако, если коммерческие решения невозможны, какие решения доступны для самозаверяющего сертификата?

Вопросы:

  1. Это возможно?
  2. Если все ограничения не могут быть соблюдены, что я могу сделать лучше всего?
  3. Каков путь к успеху с наименьшими затратами в смешанной среде windows / linux со следующими поддерживаемыми браузерами: IE, Firefox, Chrome?

Есть два подхода к MITMing SSL-трафику:

  • Вы получаете единый доверенный сертификат SSL, который заменяет все (subjectAltName:*, subjectAltName:*.*, и так далее); или
  • Вы получаете доверенный ЦС или промежуточный сертификат и создаете доверенные сертификаты «на лету» для представления клиентам.

Первое легче сделать, но второе лучше, если вы не хотите, чтобы было очевидно, что вы делаете, потому что сертификат будет выглядеть более «законным» для стороннего наблюдателя.

Настоящая уловка - получить один из этих супер-специальных сертификатов. Более простой способ для легитимного прокси-сервера организации - создать собственный сертификат, подписанный вашим собственным ЦС, и распространить этот сертификат ЦС на все устройства, находящиеся под контролем вашей организации. Проблемы и ограничения этого подхода должны быть довольно очевидными.

Более изворотливый способ делать что-то обычно открыт только для правительств и организаций, достаточно крупных, чтобы подорвать CA (так или иначе ...) - в этом случае вы получаете существующий законный CA, сертификат CA которого уже почти универсален. доверенный, чтобы дать вам один из вышеупомянутых сомнительных сертификатов, и вы продолжаете свой веселый путь.

Этот последний метод не является теорией - есть многочисленные случаи, когда правительства репрессивных режимов завладевали сертификатами такого типа для взлома SSL-соединений в пределах своих границ и слежки за трафиком, проходящим через их узкие места. Если это звучит так, будто модель безопасности SSL полностью сломана и ошибочна, то вы правильно поняли.