Мой кампус недавно установил Fortigate Firewall и начал подделывать сертификаты https.
например. Сертификаты кажутся недействительными, говоря: «Google.com; проверено Fortinet CA»
Существует ли способ шифрования трафика https таким образом, чтобы он был невидим для брандмауэра и при этом оставался в равной степени безопасным.
1 ответ
Это атака "человек посередине", и ваш браузер WWW сказал вам, что это происходит. Человек посередине был отделом информационных технологий вашего кампуса. Это почти наверняка не было "решено" как таковое. Человек посередине просто воспользовался привилегированным положением xyr в качестве ИТ-отдела, чтобы инструктировать ваш компьютер больше не предупреждать вас о перехвате вашего трафика SSL.
Многие брандмауэры корпоративного уровня делают это в настоящее время. Он по-разному известен как «SSL-прокси», "Проверка SSL", "Проверка HTTPS", "Проверка содержимого HTTPS" и так далее. Первый является наиболее точным, поскольку эта практика применяется не только к зашифрованному HTTP. Брандмауэры применяют его и к другим зашифрованным протоколам, включая зашифрованные SMTP, IMAP, POP и FTP.
Проще говоря, брандмауэр делает именно то, от чего защищено шифрование: перехватывает почтовый, WWW и FTP-трафик между вами и миром, дешифрует его, читает и, возможно, изменяет его, и повторно шифрует его.
В обычном случае, как вы видели, ваш браузер WWW замечает это и жалуется.
Поэтому люди, которые запускают такие брандмауэры, устанавливают на вашем компьютере дополнительный центр сертификации в список доверенных центров сертификации вашего браузера WWW. Ваш WWW браузер видит, что сертификат, используемый той частью брандмауэра, которая стоит перед вами, подписан этим доверенным центром сертификации, который был навязан вам, и считает, что все в порядке.
Такое форсирование выполняется в корпоративных настройках путем развертывания дополнительного доверенного центра сертификации через групповую политику на всех корпоративных компьютерах.
В тех случаях, когда это нецелесообразно, можно использовать альтернативу для организации купить центр сертификации подписи у доверенного корневого центра сертификации и использовать его для подписи всех одноразовых сертификатов, которые передаются вашему WWW-браузеру брандмауэром. Опять же, ваш браузер видит правильную цепочку сертификатов, ведущую к одному из доверенных корневых центров сертификации в своем списке, и считает, что все в порядке.
В обоих случаях весь ваш WWW, почта, FTP и другой явно защищенный трафик фактически был просмотрен, прочитан и, возможно, изменен (если он решил, что контент по каким-либо причинам ему не понравился) в ИТ-отделе вашего кампуса. Таким образом, чтобы неопытному глазу, ищущему симпатичные "замочные" иконки в WWW-браузерах и тому подобное, все кажется безопасным.
дальнейшее чтение
- Добавьте доверенный корневой центр сертификации в объект групповой политики. 2005-01-21. TechNet. Корпорация Майкрософт.
- Технический совет: как включить глубокую проверку содержимого. 2013-08-20. База знаний Fortinet. FD30586.
- Техническое примечание. Импорт SSL-сертификата FortiGate в Internet Explorer 8 (IE8) для расшифровки при проверке SSL. 2011-12-21. База знаний Fortinet. FD32404.
- Планирование проверки HTTPS. 2009-11-15. TechNet. Корпорация Майкрософт.
- Что такое проверка содержимого HTTPS? , 2012-07-12. NT Security.
- Как использовать свой собственный сертификат HTTPS Proxy CA на Astaro Security Gateway. 2012-05-08. База знаний Sophos. 115592.