1

Мой кампус недавно установил Fortigate Firewall и начал подделывать сертификаты https. например. Сертификаты кажутся недействительными, говоря: «Google.com; проверено Fortinet CA»
Существует ли способ шифрования трафика https таким образом, чтобы он был невидим для брандмауэра и при этом оставался в равной степени безопасным.

1 ответ1

3

Это атака "человек посередине", и ваш браузер WWW сказал вам, что это происходит. Человек посередине был отделом информационных технологий вашего кампуса. Это почти наверняка не было "решено" как таковое. Человек посередине просто воспользовался привилегированным положением xyr в качестве ИТ-отдела, чтобы инструктировать ваш компьютер больше не предупреждать вас о перехвате вашего трафика SSL.

Многие брандмауэры корпоративного уровня делают это в настоящее время. Он по-разному известен как «SSL-прокси», "Проверка SSL", "Проверка HTTPS", "Проверка содержимого HTTPS" и так далее. Первый является наиболее точным, поскольку эта практика применяется не только к зашифрованному HTTP. Брандмауэры применяют его и к другим зашифрованным протоколам, включая зашифрованные SMTP, IMAP, POP и FTP.

Проще говоря, брандмауэр делает именно то, от чего защищено шифрование: перехватывает почтовый, WWW и FTP-трафик между вами и миром, дешифрует его, читает и, возможно, изменяет его, и повторно шифрует его.

В обычном случае, как вы видели, ваш браузер WWW замечает это и жалуется.

Поэтому люди, которые запускают такие брандмауэры, устанавливают на вашем компьютере дополнительный центр сертификации в список доверенных центров сертификации вашего браузера WWW. Ваш WWW браузер видит, что сертификат, используемый той частью брандмауэра, которая стоит перед вами, подписан этим доверенным центром сертификации, который был навязан вам, и считает, что все в порядке.

Такое форсирование выполняется в корпоративных настройках путем развертывания дополнительного доверенного центра сертификации через групповую политику на всех корпоративных компьютерах.

В тех случаях, когда это нецелесообразно, можно использовать альтернативу для организации купить центр сертификации подписи у доверенного корневого центра сертификации и использовать его для подписи всех одноразовых сертификатов, которые передаются вашему WWW-браузеру брандмауэром. Опять же, ваш браузер видит правильную цепочку сертификатов, ведущую к одному из доверенных корневых центров сертификации в своем списке, и считает, что все в порядке.

В обоих случаях весь ваш WWW, почта, FTP и другой явно защищенный трафик фактически был просмотрен, прочитан и, возможно, изменен (если он решил, что контент по каким-либо причинам ему не понравился) в ИТ-отделе вашего кампуса. Таким образом, чтобы неопытному глазу, ищущему симпатичные "замочные" иконки в WWW-браузерах и тому подобное, все кажется безопасным.

дальнейшее чтение

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .