Comment fonctionne le serveur proxy SSL en entreprise?
De nombreuses entreprises utilisent un proxy réseau pour intercepter le trafic Web par exemple.
J'ai quelques questions sur leur fonctionnement:
1) Je n'ai jamais vu d'avertissement SSL en entreprise. Je doute qu'ils installent des certificats de confiance de leur proxy dans le système d'exploitation (car les navigateurs peuvent utiliser différents magasins de certificats, Firefox a son propre par exemple). Alors, comment interceptent-ils le trafic sans avertissement du navigateur?
2) En supposant qu'ils installent le certificat proxy dans chaque hôte. Si un hôte veut aller à " https://google.com " , le nom d'hôte dans le certificat sera celui du proxy, pas google. Donc, dans tous les cas, un avertissement SSL devrait apparaître. Génèrent-ils des certificats (avec google nom d'hôte par exemple) signés par le proxy de certificat de confiance?
Je n'ai jamais vu d'avertissement SSL en entreprise
Avez-vous vérifié que l'interception SSL est effectuée? Voir Comment puis-je vérifier que j'ai une connexion SSL directe à un site Web? .
Alors, comment interceptent-ils le trafic sans avertissement du navigateur?
Un proxy d'interception SSL crée une connexion SSL entre le proxy et le serveur cible d'origine et une autre connexion SSL entre le proxy et le client. Cette dernière connexion utilisera un certificat signé par l'autorité de certification proxy. Dans la mesure où il s'agit d'un homme SSL classique dans l'attaque du milieu et la seule différence entre l'attaque et l'interception "légale" est que le système client a explicitement fait confiance à l'autorité de certification proxy et qu'il fera donc également confiance aux certificats signés avec l'autorité de certification proxy.
Je doute qu'ils installent des certificats de confiance de leur proxy dans le système d'exploitation (car les navigateurs peuvent utiliser différents magasins de certificats, Firefox a le sien par exemple).
Si vous avez différents magasins d'autorités de certification pour les différents navigateurs, vous devrez importer l'autorité de certification proxy dans tous ces navigateurs.
Si un hôte veut aller à " https://google.com ", le nom d'hôte dans le certificat sera celui du proxy, pas google
Non. L'objet du certificat sera le nom d'hôte d'origine (c'est-à-dire google.com). Mais ce certificat sera signé par l'autorité de certification proxy et non par l'autorité de certification d'origine. Et puisque le client approuve l'autorité de certification proxy et que le nom d'hôte correspond au certificat, aucun avertissement ne se produit.
L'implémentation réelle d'un proxy peut varier d'une organisation à l'autre. Dans les implémentations où le certificat de l'entreprise est importé sur chaque hôte pour supprimer les erreurs SSL, vous parlez probablement de Deep Packet Inspection. Les pare-feu de nouvelle génération (comme Palo Alto ) prennent en charge cela mais encore une fois, c'est seulement s'ils font l'inspection des paquets.
Un serveur proxy n'a pas besoin de faire le déchiffrement SSL, il transmet simplement la demande (et le contenu chiffré) sans effectuer aucune analyse sur la charge utile. Cela ne génère généralement pas d'avertissements SSL.