Comment les utilisateurs finaux peuvent-ils détecter des tentatives malveillantes chez SSL Spoofing lorsque le réseau dispose déjà d'un proxy SSL autorisé?
Je travaille sur le réseau d'un client où ils ont permis d'utiliser une autorité HTTPS sur leur proxy. Cela leur permet d'effectuer efficacement une attaque homme-intermédiaire pour déchiffrer tout le trafic crypté sortant.
Lorsque je me connecte à un site HTTPS, mon navigateur reçoit un certificat pour le site signé par le proxy de la société - pas le certificat réel. Chrome et Internet Explorer disent que le site Web est sécurisé (tout est vert, pas d'avertissements) mais Firefox dit que ce n'est pas le cas. Je sais, étant donné que le proxy SSL est en place, que ce n'est pas le cas.
Je suppose que Chrome _ et IE _ Acceptez le certificat interurbain car le certificat de proxy est déployé par le GPO. Ainsi, lorsque le proxy envoie un certificat spoofed (signé seul) pour un site Web, Chrome _ et IE _ montrez-le comme valide.
Comment une personne peut-elle être censée parcourir de manière sécurisée dans cet environnement? Avec tous les certificats signés par le proxy, comment puis-je valider que le site Web n'est pas également spoofé par une autre tierce partie? Je crains que le moment où Firefox soit également configuré pour ignorer ces certificats usurés. Comment puis-je empêcher mes navigateurs (Firefox, et. Al.) D'accepter ces certificats?
Pourquoi les navigateurs permettent-ils cette fonction? Il semblerait presque plus judicieux de désactiver complètement HTTPS que de permettre un tel sens de la sécurité. N'est-ce pas un problème de sécurité majeur - que le navigateur accepte des certificats apparemment légitimes, même s'ils ne sont pas ceux fournis par les sites Web?
Vous pourriez être intéressé par la patrouille de certificat:
https://addons.mozilla.org/en-us/firefox/addon/certificat-patrol/
Il suit les certificats que vous avez vus avant et vous avertit s'ils ont changé prématurément. Bien sûr, vous ne pouvez pas non plus installer le certificat racine de la société en premier lieu.
Comment une personne peut-elle être censée parcourir de manière sécurisée dans cet environnement?
Vous ne pouvez pas vraiment. S'il y a un proxy mitm officiel et ce n'est pas votre réseau, vous ne faites rien que vous ne voulez pas que les administrateurs du réseau puissent voir. Utilisez votre propre connexion personnelle pour vous connecter à des sites avec des comptes personnels.
Avec tous les certificats signés par le proxy, comment puis-je valider que le site Web n'est pas également spoofé par une autre tierce partie?
Je pense qu'il est juste de supposer que le proxy lui-même, lorsqu'il rend la connexion au site Web réel, vérifie la validité du certificat contre une liste de CAS qu'elle a été configurée (probablement celle du système d'exploitation qui s'exécute).
Je crains que le moment où Firefox soit également configuré pour ignorer ces certificats usurés. Comment puis-je empêcher mes navigateurs (Firefox, et. Al.) D'accepter ces certificats?
La tendance a toujours été d'augmenter la prise de conscience des certificats non valides de Firefox.
Dans Firefox, vous pouvez désactiver certains CAS en entrant dans des options -> Avancé -> Cryptage -> Afficher les certificats -> autorités. Utilisez ensuite "Modifier la confiance" (ou supprimez un certificat CA). Vous trouverez probablement le certificat CA installé dans cette institution. Vous pouvez également examiner les exceptions dans l'onglet "Serveurs", le cas échéant.
Pourquoi les navigateurs permettent-ils cette fonction? Il semblerait presque plus judicieux de désactiver complètement HTTPS que de permettre un tel sens de la sécurité. N'est-ce pas un problème de sécurité majeur - que le navigateur accepte des certificats apparemment légitimes, même s'ils ne sont pas ceux fournis par les sites Web?
Vous êtes malentendu dont la responsabilité est de garantir la confiance. Les navigateurs sont juste là pour utiliser une liste d'ancres de confiance. Bien qu'ils viennent souvent avec une liste par défaut, il appartient à l'administrateur de la machine (et/ou de l'utilisateur) de rechercher la liste des CAS qu'ils veulent faire confiance. (Il y a une légère exception à cela avec certificats EV , bien que ce ne soit pas sans son propre ensemble de problèmes.)
Si vous avez un doute sur lequel CA est utilisé, cliquez sur l'icône de verrouillage ou la barre bleue/verte (selon le navigateur), vous devriez pouvoir voir les détails de la sécurité. Comparez-le avec ce que vous voyez à l'aide d'une machine en qui vous avez confiance sur un réseau en qui vous avez confiance.
Si vous ne faites pas confiance à quel CA CERTS sont installés sur la machine, ne l'utilisez pas. Plus généralement, cela revient à ce sujet: N'utilisez pas une machine dont vous ne faites pas confiance.
Comment une personne peut-elle être censée parcourir de manière sécurisée dans cet environnement?
Vous pouvez créer une connexion sécurisée à l'extérieur, telle qu'un VPN. Ensuite, vous évitez toutes vos demandes via cette connexion sécurisée. Le problème est que le proxy pourrait également comprendre le protocole VPN et l'intercepter également. Vous pouvez détecter un proxy VPN si vous comparez le certificat VPN avec une version bien connue. Si vous êtes intercepté sur le VPN, vous devrez trouver un autre protocole que le proxy permet de passer et de ne pas intercepter.
Avec tous les certificats signés par le proxy, comment puis-je valider que le site Web n'est pas également spoofé par une autre tierce partie?
Vous ne pouvez pas. Vous comptez sur le proxy pour faire la connexion. Cela peut ou peut ne pas le faire de manière sécurisée, mais de toute façon, vous n'avez aucun contrôle.
Je crains que le moment où Firefox soit également configuré pour ignorer ces certificats usurés. Comment puis-je empêcher mes navigateurs (Firefox, et. Al.) D'accepter ces certificats?
Dans mon expérience, Firefox fournit à l'utilisateur plus de contrôle en conservant son propre magasin de certificats. IE/Edge and Chrome Utilisez les deux utilisez le magasin de certificats Windows intégré. Bien sûr, un administrateur pourrait changer le magasin Firefox, de sorte que cela dépend de vos administrateurs.
Pourquoi les navigateurs permettent-ils cette fonction?
Parfois, vous souhaitez configurer un serveur de confiance sans que tous les documents d'obtention d'un certificat signé par une CA publique ou que vous souhaitez faire du développement ou des travaux de test. Dans ces cas, vous devez maîtriser exactement quels certificats et cases de confiance en votre confiance.
Il semblerait presque plus judicieux de désactiver complètement HTTPS que de permettre un tel sens de la sécurité. N'est-ce pas un problème de sécurité majeur - que le navigateur accepte des certificats apparemment légitimes, même s'ils ne sont pas ceux fournis par les sites Web?
C'est plus un problème avec vos administrateurs contrôlant votre sécurité qu'un problème de navigateur. Pensez-y de cette façon: vous n'exécutez pas Firefox, vous exécutez un programme de navigateur fourni par vos administrateurs qui font ce qu'ils veulent.