The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Squid ssl_bump и безопасность."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Разное)
Изначальное сообщение [ Отслеживать ]

"Squid ssl_bump и безопасность."  –1 +/
Сообщение от Catvoyager (ok) on 08-Ноя-15, 05:37 
Допустим, в целях безопасности есть необходимость в фильтрации ssl трафика и мы решаем использовать ssl_bump на Сквиде. Генерим ключевую пару с самоподписанным сертификатом и добавляем наш CA сертификат во всё что можно на юзерских машинах. При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться на наши левые сертификаты и строка адреса всегда будет "зелёной". И тут наш пользователь заходит на фишинговый HTTPS ресурс с левым сертификатом...
Вопрос в том, как себя поведёт при этом Squid - он сгенерит ключевую пару для запрашиваемого домена с помощью своей ключевой пары и пользователь увидит "зелёный замочек", подумает, что всё ОК и попытается расплатится на нём своей платёжной картой (со всеми вытекающими) или всё-таки есть возможность, к примеру подключить к ssl_bump CAbundle (например https://raw.githubusercontent.com/bagder/ca-bundle/master/ca...), настроить запросы к CRL/OCSP, включить проверку валидности сертификата сайта и, в случае невозможности проверки, допустим передавать конечному пользователю оригинальный сертификат или подсовывать просроченный, на который браузер будет ругаться? Иначе теряется весь смысл в использовании PKI и вместо повышения безопасности мы получаем прямо противоположный эффект.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Squid ssl_bump и безопасность."  +1 +/
Сообщение от pavlinux (ok) on 10-Ноя-15, 02:51 
> При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться
> на наши левые сертификаты и строка адреса всегда будет "зелёной".

Кто те сказал, что они будут зелёные?

http://i75.fastpic.ru/big/2015/1110/b4/5168018fb85971d9b305e...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid ssl_bump и безопасность."  –1 +/
Сообщение от Мясо on 11-Ноя-15, 01:16 
А с чего бы не быть зеленым? У Вас в картинке "не зеленый" потому что используется (уже) ненадежный SHA1.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Squid ssl_bump и безопасность."  +1 +/
Сообщение от pavlinux (ok) on 11-Ноя-15, 05:24 
> А с чего бы не быть зеленым?

Ну попробуй с ssl_bump зайти на фейсбук.
А ещё весело, когда SSL сайт делает кроссдоменные коннекты на обычный HTTP.
А еще если кросс домены и один из них с "недоверенным" сертом, зелёнка сразу исчезает.
И ваще веселуха, если зоопарк из всего перечисленного и сервак в CDN  :D

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Squid ssl_bump и безопасность."  +1 +/
Сообщение от Мясо on 11-Ноя-15, 01:26 
RTFM, параметр sslproxy_cert_error - http://www.squid-cache.org/Doc/config/sslproxy_cert_error/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру