会社のSSLプロキシサーバーはどのように機能しますか?
多くの企業は、たとえばWebベースのトラフィックを傍受するためにネットワークプロキシを使用しています。
彼らの機能についていくつか質問があります。
1)会社でSSLの警告を見たことがありません。信頼できる証明書をプロキシからOSにインストールすることを疑っています(ブラウザーが別の証明書ストアを使用している可能性があるため、Firefox独自のものなど)。では、ブラウザの警告なしにどのようにトラフィックを遮断するのでしょうか。
2)各ホストにプロキシ証明書をインストールするとします。ホストが " https://google.com "に移動したい場合、証明書へのホスト名はプロキシではなく、グーグル。したがって、いずれの場合でも、SSL警告が表示されます。信頼できる証明書プロキシによって署名された証明書(googleホスト名など)を生成しますか?
会社でSSLの警告を見たことがない
SSLインターセプトがまったく行われたことを確認しましたか? Webサイトに直接SSL接続していることを確認するにはどうすればよいですか を参照してください。
では、ブラウザの警告なしにトラフィックをどのように遮断するのでしょうか?
SSLインターセプトプロキシは、プロキシと元のターゲットサーバー間のSSL接続と、プロキシとクライアント間の別のSSL接続を作成します。後者の接続では、プロキシCAによって署名された証明書が使用されます。これまでのところ、攻撃は古典的なSSL攻撃者であり、攻撃と「合法的」傍受の唯一の違いは、クライアントシステムがプロキシCAを明示的に信頼しているため、プロキシCAで署名された証明書も信頼することです。
信頼できる証明書をプロキシからOSにインストールすることはできないと思います(ブラウザーが別の証明書ストアを使用している可能性があるため、Firefoxには独自のものがあります)。
ブラウザーごとに異なるCAストアがある場合は、これらすべてにプロキシCAをインポートする必要があります。
ホストが " https://google.com "に移動したい場合、証明書へのホスト名はgoogleではなくプロキシのホスト名になります
いいえ。証明書の件名は元のホスト名(google.comなど)です。ただし、この証明書は、元のCAではなくプロキシCAによって署名されます。また、クライアントはプロキシCAを信頼し、ホスト名は証明書と一致するため、警告は発生しません。
プロキシの実際の実装は、組織によって異なります。 SSLエラーを削除するために会社の証明書が各ホストにインポートされる実装では、ディープパケットインスペクションについて話している可能性があります。次世代ファイアウォール( Palo Alto など)はこれをサポートしていますが、パケット検査を実行している場合はonlyです。
Proxy Serverは、SSL復号化を行う必要がないのではなく、ペイロードで分析を実行することなく、要求(および暗号化されたコンテンツ)を渡すだけです。これは通常、SSL警告を生成しません。