LINUX.ORG.RU
ФорумAdmin

Прозрачное проксирование Squid HTTPS с купленным сертификатом?

 , , ,


2

3

Вопрос пока что исключительно в теоретической плоскости. Имеется Wi-Fi сеть, которую нужно жёстко контролировать и мониторить трафик. При этом потенциальные пользователи не отличаются интеллектуальными способностями, так что вариант с нормальным проксированием не прокатывает (не найдут на своих гаджетах, как это сделать). При этом прозрачное проксирование в режиме HTTPS по-сути имитирует MitM-атаку, что вынуждает добавлять ключ кальмара в ключницу устройства, что опять же, не вариант. Но при этом у организации есть официально купленный SSL-сертификат, который разрешили использовать в данных целях. Так вот, если его подпихивать при прозрачном проксировании, будут ли устройства клиентов жаловаться на сертификат?

официально купленный SSL-сертификат

На какой домен, на wildcard по всему корню что ли, лiл?

Deleted ()
Ответ на: комментарий от Deleted

На домен организации. То есть, без корневого оно не пойдёт, я верно понимаю?

Le_Raux ()

будут ли устройства клиентов жаловаться на сертификат?

они не будут жаловаться только на домены компании.

snaf ★★★★★ ()
Ответ на: комментарий от Le_Raux

есть!

1) snort/squid вроде тоже умеет dpi
2) импортировать ca сертификат всем пользователям
3) перестать следить за работодателями если они не работают с секретной инфой.

snaf ★★★★★ ()
Последнее исправление: snaf (всего исправлений: 1)
Ответ на: комментарий от Le_Raux

Нет никаких спецжелезок. Тебе никто не выдаст сертификат на произвольный сайт. Вообще никто, в принципе. Всё, что ты можешь сделать — выпустить самоподписанный сертификат, добавить его во все клиентские устройства, как доверенный центр и настроить MITM-атаку через этот сертификат.

Ещё можешь сделать SSLStrip атаку: не пускать никого на 443 порт, чтобы ходили только через 80 порт. Но это не будет работать, если веб-сайт отправит устройству HSTS-заголовок хоть раз (т.е. если устройство зайдёт на этот сайт мимо твоей прокси хоть раз). В принципе, наверное, 90% HTTPS-сайтов не отправляют этот заголовок. Но самые интересные, конечно, отправляют.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

SSLStrip

Любопытная идея. В том смысле, что у cameleo.ru точно такая же реализация (всё идёт только в незащищённом виде) и ругань на использование не SSL-подключения я там видел всего раз. Осталось понять, как её реализовать?

Le_Raux ()
Ответ на: комментарий от Le_Raux

Теперь не надо так заморачиваться. Вот статья http://habrahabr.ru/post/272733/. Сам по ней делал. Работает. Устройства не ругаются. Жаль только что в логах (а значит и в статистике) https сайты отображаются не по URL, а по IP

as_lan ★★ ()
Ответ на: комментарий от as_lan

Блин, спасибо огромное! Я и не надеялся, что Сквид когда-либо научится это делать.

Le_Raux ()
Ответ на: комментарий от Legioner

если веб-сайт отправит устройству HSTS-заголовок хоть раз

Для некоторых сайтов даже не нужно ждать HSTS заголовка, прямо в коде браузера зашиты списки:

https://chromium.googlesource.com/chromium/src/ /master/net/http/transport_se...

https://hg.mozilla.org/mozilla-central/file/tip/security/manager/ssl/StaticHP...

i-rinat ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.