Inspection HTTPS et certificats TLS

Nov 04 2020

J'ai quelques difficultés à comprendre le concept suivant:

Lorsque l'inspection HTTPS (sortant) est activée sur un pare-feu NextGen (NGFW), par exemple CheckPoint, un certificat doit être installé sur le NGFW. Ces certificats (ou au moins la racine / intermédiaire) doivent être poussés ou installés sur les clients pour pouvoir «faire confiance» au certificat du NGFW.

Comment l'inspection HTTPS peut-elle réussir si, par exemple, un navigateur constate que le sujet du certificat (installé sur le NGFW) ne correspond pas au nom de domaine / URL du site Web demandé?

En bref: même si le certificat du NGFW est considéré comme approuvé par le client au niveau du CA, il voit toujours qu'il n'est pas connecté au serveur qu'il est destiné à atteindre et reconnaît donc une attaque MITM. Ou est-ce que je manque quelque chose?

Réponses

1 SteffenUllrich Nov 04 2020 at 03:24

Le certificat utilisé dans l'interception TLS n'est pas un certificat de serveur mais un certificat CA. Il n'est pas utilisé pour authentifier le serveur intercepté lui-même. Au lieu de cela, un nouveau certificat sera créé dynamiquement pour chaque serveur visité et ce nouveau certificat de serveur sera signé par le certificat CA des mandataires d'interception.

Dans le client, le certificat de serveur créé dynamiquement subira les vérifications habituelles, c'est-à-dire le sujet correspondant, l'expiration, etc. La chaîne d'approbation convient également puisque les mandataires CA ont été explicitement importés comme approuvés dans le client.