Inspeksi HTTPS dan sertifikat TLS

Nov 04 2020

Saya mengalami beberapa kesulitan untuk memahami konsep berikut:

Ketika inspeksi HTTPS (keluar) diaktifkan pada NextGen Firewall (NGFW) misalnya CheckPoint, sertifikat harus diinstal pada NGFW. Sertifikat ini (atau setidaknya root / intermediate) perlu didorong atau diinstal pada klien agar dapat "mempercayai" sertifikat NGFW.

Bagaimana pemeriksaan HTTPS bisa berhasil jika, misalnya, browser melihat bahwa Subjek yang bersertifikat (diinstal di NGFW) tidak cocok dengan Nama Domain / URL situs web yang diminta?

Singkatnya: meskipun sertifikat NGFW dianggap dipercaya oleh klien pada tingkat CA, ia masih melihat bahwa itu tidak terhubung ke server yang dimaksudkan untuk dijangkau dan oleh karena itu mengenali serangan MITM. Atau apakah saya melewatkan sesuatu?

Jawaban

1 SteffenUllrich Nov 04 2020 at 03:24

Sertifikat yang digunakan dalam intersepsi TLS bukanlah sertifikat server, tetapi sertifikat CA. Ini tidak digunakan untuk mengautentikasi server yang dicegat itu sendiri. Sebagai gantinya, sertifikat baru akan dibuat secara dinamis untuk setiap server yang dikunjungi dan sertifikat server baru ini akan ditandatangani oleh sertifikat CA proxy yang mencegat.

Dalam klien, sertifikat server yang dibuat secara dinamis akan menjalani pemeriksaan biasa, misalnya pencocokan subjek, kedaluwarsa, dll. Semua cocok karena dibuat secara khusus sebagai pengganti sertifikat situs asli. Rantai kepercayaan juga cocok karena proxy CA secara eksplisit diimpor sebagai dipercaya ke klien.