HTTPS 검사 및 TLS 인증서
Nov 04 2020
다음 개념에 대해 머리를 감싸는 데 어려움이 있습니다.
CheckPoint와 같은 NGFW (NextGen Firewall)에서 HTTPS 검사 (아웃 바운드)가 활성화되면 인증서가 NGFW에 설치되어야합니다. NGFW의 인증서를 "신뢰"하려면 이러한 인증서 (또는 최소한 루트 / 중간)를 클라이언트에 푸시하거나 설치해야합니다.
예를 들어, 브라우저가 인증서의 주체 (NGFW에 설치됨)가 요청 된 웹 사이트의 도메인 이름 / URL과 일치하지 않음을 확인하는 경우 어떻게 HTTPS 검사가 성공할 수 있습니까?
요컨대 : NGFW의 인증서가 CA 수준에서 클라이언트가 신뢰하는 것으로 간주 되더라도 도달하려는 서버에 연결되어 있지 않다는 것을 인식하므로 MITM 공격을 인식합니다. 아니면 내가 뭔가를 놓치고 있습니까?
답변
1 SteffenUllrich Nov 04 2020 at 03:24
TLS 차단에 사용되는 인증서는 서버 인증서가 아니라 CA 인증서입니다. 인터셉트 된 서버 자체를 인증하는 데 사용되지 않습니다. 대신 방문한 각 서버에 대해 새 인증서가 동적으로 생성되고이 새 서버 인증서는 인터셉트 프록시 CA 인증서에 의해 서명됩니다.
클라이언트에서 동적으로 생성 된 서버 인증서는 일반적인 검사 (예 : 일치하는 제목, 만료 등)를 거치게됩니다. 원래 사이트 인증서를 대체하기 위해 특별히 생성 되었기 때문에 모두 적합합니다. 프록시 CA가 클라이언트로 신뢰할 수있는 것으로 명시 적으로 가져 왔기 때문에 신뢰 체인도 적합합니다.