HTTPS denetimi ve TLS sertifikaları
Şu kavramın etrafına sarılırken bazı zorluklar yaşıyorum:
CheckPoint gibi bir NextGen Güvenlik Duvarında (NGFW) HTTPS incelemesi (giden) etkinleştirildiğinde, NGFW'ye bir sertifika yüklenmelidir. NGFW'nin sertifikasına "güvenebilmek" için bu sertifikaların (veya en azından kök / ara seviyenin) istemcilere itilmesi veya yüklenmesi gerekir.
Örneğin, bir tarayıcı sertifikanın Konusunun (NGFW'de yüklü) istenen web sitesinin Alan adı / URL'si ile eşleşmediğini görürse, HTTPS denetimi nasıl başarılı olabilir?
Kısaca: NGFW'nin sertifikası, istemci tarafından CA düzeyinde güvenilir olarak görülse de, yine de ulaşması amaçlanan sunucuya bağlı olmadığını görür ve bu nedenle bir MITM saldırısını tanır. Yoksa bir şey mi kaçırıyorum?
Yanıtlar
TLS müdahalesinde kullanılan sertifika bir sunucu sertifikası değil, bir CA sertifikasıdır. Yakalanan sunucunun kimliğini doğrulamak için kullanılmaz. Bunun yerine, ziyaret edilen her sunucu için dinamik olarak yeni bir sertifika oluşturulacak ve bu yeni sunucu sertifikası, araya giren vekillerin CA sertifikası tarafından imzalanacaktır.
İstemcide, dinamik olarak oluşturulan sunucu sertifikası olağan kontrollerden geçecektir, yani eşleşen konu, son kullanma tarihi vb. - tümü, özellikle orijinal site sertifikasının yerini alacak şekilde yaratıldığı için uygundur. CA proxy'leri istemciye güvenilir olarak açıkça içe aktarıldığı için güven zinciri de uyuyor.