Pouvez proxy changement de certificat SSL?

J'ai remarqué un interessant chose. Chaque fois quand j'ai accès à une connexion SSL site comme chase.com dans mon entreprise. Le certificat SSL n'est pas un bien connu CA comme VeriSign, mais le service informatique de mon entreprise. Nous utilisons un proxy dynamique (je ne sais pas comment l'expliquer, mais nous n'avons pas besoin de le configurer dans IE->connexion de l'article pour être sûr) pour chaque accès à internet. Je me disais que le proxy modifie le certificat SSL de notre son propre certificat.
Ma conjecture: Chaque fois qu'une connexion SSL commencer, le proxy de prendre ma demande HTTPS, obtenir le certificat (appelons SSL_Chase, pour SSL et le symétrique de la clé pour le chiffrement des données) à partir du site web comme chase, modifier le certificat de notre propre certificat (appelons SSL_IT) et de l'envoyer avec le respose pour moi. - Je remplir le nom d'utilisateur et passowrd, ma machine à l'aide de SSL_IT à encrype mes données et notre proxy obtenir et unencrype. Puis le proxy encrype à l'aide de SSL_Chase et de les envoyer à la chasse. Si chasser pense que notre proxy, c'est moi et je pense que notre proxy est chase, à l'exception de la CE certificat n'est pas de chase (je pense que la plupart des utilisateurs ne s'en rendent compte). Cela signifie, CE département connaît tout de nous envoyer à chase chase et envoyez-les moi!!
Je me demandais si ma conjecture est possible, à partir de la connexion SSL algorithme de point de vue.
Espérons que quelqu'un peut me donner un indice.

Merci beaucoup!

zdnet.com/article/...

OriginalL'auteur Frank | 2011-05-01

  1. 8

    Il va sans doute comme ceci: vous avez de votre service informatique certificat un certificat racine de confiance sur votre ordinateur. Lorsque vous naviguez vers une adresse HTTPS, le proxy génère un certificat pour ce site à la volée, signé par le certificat de confiance sur votre site. Vous de communiquer avec votre proxy et proxy communique avec le vrai site. Les deux "jambes" du voyage sont sur SSL/TLS, de sorte que vous êtes sûr de hasard de l'homme du milieu, mais votre service informatique peut théoriquement afficher toutes les communications.

    c'est 100% impossible. Le proxy est pas en mesure de faire ce qui est décrit ici, sauf si elle a accès au service informatique de confiance du certificat de la clé privée, ce qui est encore plus rare, en effet, un prima facie faille de sécurité sur son propre. Plus probable que le proxy a son certificat SSL, j'.e est un point de terminaison SSL fiable à votre client, et a sa propre idée de qui serveurs externes sont de confiance.
    BTW, ne prenez pas mon mot pour lui - écouter proxy vendeurs. Voir la page 15, par exemple
    Avec respect, à la page 15 de ne pas dire qu'. Il est dit que le proxy a son de l'émetteur, qui doit être approuvé par le client pour éviter les popups. Ce n'est pas la même chose que ce que vous avez décrit, il me semble montants de pulvériser le département de la clé privée de tous sur la place.
    page 15 est assez clair. Ce que vous avez écrit ne l'est pas. Période.
    Corrigez-moi si je me trompe, mais si le proxy n'est pas le passage le serveur distant (chase) certificat, mais plutôt de l'émission d'un "émulé" certificat, puis il n'a pas d'importance si la procuration a accès à l'informatique du ministère de la clé privée. Le proxy peut tout simplement utiliser sa propre clé privée. Si oui, alors le proxy et le service informatique qui contrôle elle—peut lire de la demande et de la réponse des organismes passant par un texte clair.

    OriginalL'auteur On Freund

  2. 4

    C'est un classique "de l'homme du milieu", à partir d'un proxy. Il est de votre navigateur responsabilité de vous avertir que le certificat présenté ne correspond pas au site que vous visitez.
    Si vous utilisez IE, votre département informatique a probablement poussé le correspondant de CA pour vous comme autorité de certification de confiance, de sorte que votre navigateur fiducies automatiquement. Pour les autres navigateurs, en n'utilisant pas Windows Cert Store, il est également possible, mais un peu plus difficile à faire. En quelque sorte, une méfiance de l'utilisateur peut être amené à croire que l'information est transmise en direct SSL lien vers Chase, quand il ne l'est pas. Dans les deux cas, vous devriez toujours obtenir un navigateur attention, si la procuration a la fonction correspondante pour le CONNECTER verbe.

    OriginalL'auteur dawebber

  3. 0

    Oui, une procuration peut agir comme un Homme au Milieu.

    En supposant que le proxy du certificat est approuvé par le requérant de l'ordinateur
    Oui. Et dans ce cas, il semble que l'utilisateur est d'obtenir un cert. avertissement parce que le cert n'appartient pas à la web-site qui est en cours d'exploration. Vous devriez être en utilisant un proxy qui prend en charge le mode de connexion HTTP pour une navigation sécurisée
    Ma machine est donnée par notre département. Donc je suppose qu'IL installe le CA déjà lorsque j'arrive à la machine. Donc je ne vois pas d'avertissement.
    Oui, si la machine a été instrumenté, alors tous les paris sont éteints. En fait, ils pourraient même vous donner une entachée navigateur qui ne donne jamais un cert. erreur

    OriginalL'auteur dhruvbird