Using free public WiFi - real risk vs BullS..t

[Marmot]

потому что у файрвола есть сертификат с бейсик констрикшеном, где написано СА = труе (именно для ССЛ инспекшн), т.е. файрвол является sub-CA authority по выпуску сертификатов и этот его сертификат выпущен официальной СА, которая присутствует в Винде по умолчанию.

ну-ну, попробуй таким образом сделать сертификат для google.com например, и посмотри, что получится...

Ну вот как наш ССЛ инспекшн работает:
П.С. извини - фром скратч делать - многа батонов надо жать
и картинко тоже приаттачить не могу, а своих вебсайтов у меня сейчас нет...

Код: Выделить всё

Common Name (CN)	www.google.com
Organization (O)	<Not Part Of Certificate>
Organizational Unit (OU)	<Not Part Of Certificate>

Common Name (CN)	checkpoint.ltsa.ca
Organization (O)	<Not Part Of Certificate>
Organizational Unit (OU)	<Not Part Of Certificate>

И это работает в Chrome? Без SCT ???

[Vovchik]

потому что у файрвола есть сертификат с бейсик констрикшеном, где написано СА = труе (именно для ССЛ инспекшн), т.е. файрвол является sub-CA authority по выпуску сертификатов и этот его сертификат выпущен официальной СА, которая присутствует в Винде по умолчанию.

ну-ну, попробуй таким образом сделать сертификат для google.com например, и посмотри, что получится...

Ну вот как наш ССЛ инспекшн работает:
П.С. извини - фром скратч делать - многа батонов надо жать
и картинко тоже приаттачить не могу, а своих вебсайтов у меня сейчас нет...

Код: Выделить всё

Common Name (CN)	www.google.com
Organization (O)	<Not Part Of Certificate>
Organizational Unit (OU)	<Not Part Of Certificate>

Common Name (CN)	checkpoint.ltsa.ca
Organization (O)	<Not Part Of Certificate>
Organizational Unit (OU)	<Not Part Of Certificate>

И это работает в Chrome? Без SCT ???

Уточню - и это работает без копирования корневого сертификата клиента на фаерволльный сервер? Стасик описывает не фаерволл а ССЛ прокси. В РТФМ сказано - надо поделиться своим частным ключем с прокси сервером. Так ЗиСкейлер работает.

[Vovchik]

Does https prevent man in the middle attacks by proxy server?

https://security.stackexchange.com/ques ... oxy-server

[Marmot]

Уточню - и это работает без копирования корневого сертификата клиента на фаерволльный сервер? Стасик описывает не фаерволл а ССЛ прокси. В РТФМ сказано - надо поделиться своим частным ключем с прокси сервером. Так ЗиСкейлер работает.

Без private CA cert в trust store на стороне клиента это все работать не будет...
А модификация trust store это достаточно стремная операция...

[Vovchik]

Вот похоже описание атаки по Стасику. Естественно:

Mitmproxy generates certificates on-the-fly to fool the client into believing that they are communicating with the server. To make the client trust newly forged certificates without raising warnings, it is necessary to manually register mitmproxy as a trusted CA with the device.


https://www.trustwave.com/en-us/resourc ... -sslsplit/

[Stanislav]

И это работает в Chrome? Без SCT ???

Уточню

Уточняю - я не могу скриншот вывесить...
Что такое SCT?

checkpoint.ltsa.ca - это мой сертификат - это Sub-CA - у меня есть ключ.
Посмотрите чейны в сертификатах - сейчас сертифицаты подписывают Sub-CA (Intermediate), а не ROOT CA - two tier certificate authority (по соображениям безопасности). Чтoбы подписать на лету мне нужен Sub-CA и его ключ, который у меня ессно есть, мне не нужен ROOT CA.
т.е. весь прикол в том, чтобы выпустить свой Sub-CA серт. и подписать его чем-то, что есть в Виндовском сторе.

Прокси - это когда прокся ничего с трафиком не делает, а мы инспектим и даже можем кой-чего почикать.

Работает, но... не работает...
Мы протестировали на Хроме/Эдже, Лисице и ИЕ - работает, но замедление заметно - выпуск сертификата на лету занимает 1-2 сек.
Нам сказали, надо взять молоток девайс побольше и мы в прошлом году это дело похерили.
Но как оказалось, тетко из секьюрити (она помешана на НИСТ) нихрена не забыла и мне этот таск поставили на этот финансовый год - часики уже тикают - пишу план имплементации.

[Marmot]

Уточняю - я не могу скриншот вывесить...
Что такое SCT?

https://en.wikipedia.org/wiki/Certificate_Transparency

т.е. весь прикол в том, чтобы выпустить свой Sub-CA серт. и подписать его чем-то, что есть в Виндовском сторе.

И как ты это сделаешь, если это не твой priavte CA?

[Stanislav]

Уточняю - я не могу скриншот вывесить...
Что такое SCT?

https://en.wikipedia.org/wiki/Certificate_Transparency

В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.

т.е. весь прикол в том, чтобы выпустить свой Sub-CA серт. и подписать его чем-то, что есть в Виндовском сторе.

И как ты это сделаешь, если это не твой priavte CA?

Я почему про Фортигейт говорю - там уже есть такой Sub-CA - выпущен ДиджиСертом - кстате, выпущен для Вай-Фая

[Stanislav]

it is necessary to manually register mitmproxy as a trusted CA with the device.

Кстате, для бесплатного вайфая обычно перед подключением показывают страничку со всякими лигал условиями - вот ее можно сделать на моем сертификате - да, пользователю покажется предупреждение, но в 90% случаях он нажмет акцепт сертификата - ему же хочеццо интернета на халяву
Вот еще один вектор.

[Marmot]

Уточняю - я не могу скриншот вывесить...
Что такое SCT?

https://en.wikipedia.org/wiki/Certificate_Transparency

В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.

Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...

[Stanislav]

Уточняю - я не могу скриншот вывесить...
Что такое SCT?

https://en.wikipedia.org/wiki/Certificate_Transparency

В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.

Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...

Стандартный АД сервис - АДСА - тупо из дистра Виндовз Сервера устанавливал.
Ну... я его по последней моде - two tiers сделал - у меня ROOT CA standalone, Sub-CA - domain members - может поэтому...
Но старая одноуровневая работала до осени прошлого года - когда там этот реквайремент ввели?

Ну... не суть - буду колупаться с таском, буду конкретно батоны нажимать...

[Marmot]

Уточняю - я не могу скриншот вывесить...
Что такое SCT?

https://en.wikipedia.org/wiki/Certificate_Transparency

В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.

Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...

Стандартный АД сервис - АДСА - тупо из дистра Виндовз Сервера устанавливал.
Ну... не суть - буду колупаться с таском, буду конкретно батоны нажимать...

Aaaa, вот оно как делается...
https://community.fortinet.com/t5/Forti ... a-p/270767
Значит с Маками оно работать прост не будет

Блин, твой АДСА и есть типичный private CA, просто винда сама себе сертификаты ставит...

Т.е. это работает только на винде, которая в твоем домене, в общем случае оно рабоатть не будет...

[Stanislav]

https://en.wikipedia.org/wiki/Certificate_Transparency

В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.

Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...

Стандартный АД сервис - АДСА - тупо из дистра Виндовз Сервера устанавливал.
Ну... не суть - буду колупаться с таском, буду конкретно батоны нажимать...

Aaaa, вот оно как делается...
https://community.fortinet.com/t5/Forti ... a-p/270767
Значит с Маками оно работать прост не будет

Богатенький Буратино Карабас-Барабас

[Marmot]

Богатенький Буратино Карабас-Барабас

Я там выше написал, оно и на винде не всякой будет работать, короче, пургу ты Стасик гонишь...

[Stanislav]

Т.е. это работает только на винде, которая в твоем домене, в общем случае оно рабоатть не будет...

Вовсе нет - любой комп работает и Линюх и Джава тоже!
Надо только рут и интермедиейт запихнуть в Виндовз сторе / Линукс /etc/pki сторе / cacerts в jre/lib/security.
У нас все аппы общается по ХТТПС, даже контейнеры и датабазе.