cooper051 29 окт 2017 в 12:46

2.Check Point на максимум. HTTPS-инспекция

6 мин

21K

Блог компании TS SolutionИнформационная безопасность*Системное администрирование*Антивирусная защита*Сетевые технологии*

Туториал

Комментарии 15

Cobolorum 29 окт 2017 в 13:20

Почему на хабре так стала популярна тема соглядатыев?

elobachev 30 окт 2017 в 09:07

Хабр — большой, и, следовательно, в некотором смысле является зеркалом общества =) Несомненно, попытки влезть в ваш TLS с помощью sslstrip, корпоративного брендмауэра, BDFProxy или великого китайского ( или не очень китайского =)) — являются реальностью. Полагаю, это нужно знать, уметь обнаруживать, использовать ну и вообще жить с этим %)

Tishka17 29 окт 2017 в 16:15

Не могу не оставить это тут:
https://www.opennet.ru/opennews/art.shtml?num=45996

cooper051 30 окт 2017 в 09:10

Спасибо, интересная статья. Никогда не задумывался об этой стороне HTTPS-инспекции.

navion 30 окт 2017 в 08:35

что обновленная версия google chrome также начала использовать технологию certificate pinning для своих сервисов (youtube, google drive, gmail и так далее)

Вы где-то ошиблись в настройке: привязка отключается при подмене сертификата внутренним доверенным CA, а от HPKP вообще решили отказаться.

cooper051 30 окт 2017 в 09:08

К сожалению не ошибся. Вот похожая статья — www.sonicwall.com/en-us/support/knowledge-base/170505511410631

navion 30 окт 2017 в 09:26

У Adguard всё настроено правильно и там перехват работает:

cooper051 30 окт 2017 в 10:12

adguard тут не причем, просто версия вашего google chrome не использует Cetificate Pinning. Если посмотрите в видео, то там тоже гугл заработал с подменой сертификата. В последнем обновлении Chrome тоже не обнаружил этой фичи. Видимо экспериментируют пока в Google с данной технологией.

navion 30 окт 2017 в 11:51

Видимо вы не разбираетесь в том о чём пишете.

HPKP сделана для защиты от несанкционированного выпуска сертификатов публичными CA и привязка там идёт не к серийному номеру, а к цепочке CA для FQDN или публичному ключу. Она работает одинаково в Chrome и FF с появления в 2014-2015 году.

В Chrome 61 добавили Expect-CT, но и там проверка выключается для сертификатов выданных приватными CA.

cooper051 30 окт 2017 в 12:44

Видимо вы не понимаете что такое certificate pinning.

«If the serial number of the certificate used to create the HTTPS connection back to Google does not match the „pinned“ certificate serial number, the connection is rejected. „

-1

navion 30 окт 2017 в 13:01

Ещё раз: это всё работает только для цепочки с 'publicly trusted root'.

navion 30 окт 2017 в 10:07

Про исключение для приватных CA прямо написано в FAQ.

elobachev 30 окт 2017 в 09:40

Целесообразно отключать инспекцию TLS еще и для ряда относительно доверенных URL-ов, таких как цетры загрузки обновлений микрософтовских и других операционных систем, и т.д. Иначе ресурсы даже весьма жирного чекпоинта исчерпываются =)

cooper051 30 окт 2017 в 10:12

Да, хорошее замечание.

gx2 30 окт 2017 в 11:06

Декодировать ролики ютьюба тоже весьма накладно на PaloAlto.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий