Exactamente ese es el problema cuando tú colocas el Proxy para hacer el ssl
interception y defines que lo haga con todo el tráfico cifrado ya no va a
importar de qué dominio venga porque Sencillamente él va a tomar esa conexión
la va desencriptar la va analizar y de vuelta la va a cifrar con su llave y te
la va a enviar como que es segura y que confíes en esa conexión con el
certificado que ya tú tienes instalado, siempre va a usar ese certificado para
devolverte la conexión como que está segura que de hecho está segura y
encriptada pero no validada con el certificado original No importa De qué
dominio venga la conexión lo que importa es que el Proxy va a estar esperando
esa conexión la va desencriptar y te la vas a volver con el certificado que ya
tú vas a tener instalado, ten en cuenta que tú primero debes de crear un root
certificate Con su respectiva llave pública y privada y luego a partir de esa
data generas el ca certificate esl que el cliente va a instalar en su
navegador.
este comportamiento es configurable tú puedes solamente hacer el ssl
interception para determinados dominios grupos de IP o usuarios pero una vez
aceptado el certificado no seguro brindado por el Proxy ya no importa cuántas
conexiones cifradas vengan siempre y cuando este declarado que se haga la
desencriptación para esos dominios Cuando vayas a verificar el certificado en
los dominios intersectados Te darás cuenta que el certificado que muestra es el
que el Proxy está usando y porque ya lo agregaste a la zona de confianza una
primera vez
On August 7, 2018 10:12:41 PM GMT-03:00, ATS <dmarc-noreply@xxxxxxxxxxxxx>
wrote:
Orlando estuve leyendo estas
paginashttp://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet
Entiendo que lo que hace squid en este caso es un ataque Man in the
Middle, segun el primer documento, explican como compilar squid con
BumpSsl. Algo similar hace Fiddler el cual es un software para web
debugging que utilizo con frecuencia.
Ahora de acuerdo con el segundo documento, es necesario que el cliente
instale un Root CA autogenerado por Squid en el navegador, el cual este
ultimo usaria para generar dinamicamente un certificado valido para
cada sitio.
Pero la parte que sigo sin entender es como un cliente que no instale
ese Root CA de Squid en su navegador/sistema, al aceptar un certificado
firmado por ese Root CA por ejemplo para www.google.com, puede ser
interceptado cuando intente navegar por ejemplo a www.facebook.com, sin
que vuelva a saltar la advertencia.