Va dire ça à ma boite, c’est pas vraiment interdit en tout cas chez nous, après c’est moralement discutable.
Si une des conditions est remplie, un MITM est possible avec SSL, c’est tout.
Les CA, tu les contrôles pas vraiment, Microsoft avais laissé des CA pourris et personne n’avais rien vu.
Donc désolé mais bon c’est de la merde, sa protège pas vraiment et surtout si tu es dans mon réseau il y a d’autre chose que d’intercepter mes paquets, il y a encore bien pire à faire. Donc et toujours cela restera pour moi une protection qui sert à rien, gâche du réseau, complique les choses pour la plus part qui sont déjà perdu dans ces clés de chiffrement. (voir dernier article korben sur le logiciel qui chiffrait pas).
[quote=“madshiva, post:21, topic:6035, full:true”]
Si une des conditions est remplie, un MITM est possible avec SSL, c’est tout.
Les CA, tu les contrôles pas vraiment, Microsoft avais laissé des CA pourris et personne n’avais rien vu.
[/quote]Avoir un CA root obsolète ne signifie pas forcément MITM. Les CA tu les contrôles parfaitement, c’est justement ce qui permet à certains inconscients d’admin d’utiliser du MITM pour fliquer.
[quote=“madshiva, post:21, topic:6035, full:true”]Donc désolé mais bon c’est de la merde, sa protège pas vraiment et surtout si tu es dans mon réseau il y a d’autre chose que d’intercepter mes paquets, il y a encore bien pire à faire. Donc et toujours cela restera pour moi une protection qui sert à rien, gâche du réseau, complique les choses pour la plus part qui sont déjà perdu dans ces clés de chiffrement. (voir dernier article korben sur le logiciel qui chiffrait pas).[/quote]Ça ne gâche pas vraiment de réseau ?! ça ne complexifie pas l’utilisation (https au lieu de http), et si SSL est généralisé il n’y’aura pas grand chose d’autre à faire chez toi pour quelqu’un qui aurait pénétré ton réseau. (des DDoS ?)
Le seul “défaut” est une légère surcharge CPU pour chiffrer / déchiffrer. Mais bon à moins de parler d’un serveur Web avec plusieurs milliers de hits / heure c’est relativement anecdotique sur un intranet.
Au taf on rajoute le certificat racine de notre PKI dans le magasin Firefox des users avec certutil.exe et une bonne dose de scripts car Firefox c’est de la merde. Au moins Chrome s’appuie sur le magasin de l’OS et pas sur un truc propriétaire.
Qu’est-ce qui m’empêche alors de générer un certificat www.facebook.com à l’aide de ma PKI, de l’utiliser dans mon Firewall DPI et de servir les pages aux utilisateurs ?
Je n’ai jamais essayé remarque… mais à mon avis ça fonctionne sans lever d’alerte.
Si tu veux inspecter le traffic https tu n’as pas d’autre choix que de breaker le flux ssl. Inspecter ca ne veut pas dire fliquer ou abuser de ses privileges d’admin mais plutot analyse anti virus/malwares/sandbox etc. La plupart des attaques utilise le ssl pour crypter le download des composants additionnels s’où l’interet de le scanner. Si tu as une pki interne ca te permet de securiser ces echanges , si tu as correctement configure tout ca tu n’as pas acces à la clef privee et sans ca si ton niveau d’encryption est tres bon alors bon courage pour decrypter. Il y a une vieille presentation de Moxie à la blackhat … le createur de sslstrip qui explique tres bien le chainage des certificats. La meme feature peu etre detournee pour en plus de ton spoofing breaker le ssl. Il te faut juste un certificat intermediare signe par un ca trusted par le brower. A ne tester que chez toi ou avec mandat ecrit. Ce type d’attaque est tres bruyante et facilement detecable par les versions recentes des browsers.
