ここから本文です

フォワード プロキシサーバーのSSLについて教えください。社内ネットワークのセキ...

アバター

ID非公開さん

2018/12/2113:24:23

フォワード プロキシサーバーのSSLについて教えください。社内ネットワークのセキュリティ対策でSSLの可視化(復号化)などを行うケースについてです。

事前にクライアントとプロキシサーバーに自己証明書をいれて、
https で外部のウェブサイトを閲覧すると、
クライアントのブラウザで自己証明書をつかっていることがわかると思います。

これを自己証明書使っているとわからないようにして、SSLの通信を可視化(復号化)することは可能ですか。★

例えば、クライアントとプロキシ間のSSLをベリサインで買ったものに変えるとか?(意味ない?)

ブラウザはIE11標準設定になります。
プロキシサーバーはなんでもOKです。
F5やオープンソース系でもOKです。

質問の意図は見れるのかと、見られてしまうか心配です。
F5とかだとポリシー設定でフィナンシャル系の通信だったりWindowsUpdateの通信は自己証明証を通さず、復号化もせず、そのまま透過していると思います。

補足すいません。補足します。

可視化の定義ですが、HTTPメソッドの全てのペイロードが見える状態です。例としてPOSTで送信するフォーム内容が復号化され読み取れる状態です。

自己証明書だとわからない状態の定義について
例をあげます。
Google検索すると、結果表示画面の証明書の発行者がGlobalSignのGoogle Internet Authority になる思います。ここが変わらずプロキシサーバで復号化できますか。

詳しくご教示いただき、ありがとうございます。

閲覧数:
136
回答数:
3

違反報告

ベストアンサーに選ばれた回答

ku0********さん

2018/12/2118:52:20

「これを自己証明書使っているとわからないようにして、SSLの通信を可視化(復号化)することは可能ですか。」
> 不可能です.
まぁ,普通の人はいちいちインストールしてある証明書を確認して自己証明書を使っているか確認しないので,(警告も出ないので) わからないとも言えますが.


「例えば、クライアントとプロキシ間のSSLをベリサインで買ったものに変えるとか?(意味ない?)」
>意味ないです.
証明書の中身にコモンネームというのがあります.これが通信相手と同じなのかを確かめますので,たとえ証明書自体が,クライアントが信頼しているCAから発行されたものであっても,そこで検証が失敗しブラウザは警告を出します.そのため意味ないのです.
もし,通信相手(例えばgoogle.comとか)をコモンネームに設定してある証明書がベリサインから発行してもらえるなら話は別ですが,それができたら証明書の仕組みが崩れてしまいますし,通信相手ごとに証明書をベリサインにつくってもらう必要があります.
中間証明局になれるような証明書をベリサインに発行してもらえればできますが、そのような証明書はプロキシサーバで復号につかうといった今回のような用途では発行してもらえませんし...


なのでムリですね.

  • アバター

    質問者

    ID非公開さん

    2018/12/2620:46:39

    発行元を変えずに復号化かつ中継はできないですよね。できたら恐怖ですよね。

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

アバター

質問した人からのコメント

2018/12/27 12:37:20

知りたかったご回答、解説でしたのでベストアンサーにしました。ほかの方々もご回答いただきありがとうございます。
とても勉強になりました。

ブラウザの表示ですが、警告をださなくとも、「プロキシサーバで復号化され、送信内容を記録されている可能性があります」等の表示ぐらいほしいものですよね。

ベストアンサー以外の回答

1〜2件/2件中

並び替え:回答日時の
新しい順
|古い順

osa********さん

2018/12/2222:32:28

技術的には可能ですよ。単純にルート証明書を自己証明書だと分からせないように工夫すれば良いだけです。フィンガープリントまで確認するような人はいないから、簡単にできると思います。当然、他の信頼された詐称ですから私文書偽造に該当すると思われます。

さらに、許可を取らずに検閲する行為は憲法違反なので、法的には不可能です。


>>ベリサインで買ったものに変えるとか?

ベリサインにルート証明書の秘密鍵を売ってもらえれば、技術的には可能です。こちらはさらに難易度は上がるでしょう。ルート証明書出なくても、完全なワイルドカード証明書(cn=*な証明書)を発行してもらえば、可能ですが難易度は同様です。


あと、可視化が中身の検閲を指さないならば、復号しなくても可視化は可能ですよ?

Server Name Indication、やり取りされる証明書の内容、宛先IPアドレス、この3つがあればフィッシングや、サイトのジャンルは見抜けます。

実務的には十分かと。

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

プロフィール画像

カテゴリマスター

sle********さん

2018/12/2221:13:21

事前にクライアントとプロキシサーバーに自己証明書をいれて、
https で外部のウェブサイトを閲覧すると、
クライアントのブラウザで自己証明書をつかっていることがわかると思います。

そんな事はありません。それに対応したプロキシを使って、一度ちゃんとクライアントにプロキシの証明書をルート証明として入れておけば、どこのサイトを見ても警告は出ませんので気が付かないでしょう。いちいち証明書を確かめる人はいません。

https://www.macnica.net/symantec/proxy.html/
http://nw.seeeko.com/archives/50924117.html

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo!知恵袋カテゴリ

一覧を見る

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。

不適切な投稿でないことを報告しました。

閉じる