Bonsoir, NetASQ a cette fonctionnalité, et de plus est un produit bien Français. Purement techniquement parlant, cette technique peut être pratique pour garder l'aspect SSL des communications, tout en soumettant à l'analyse antivirus/IDS les flux entrants, chose courante avec les appliances type NetASQ justement.
Comme déjà dit, le danger vient plutôt de le faire avec une AC certifiée et publique (par transitivité). Normalement on fait ça avec une AC interne et les certificats spécifiques sont déployés sur les postes. Après cela remet encore une fois sur le tapis la question de la liste à rallonge des autorités "de confiance" qui peuvent donner des certificats pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas précis, une fonctionnalité de type restriction à *.gouv.fr sur l'IGC de l'administration aurait été pertinente. Un nettoyage des magasins de certificats des navigateurs est la seule solution à court terme, ça ou alors les éditeurs de navigateurs se mettent à implémenter les protocoles déjà proposés pour réduire la voilure niveau portes d'entrée dans le système des IGC (moins problable) Cordialement, Jean-Yves Faye Le 8 décembre 2013 20:08, Fabien Delmotte <fdelmot...@mac.com> a écrit : > Bonsoir, > > Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un > problème de configuration qu’autre chose. > > Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur > le sujet avec le comment faire et son contraire), mais cela fonctionne sans > problème Technique dans les autres pays. > J’ai personnellement installé plusieurs configuration en dehors de la > France sans problèmes techniques. > > Cordialement > > Fabien > > Le 8 déc. 2013 à 19:48, Surya ARBY <arbysu...@yahoo.fr> a écrit : > > > C'est pourtant le principe de fonctionnement des firewalls palo alto qui > font du MITM SSL avec des certificats signés par la PKI interne. > > > > Le 08/12/2013 19:26, Kavé Salamatian a écrit : > >> 2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau > vers une destination en dehors de son réseau. Il peut décider de bloquer ce > traffic, mais le décrypter avec un certificat « fake » c’est du piratage > caractérisé et je suis sur qu’une ribambelle de lois de s’appliquent (pas > le temps de les chercher). > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
