On Sun, Dec 8, 2013, at 19:48, Surya ARBY wrote: > C'est pourtant le principe de fonctionnement des firewalls palo alto qui > font du MITM SSL avec des certificats signés par la PKI interne. > > Le 08/12/2013 19:26, Kavé Salamatian a écrit : > > 2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers > > une destination en dehors de son réseau. Il peut décider de bloquer ce > > traffic, mais le décrypter avec un certificat « fake » c’est du piratage > > caractérisé et je suis sur qu’une ribambelle de lois de s’appliquent (pas > > le temps de les chercher).
Le fait que c'est techniquement possible ne veut pas dire qu'il faut faire ca. Autre les aspects juridiques que Kave a deja evoque plus haut, il y a l'aspect "confiance" dans la chaine de certification qui est attaque par des tels procedures. Bref si on a des "problemes" avec l'utilisation du SSL: - on a la clef prive de la destination et on fait ce qu'on veut avec le traffic (generalement valable uniquement pour les sites internes) - on regarder ce qu'on peut pour prendre une decision (accept ou block). Generallement ca se limite aux donnees presentes dans le certif (CN, signed by, O/OU, date d'expiration) parfois un peu plus (HTTP_Host si SNI), mais ca ne concerne jamais traffic crypte. - on prend la decision de bloquer ou non uniquement sur des criteres non-lies au payload (IP dest, port TCP, ....) La MITM SSL , il faut eviter de l'utiliser, meme s'il y a de plus en plus de constructeurs qui la proposent. Imagine juste ce que ca peut donner si "pour le bien du client" les FAI se mettent a faire ca. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
