Salut, Déchiffrer du TLS (SSL, c'est tabou, on en viendra tous à bout), c'est toujours une entreprise risquée. Il n'y a (à ma connaissance) pas d'option éthiquement acceptable dans ce domaine, à moins d'avoir le consentement informé de toutes les parties concernées.
Donc soit le WAF a la clé privée du serveur et peut le > déchiffrer/rechiffrer à la volée, Ce n'est pertinent que dans les cas où la communication est chiffrée avec la clé publique du serveur derrière le WAF. Tu compromets donc le sécurité des communications de TOUTES les machines contactant le serveur de façon chiffrée. Dans ce cas autant se faire directement passer pour le serveur destination interne dès le début (ça sera plus facile au niveau de la gestion des clés). > ou le WAF possède un serveur SSL (celui > que le client voit) il décrypte les informations et les renvoient au > travers d'une connexion sécurisée ou non. > Là, le WAF se fait passer (MITM) pour le serveur destination externe (e.g. mabanqueenligne.com) en présentant une *fausse* clé publique. *Attention* : si l'entité en charge du certificat X.509 du serveur destination externe emploie un mécanisme d'audit (i.e. Google + Chrome) gare aux répercussions, car il va vite se rendre compte qu'une entité non autorisée se fait passer pour lui. > Sachant que si on opte pour la première solution cela voudrait dire que > le WAF possède toutes les clées SSL des clients derrières, personnellement > je suis pas bien fan de l'idée ( votre opinion? ) > Si les utilisateurs finaux sont d'accords, ça peut passer, mais il me semble qu'il y a tout de même certaines communications qu'on ne doit pas déchiffrer (à vérifier), à moins d'être habilité de ce pouvoir par le législateur (no troll intended). Cordialement, Nathan ANTHONYPILLAI --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
