ネットワークにすでに承認済みのSSLプロキシがある場合、エンドユーザーはどのようにしてSSLスプーフィングの悪意のある試みを検出できますか?
私は、プロキシでHTTPS権限スプーフィングを有効にしている1つのクライアントのネットワークで作業しています。これにより、中間者攻撃を効果的に実行して、すべての送信暗号化トラフィックを解読できます。
HTTPSサイトに接続すると、ブラウザは、実際の証明書ではなく、会社のプロキシによって署名されたサイトの証明書を取得します。 ChromeおよびInternet ExplorerはWebサイトが安全である(すべて緑、警告なし)と言っていますが、Firefoxは安全ではないと言っています。SSLプロキシが設定されていれば、そうではありません。
ChromeおよびIEは、プロキシの証明書がGPOによって展開されているため、偽装された証明書を受け入れます。したがって、プロキシが偽装された証明書(自体)Webサイトの場合、ChromeおよびIEが有効であることを示します。
この環境で誰かが安全に閲覧することをどのように期待できますか?すべての証明書がプロキシによって署名されている場合、他のサードパーティによってWebサイトが偽装されていないことをどのように確認できますか? Firefoxがこれらの偽装された証明書を無視するように設定される時期が来るのではないかと心配しています。ブラウザ(Firefoxなど)がこれらの証明書を受け入れないようにするにはどうすればよいですか?
ブラウザーがこの機能を許可するのはなぜですか?このような誤った安心感を許可するよりも、HTTPSを完全に無効にするほうが賢明なようです。これは主要なセキュリティ問題ではありませんか?Webサイトから提供されたものではなくても、ブラウザは一見正当な証明書を受け入れますか?
証明書パトロールに興味があるかもしれません:
https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/
以前に確認した証明書を追跡し、途中で変更された場合に警告します。もちろん、最初から会社のルート証明書をインストールしないこともできます。
この環境で誰かが安全に閲覧することをどのように期待できますか?
あなたは本当にできない。公式のMITMプロキシがあり、それがネットワークでない場合は、ネットワーク管理者に見られたくないようにしないでください。個人アカウントを使用してサイトに接続するには、独自の個人接続を使用してください。
すべての証明書がプロキシによって署名されている場合、他のサードパーティによってWebサイトが偽装されていないことをどのように確認できますか?
プロキシ自体が、実際のWebサイトに接続するときに、構成されたCAのリスト(おそらくそれが実行されているOSのリスト)と照らし合わせて証明書の有効性をチェックすると仮定するのは公平だと思います。
Firefoxがこれらの偽装された証明書を無視するように設定される時期が来るのではないかと心配しています。ブラウザ(Firefoxなど)がこれらの証明書を受け入れないようにするにはどうすればよいですか?
Firefoxの無効な証明書に対する認識を高める傾向が常にあります。
Firefoxでは、[オプション]-> [詳細]-> [暗号化]-> [証明書の表示]-> [認証局]に移動して、特定のCAを無効にすることができます。次に、「信頼の編集」を使用します(またはCA証明書を削除します)。この機関にインストールされているCA証明書を見つける可能性があります。例外がある場合は、[サーバー]タブでも確認できます。
ブラウザーがこの機能を許可するのはなぜですか?このような誤った安心感を許可するよりも、HTTPSを完全に無効にするほうが賢明なようです。これは主要なセキュリティ問題ではありませんか?Webサイトから提供されたものではなくても、ブラウザは一見正当な証明書を受け入れますか?
信頼を確保するのが誰の責任かを誤解しています。ブラウザーは、信頼できるアンカーのリストを使用するためだけにあります。多くの場合、デフォルトのリストが付属していますが、信頼するCAのリストを確認するかどうかは、マシンの管理者(またはユーザー、あるいはその両方)が決定します。 (これには若干の例外があります EV証明書 ですが、それ自体に一連の問題がないわけではありません。)
どのCAが使用されているか疑問がある場合は、ロックアイコンまたは青/緑のバー(ブラウザーによって異なる)をクリックすると、セキュリティの詳細が表示されます。信頼できるネットワークで信頼できるマシンを使用して表示されるものと比較してください。
マシンにインストールされているCA証明書が信頼できない場合は、使用しないでください。より一般的に言えば、これはつまり、信頼できないマシンを使用しないことです。
この環境で誰かが安全に閲覧することをどのように期待できますか?
VPNなどの外部への安全な接続を作成できます。次に、この安全な接続を介してすべての要求をトンネルします。問題は、プロキシもVPNプロトコルを理解し、これを傍受する可能性があることです。 VPN証明書を正常なバージョンと比較すると、VPNプロキシを検出できます。 VPNでインターセプトされている場合は、プロキシが通過を許可し、インターセプトしない別のプロトコルを見つける必要があります。
すべての証明書がプロキシによって署名されている場合、他のサードパーティによってWebサイトが偽装されていないことをどのように確認できますか?
できません。プロキシを使用して接続します。安全にこれを行う場合と行わない場合がありますが、どちらの方法でも制御できません。
Firefoxがこれらの偽装された証明書を無視するように設定される時期が来るのではないかと心配しています。ブラウザ(Firefoxなど)がこれらの証明書を受け入れないようにするにはどうすればよいですか?
私の経験では、Firefoxは独自の証明書ストアを保持することにより、ユーザーにより詳細な制御を提供しています。 IE/EdgeとChrome=両方とも、組み込みのWindows証明書ストアを使用します。もちろん、管理者がFirefoxストアを変更する可能性があるため、管理者が何をするかに依存します。
ブラウザーがこの機能を許可するのはなぜですか?
場合によっては、パブリックCAによって署名された証明書を取得するためのすべての事務処理なしで信頼できるサーバーをセットアップしたい場合や、開発またはテスト作業を行いたい場合があります。これらの場合、信頼する証明書とCAを正確に制御する必要があります。
このような誤った安心感を許可するよりも、HTTPSを完全に無効にするほうが賢明なようです。これは主要なセキュリティ問題ではありませんか?Webサイトから提供されたものではなくても、ブラウザは一見正当な証明書を受け入れますか?
これは、ブラウザの問題よりも、セキュリティを制御する管理者の問題です。このように考えてみてください。Firefoxを実行しておらず、管理者が提供するブラウザプログラムを実行しており、管理者が望んでいることを実行しています。