Proxy (Verständnis)Frage - TLS/SSL

[guest15032]

Zur Diskussion, die hier bezüglich TLS/SSL Aufbrechung geführt wurde, noch eine sehr aktuelle Ergänzung, siehe den Heise Artikel hier: https://www.heise.de/newsticker/meldung/US-CERT-warnt-vor-HTTPS-Inspektion-3660610.html

Gruß
Chris

[Oxygen61]

Hatte ich auch grade gelesen. Wär mal interessant das von Zuhause zu testen mit der dort angegebenen Webseite.
Hier auf Arbeit scheint alles i.O. zu sein. :)

Am Ende kommt es dann also auf die Implementation an.
Heißt: Weißt du nicht zu 120% was du tust, lass es lieber.
Auf jeden Fall ne schöne Erkenntnis, auch im Bezug auf Antiviren Software.

[monstermania]

Heißt: Weißt du nicht zu 120% was du tust, lass es lieber.

Mir würde es schon reichen, wenn ich immer 100%ig wüsste was ich genau tue!  ;)
Gerade im Firewallbereich sehe ich mich aber nur als ambitionierten Amateur frei nach dem Motto "my english is not the yellow from the egg but it goes".  ;D
Aber den Artikel fand ich auch erwähnenswert. Bestärkt mich nur darin auch weiterhin auf SSL-Interception zu verzichten.

[Oxygen61]

War nur um zu bekräftigen wie wichtig dieses Thema dann doch ist.  ;D

[fabian]

Schaut ganz so aus, als müssten wir hier beim Proxy nachbessern...

[fabian]

Und erledigt: https://github.com/opnsense/core/pull/1498/files

Scheinbar prüft LibreSSL die CRL nicht - wie ich das ausbessern kann, weiß ich nicht. Das wäre eigentlich Aufgabe der TLS-Bibliothek.

[JeGr]

Außer dem Artikel von heise kann ich dazu noch empfehlen:

https://www.linkedin.com/pulse/9-reasons-intercept-https-marnix-dekker
sowie Kris' Blog
http://blog.koehntopp.info/index.php/1280-10-reasons-not-to-do-https-interception/