[GTER] RES: PeerApp 5.6 - Atualizacaoo com HTTPS

Rafael Koike koike.rafael at gmail.com
Wed Feb 11 21:23:35 -02 2015 

Márcio,

Para a Peerapp fazer uma interceptação do HTTPs ela precisaria agir como um
MITM (Man-In-The-Middle) interceptando o handshake SSL e enviando para o
usuário um certificado assinado por ela.

Só ai já começa um problema difícil de resolver pois cada computador ou
dispositivo móvel do usuário possui uma lista de CA (Autoridades
Certificadoras) confiáveis e quando um site como YouTube, Google,
Microsoft, Itau, etc. é acessado a autoridade certificadora é confiável por
parte da estação e a comunicação é estabelecida.
Se a Peerapp interceptar a comunicação e enviar um certificado próprio o
navegador do usuário já iria acusar como pagina não confiável.
Também você não consegue comprar de uma Certsign, COMODO ou SERASA um
certificado desse porque esse não é um certificado de servidor, mas sim um
certificado de CA!

Então a unica situação viável em que se intercepta HTTPS/SSL é em empresas
onde o equipamento usa um certificado auto-assinado ou assinado por uma CA
interna e ai a empresa distribui isso em todas as estações dentro da pasta
de Autoridades Certificadores Raiz (Root Certificate Authorities)

Fora isso em muitos casos o usuário utiliza navegadores como Firefox que
tem uma base de dados de CA separada o que aumenta ainda mais a dificuldade
de se configurar uma solução de interceptação SSL.


Em resumo, as chances de você instalar um cache transparente com
interceptação SSL são nulas!
Só funcionaria se você tivesse condição de distribuir a CA do appliance
para todas as maquinas de forma que elas confiassem nesse certificado e
isso só vejo acontecer dentro de empresas.

Obs: Se a Peerapp fizer isso o usuário irá saber disso quando ele acessar
site X ou Y via HTTPS e o certificado tiver sido emitido por uma CA
diferente.


Abs,
Rafael M. Koike


Em 10 de fevereiro de 2015 22:57, Márcio Elias Hahn do Nascimento <
marcio at sulonline.net> escreveu:

>
>
> Quem começou esse tópico foi eu a um bom tempo, e foi baseado
> exatamente em uma publicação em outro fórum de uma suposta representante
> de vendas (ninguém sai anunciando um produto se não quiser vendê-lo
> certo?) publicando explicitamente que a dita versão teria "cache de
> HTTPS".
>
> Justamente por achar um tanto quanto absurda essa afirmação,
> ainda mais por parte de uma empresa como a PeerApp é que abri este
> tópico, buscando justamente a veracidade destas informações.
>
> Mais pelo
> decorrer do assunto ficou claro que eles não farão isso (pelo menos não
> agora), mais sim como o Rubens citou, provavelmente tentarão forçar o
> tráfego iniciado em HTTP no youtube a continuar em HTTP não
> transformando-se em HTTPS.
>
> Somente para reforçar o que o colega falou,
> também não seria cliente de um provedor que fizesse cache de protocolo
> HTTPS.
>
> ---
>
> Att
>
> Márcio Elias Hahn do Nascimento
> (48) 8469-1819 /
> 3524-0700 - marcio at sulinternet.net
> GERÊNCIA DE RECURSOS DE TIC - Sul
> Internet [2]
>
>  [2]
>
> Em 10/02/2015 19:54, Rubens Kuhl escreveu:
>
> >
> 2015-02-11 1:33 GMT+08:00 Soares <soares at tecnetce.com.br>:
> >
> >> Eu não
> quero ser cliente de uma provedor que tem este função no HTTPS. FAKE no
> certificado
> >
> > Notar que o rumor é de apenas evitar o redirecionamento
> do Youtube para
> > HTTPS, e não de interceptar o HTTPS.
> >
> > Rubens
> >
> --
> > gter list https://eng.registro.br/mailman/listinfo/gter [1]
>
>
>
> Links:
> ------
> [1] https://eng.registro.br/mailman/listinfo/gter
> [2]
> http://www.sulinternet.net
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list