[GTER] RES: PeerApp 5.6 - Atualizacaoo com HTTPS

Carlos Ribeiro cribeiro at telbrax.com.br
Wed Feb 11 21:59:16 -02 2015 

Tem uma alternativa teoria, acho que eles até devem ter tentando algo nessa
linha mas não acho que o Google aceite, pelos riscos envolvidos... De
segurança, e porque eles não precisam correr esse risco.

Se o PeerApp tivesse um acordo com o Google, poderiam servir um certificado
do próprio Google. Ou ainda, o Google podia dar redirect para um subdomínio
específico e compartilhar somente certificados válidos para essa subarvore.
Em contrapartida o cache repassaria os logs de acesso ao Google. Seria um
cache do Google rodando em plataforma de terceiros. A vantagem para o
Google seria aumentar o alcance da sua CDN a custo zero. Em teoria
funciona, mas como negócio é quase impossível de fechar.

Carlos Ribeiro
Em 11/02/2015 21:41, "Rafael Koike" <koike.rafael at gmail.com> escreveu:

> Márcio,
>
> Para a Peerapp fazer uma interceptação do HTTPs ela precisaria agir como um
> MITM (Man-In-The-Middle) interceptando o handshake SSL e enviando para o
> usuário um certificado assinado por ela.
>
> Só ai já começa um problema difícil de resolver pois cada computador ou
> dispositivo móvel do usuário possui uma lista de CA (Autoridades
> Certificadoras) confiáveis e quando um site como YouTube, Google,
> Microsoft, Itau, etc. é acessado a autoridade certificadora é confiável por
> parte da estação e a comunicação é estabelecida.
> Se a Peerapp interceptar a comunicação e enviar um certificado próprio o
> navegador do usuário já iria acusar como pagina não confiável.
> Também você não consegue comprar de uma Certsign, COMODO ou SERASA um
> certificado desse porque esse não é um certificado de servidor, mas sim um
> certificado de CA!
>
> Então a unica situação viável em que se intercepta HTTPS/SSL é em empresas
> onde o equipamento usa um certificado auto-assinado ou assinado por uma CA
> interna e ai a empresa distribui isso em todas as estações dentro da pasta
> de Autoridades Certificadores Raiz (Root Certificate Authorities)
>
> Fora isso em muitos casos o usuário utiliza navegadores como Firefox que
> tem uma base de dados de CA separada o que aumenta ainda mais a dificuldade
> de se configurar uma solução de interceptação SSL.
>
>
> Em resumo, as chances de você instalar um cache transparente com
> interceptação SSL são nulas!
> Só funcionaria se você tivesse condição de distribuir a CA do appliance
> para todas as maquinas de forma que elas confiassem nesse certificado e
> isso só vejo acontecer dentro de empresas.
>
> Obs: Se a Peerapp fizer isso o usuário irá saber disso quando ele acessar
> site X ou Y via HTTPS e o certificado tiver sido emitido por uma CA
> diferente.
>
>
> Abs,
> Rafael M. Koike
>
>
> Em 10 de fevereiro de 2015 22:57, Márcio Elias Hahn do Nascimento <
> marcio at sulonline.net> escreveu:
>
> >
> >
> > Quem começou esse tópico foi eu a um bom tempo, e foi baseado
> > exatamente em uma publicação em outro fórum de uma suposta representante
> > de vendas (ninguém sai anunciando um produto se não quiser vendê-lo
> > certo?) publicando explicitamente que a dita versão teria "cache de
> > HTTPS".
> >
> > Justamente por achar um tanto quanto absurda essa afirmação,
> > ainda mais por parte de uma empresa como a PeerApp é que abri este
> > tópico, buscando justamente a veracidade destas informações.
> >
> > Mais pelo
> > decorrer do assunto ficou claro que eles não farão isso (pelo menos não
> > agora), mais sim como o Rubens citou, provavelmente tentarão forçar o
> > tráfego iniciado em HTTP no youtube a continuar em HTTP não
> > transformando-se em HTTPS.
> >
> > Somente para reforçar o que o colega falou,
> > também não seria cliente de um provedor que fizesse cache de protocolo
> > HTTPS.
> >
> > ---
> >
> > Att
> >
> > Márcio Elias Hahn do Nascimento
> > (48) 8469-1819 /
> > 3524-0700 - marcio at sulinternet.net
> > GERÊNCIA DE RECURSOS DE TIC - Sul
> > Internet [2]
> >
> >  [2]
> >
> > Em 10/02/2015 19:54, Rubens Kuhl escreveu:
> >
> > >
> > 2015-02-11 1:33 GMT+08:00 Soares <soares at tecnetce.com.br>:
> > >
> > >> Eu não
> > quero ser cliente de uma provedor que tem este função no HTTPS. FAKE no
> > certificado
> > >
> > > Notar que o rumor é de apenas evitar o redirecionamento
> > do Youtube para
> > > HTTPS, e não de interceptar o HTTPS.
> > >
> > > Rubens
> > >
> > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter [1]
> >
> >
> >
> > Links:
> > ------
> > [1] https://eng.registro.br/mailman/listinfo/gter
> > [2]
> > http://www.sulinternet.net
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list