[GTER] RES: PeerApp 5.6 - Atualizacaoo com HTTPS

Márcio Elias Hahn do Nascimento marcio at sulonline.net
Thu Feb 12 08:43:35 -02 2015


 

Rafael, tudo que vc citou já é de meu conhecimento, entende agora o
por que do meu espanto? rsrs 

---

Att 

Márcio Elias Hahn do
Nascimento
(48) 8469-1819 / 3524-0700 - marcio at sulinternet.net
GERÊNCIA
DE RECURSOS DE TIC - Sul Internet [2] 

 [2] 

Em 11/02/2015 21:23,
Rafael Koike escreveu: 

> Márcio,
> 
> Para a Peerapp fazer uma
interceptação do HTTPs ela precisaria agir como um
> MITM
(Man-In-The-Middle) interceptando o handshake SSL e enviando para o
>
usuário um certificado assinado por ela.
> 
> Só ai já começa um
problema difícil de resolver pois cada computador ou
> dispositivo móvel
do usuário possui uma lista de CA (Autoridades
> Certificadoras)
confiáveis e quando um site como YouTube, Google,
> Microsoft, Itau,
etc. é acessado a autoridade certificadora é confiável por
> parte da
estação e a comunicação é estabelecida.
> Se a Peerapp interceptar a
comunicação e enviar um certificado próprio o
> navegador do usuário já
iria acusar como pagina não confiável.
> Também você não consegue
comprar de uma Certsign, COMODO ou SERASA um
> certificado desse porque
esse não é um certificado de servidor, mas sim um
> certificado de CA!
>

> Então a unica situação viável em que se intercepta HTTPS/SSL é em
empresas
> onde o equipamento usa um certificado auto-assinado ou
assinado por uma CA
> interna e ai a empresa distribui isso em todas as
estações dentro da pasta
> de Autoridades Certificadores Raiz (Root
Certificate Authorities)
> 
> Fora isso em muitos casos o usuário
utiliza navegadores como Firefox que
> tem uma base de dados de CA
separada o que aumenta ainda mais a dificuldade
> de se configurar uma
solução de interceptação SSL.
> 
> Em resumo, as chances de você
instalar um cache transparente com
> interceptação SSL são nulas!
>funcionaria se você tivesse condição de distribuir a CA do appliance
>
para todas as maquinas de forma que elas confiassem nesse certificado
e
> isso só vejo acontecer dentro de empresas.
> 
> Obs: Se a Peerapp
fizer isso o usuário irá saber disso quando ele acessar
> site X ou Y
via HTTPS e o certificado tiver sido emitido por uma CA
> diferente.
>

> Abs,
> Rafael M. Koike
> 
> Em 10 de fevereiro de 2015 22:57, Márcio
Elias Hahn do Nascimento <
> marcio at sulonline.net> escreveu:
> 
>> Quem
começou esse tópico foi eu a um bom tempo, e foi baseado exatamente em
uma publicação em outro fórum de uma suposta representante de vendas
(ninguém sai anunciando um produto se não quiser vendê-lo certo?)
publicando explicitamente que a dita versão teria "cache de HTTPS".
Justamente por achar um tanto quanto absurda essa afirmação, ainda mais
por parte de uma empresa como a PeerApp é que abri este tópico, buscando
justamente a veracidade destas informações. Mais pelo decorrer do
assunto ficou claro que eles não farão isso (pelo menos não agora), mais
sim como o Rubens citou, provavelmente tentarão forçar o tráfego
iniciado em HTTP no youtube a continuar em HTTP não transformando-se em
HTTPS. Somente para reforçar o que o colega falou, também não seria
cliente de um provedor que fizesse cache de protocolo HTTPS. --- Att
Márcio Elias Hahn do Nascimento (48) 8469-1819 / 3524-0700 -
marcio at sulinternet.netGERÊNCIA DE RECURSOS DE TIC - Sul Internet [2] [2]
Em 10/02/2015 19:54, Rubens Kuhl escreveu:2015-02-11 1:33 GMT+08:00
Soares <soares at tecnetce.com.br>: 
>> 
>>>> Eu não
>> quero ser cliente
de uma provedor que tem este função no HTTPS. FAKE no certificado 
>>

>>> Notar que o rumor é de apenas evitar o redirecionamento
>> do
Youtube para HTTPS, e não de interceptar o HTTPS. Rubens --
> 
> --
>
gter list https://eng.registro.br/mailman/listinfo/gter [1]



Links:
------
[1] https://eng.registro.br/mailman/listinfo/gter
[2]
http://www.sulinternet.net



More information about the gter mailing list