[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Webwasher AG stellt weltweit erste Lösung zur Filterung von verschlüsseltem Web-Verkehr vor



Gert Doering <gert@greenie.muc.de>:
> On Tue, Mar 11, 2003 at 07:49:42PM +0100, Joerg-Olaf Schaefers wrote:

>> Webwasher AG stellt weltweit erste Lösung zur Filterung von
>> verschlüsseltem Web-Verkehr vor

> Interessant, ja.  Eigentlich duerfte es nicht gehen, denn selbst Loesungen
> die auf DNS-Verbiegung und/oder MITM basieren, scheitern beim SSL-Zertifikat
> des Servers -> Fehlermeldung im Client-Browser.

Die übliche Realisierung [*] sieht so aus, dass der Proxy als MITM
agiert und in den internen Clients ein CA-Zertifikat installiert wird,
zu dem der Proxy den secret key hat - dann kann er jeweils nach Bedarf
passende End-Entity-Zertifikate erzeugen, so dass die Browser
zufrieden sind.

Bei vielen MSIE-Installationen täte es statt eines richtigen
CA-Zertifikats wahlweise auch ein End-Entity-Zertifikat ausgestellt
von einer der ohnehin schon eingebauten CAs:

     http://www.securityfocus.com/archive/1/286290

("Internet Explorer SSL Vulnerability [...] Internet Explorer does not
check the Basic Constraints.")


[*] Dabei geht es nicht unbedingt um Filtern, sondern früher
    z.B. darum, einem Browser mit Export-Verschlüsselung (40 Bit)
    durch einen lokal installierten Proxy zu besserer Verschlüsselung
    zu verhelfen.

    Aber auch beim Filtern ist das Ganze nicht wirklich neu, im
    Zusammenhang mit Firewall-1 hat mir das jemand schon vor geraumer
    Zeit beschrieben.

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de