[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [FYI] Webwasher AG stellt weltweit erste Lösung zur Filterung von verschlüsseltem Web-Verkehr vor
Gert Doering <gert@greenie.muc.de>:
> On Tue, Mar 11, 2003 at 07:49:42PM +0100, Joerg-Olaf Schaefers wrote:
>> Webwasher AG stellt weltweit erste Lösung zur Filterung von
>> verschlüsseltem Web-Verkehr vor
> Interessant, ja. Eigentlich duerfte es nicht gehen, denn selbst Loesungen
> die auf DNS-Verbiegung und/oder MITM basieren, scheitern beim SSL-Zertifikat
> des Servers -> Fehlermeldung im Client-Browser.
Die übliche Realisierung [*] sieht so aus, dass der Proxy als MITM
agiert und in den internen Clients ein CA-Zertifikat installiert wird,
zu dem der Proxy den secret key hat - dann kann er jeweils nach Bedarf
passende End-Entity-Zertifikate erzeugen, so dass die Browser
zufrieden sind.
Bei vielen MSIE-Installationen täte es statt eines richtigen
CA-Zertifikats wahlweise auch ein End-Entity-Zertifikat ausgestellt
von einer der ohnehin schon eingebauten CAs:
http://www.securityfocus.com/archive/1/286290
("Internet Explorer SSL Vulnerability [...] Internet Explorer does not
check the Basic Constraints.")
[*] Dabei geht es nicht unbedingt um Filtern, sondern früher
z.B. darum, einem Browser mit Export-Verschlüsselung (40 Bit)
durch einen lokal installierten Proxy zu besserer Verschlüsselung
zu verhelfen.
Aber auch beim Filtern ist das Ganze nicht wirklich neu, im
Zusammenhang mit Firewall-1 hat mir das jemand schon vor geraumer
Zeit beschrieben.
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de