HTTPS entschlüsseln?

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

Das geht nur, wenn der Proxy ein TLS-Proxy ist, der die Verbindung entschlüsselt. Genau genommen baust Du Deine verschlüsselte Verbindung nicht zur Suchmaschine auf, sondern zum Proxy. Der baut dann stellvertretend für Dich eine neue Verbindung zur Suchmaschine auf. So ein TLS-Proxy muss sorgfältig in der Netzwerkinfrastruktur integriert werden. Alle Endgeräte, die den Proxy nutzen sollen, müssen ein bestimmtes Zertifikat installiert haben. Zertifikate installieren sich nicht von alleine, sondern müssen mit Administrationsrechten installiert werden.

TLS-Proxys werden deshalb nur mäßig häufig eingesetzt, vorrangig in größeren Unternehmen. Ein Angriff mit einem solchen Proxy auf die Verschlüsselung ist kaum möglich, weil der Benutzer ohne das passende Zertifikat hässliche Zertifikatsmeldungen bekommt. Der Angriff fällt also auf.

Weil du dann vermutlich ein Root-Zertifikat des Proxybetreibers auf deinem Rechner hast. Der Traffic wird dort aufgebrochen, gescannt und dann wieder verschlüsselt. In der Regel ist der Traffic zu Banken etc davon ausgenommen.

Woher ich das weiß:Berufserfahrung

Ist das sowas wie ein TLS-Proxy?

0

Das geht nur wenn im System Software oder ein Wildcard Zertifikat installiert ist. So was kann aber schnell nach hinten los gehen und es wäre nicht das erste mal das irgendwelche Proxies oder Antivirus Programme Fehler in der validierung der echten Zertifikate haben. Das ist ein Sicherheits risiko, da der Browser nur das Zertifikat der Software oder der Middlebox sieht.

Aber normalerweise geht das nicht so einfach ohne Zugriff auf die Clients, du kannst zwar Domains blocken aber keine einzelnen Resourcen, wenn die Verbindung quasi "Ende zu Ende" mit https geschützt ist.

Ist das sowas wie ein TLS-Proxy?

0
@Bb4cm

Weiß nicht was Leute alles unter TLS-Proxy verstehen und was nicht, aber ja eigentlich ist es genau das, eben als forward proxy. Wichtig ist eben das der Proxy Server ein eigenes cert hat dem die Clients vertrauen damit das funktioniert.

1
Das geht nur wenn im System Software oder ein Wildcard Zertifikat installiert ist.

Kein Wildcard-Zertifikat, sondern ein Stammzertifikat/Root Certificate der vom Proxy verwendeten Zertifizierungsstelle. Das vom aufgerufenen Server ausgelieferte Zertifikat wird in der Regel neu signiert.

0
@franzhartwig

Naja es geht eben darum das im Ziel system ein Cert vorhanden ist welches vom Proxy genutzt werden kann um für beliebige domains Anfragen zu beantworten, wie das umgesetzt ist ist eigentlich zweitranging, aber ja zumindest manche Produkte machen das wohl so.

0
@BeamerBen
Naja es geht eben darum das im Ziel system ein Cert vorhanden ist welches vom Proxy genutzt werden kann um für beliebige domains Anfragen zu beantworten,

Das Zertifikat wird nicht genutzt, um Anfragen zu beantworten. Zum Stammzertifikat einer Zertifizierungsstelle gehört ein privater Schlüssel. Der wird genutzt, um Zertifikate zu signieren. Die Signatur wird mittels Stammzertifikat bzw. dem darin enthaltenen öffentlichen Schlüssel überprüft.

wie das umgesetzt ist ist eigentlich zweitranging, aber ja zumindest manche Produkte machen das wohl so.

Wie? Aus meiner Sicht ist ein Wildcard-Zertifikat nicht zielführend. Wenn ich www.google.de aufrufe, muss ich ein Zertifikat vorgelegt bekommen, welches auf www.google.de ausgestellt ist. Wie soll mir da ein Wildcard-Zertifikat helfen.

0

Was möchtest Du wissen?