Sichere Überprüfung von SSL-Transaktionen mithilfe der SSL-Entschlüsselung
Symptom
CERT/CC hat kürzlich ein Papier "The Security Impact of HTTPS Interception"[1] veröffentlicht, in dem die Risiken der SSL-Inspektion erörtert werden. Die Publikation diskutiert die Kompromisse bei der Verwendung von SSL-abhören. US-CERT hat Warnungen[2][3] gesendet, in denen das CERT/CC-Papier hervorgehoben wird, das Kunden möglicherweise erhalten haben.
Der US-CERT Alert und das CERT/CC-Papier beschreiben Vermittler, die unsichere SSL/TLS-Parameter abhören und aushandeln, was sonst eine sichere Verbindung zwischen dem Client und dem Server wäre. Diese Ausgabe gilt nicht für die Mechanismen, die von Pan-OS zur Entschlüsselung von SSL/TLS-Sitzungen verwendet werden, da wir die Integrität kryptografischer Parameter, wie Sie vom Client und dem Server ausgehandelt werden, nicht ändern.
Environment
- Pan-OS
Resolution
Additional Information
verweis
- https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
- https://www.us-cert.gov/ncas/alerts/TA17-075A
- https://www.us-cert.gov/ncas/alerts/TA15-120A
Ressourcen
- Internet Gateway Best Practice Sicherheitsrichtlinie, Entschlüsseln von Datenverkehr für vollständige Sichtbarkeit und Bedrohungsinspektion
- Wie man einen OCSP-Responder konfiguriert
- PAN-OS® Administratorhandbuch, KONFIGURIEREN des SSL-Vorwärtsproxys
- PAN-OS® New Features Guide, Perfect Forward Secrecy (PFS) Support
- PAN-OS Web Interface Reference, Device > Certificate Management > Certificates
- Gewusst wie: implementieren und testen SSL-Entschlüsselung
- Wie man CRL und OCSP aus dem WebGUI und CLI aktivieren kann