Re: FreeBSD-basierter Firewall

From: Oliver Schneider <oliver(at)kobo24.de>
Date: Wed, 16 Jan 2013 21:59:36 +0100



Hallo,



Nein kann man nicht, die Pruefung des Zertifikats muss der Proxy vornehmen. Der Client kann das originale Zertifikat nicht sehen, der Proxy hat ja systembedingt nicht den dazugehoerigen Schluessel. 


Evtl gibt es eine Moeglichkeit, dass der Proxy bei einem nicht verifizierbaren Zertifikat selbst ein fuer den Client nicht verifizierbares Zertifikat nutzt und bei stimmigen Zertifikaten eben welche die on the fly erstellt und der eigenen CA signiert werden. Waere technisch machbar, aber gesehen habe ich das noch nicht. 



Gruss


Oliver



--
Gesendet von einem mobilen Endgerät. Entschuldigen Sie Kürze und Rechtschreibfehler.
Sent by mobile device. Apologies for typos and brevity.
----- Originalnachricht -----
Von: Rainer Duffner [mailto:rainer(at)ultra-secure.de]
Gesendet: Wednesday, January 16, 2013 09:16 PM Mitteleuropäische Zeit
An: de-bsd-questions(at)de.FreeBSD.org <de-bsd-questions(at)de.FreeBSD.org>
Betreff: Re: FreeBSD-basierter Firewall
Am 16.01.2013 um 20:48 schrieb "Bernhard(at)gtkx.de" <Bernhard(at)gtkx.de>:
> Hallo alle,
> 
> ich rate vom ssl "aufrechen" ab, denn, ssl soll eine sichere verbidung zwischen client und server garantieren. 
> 
> Der Anweder get also davon aus, dass ssl sicher ist. Bricht man das mun auf, tut man genau das was man eigentlich verhindern will. "eine man in the mittle attac"
> 
> ich hab heute im interner gesucht, einfach ist das nicht und in deutschland mit sicherheit nicht legal. Da steht man mit einem bein schon im knast.
Naja, innerhalb der Firma, unter Einbeziehung von Mitarbeitern und Betriebsrat dürfte es schon gehen.
So wie ich verstanden habe funktioniert das ja so, dass es auf der Firewall eine eigene CA gibt (die bei den Browsern im LAN als "Trusted" markiert ist) und die die Verbindungen "aufbricht" und gleich wieder neu verschlüsselt, mit dem Zertifikat der  CA.
Es wird dabei jeweils ggf. ein neues Zertifikat für den Hostnamen ausgestellt.
Kann man auf die Art überhaupt noch das Original-Zertifikat auf Gültigkeit untersuchen?
Es gibt ja auch einen Haufen selbst-signierte Zertifikate im Web, oder solche die aus anderen Gründen nicht mehr gültig sind (abgelaufen), wo man aber trotzdem eine Verbindung herstellen will.
Das SSL eh' überbewertet ist, steht natürlich auf einem anderen Blatt…
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 16 Jan 2013 - 21:59:03 CET













search this site