我的校园最近安装了Fortigate 防火墙并开始伪造 https 证书。例如,证书似乎无效,内容如下:“Google.com;已由 Fortinet CA 验证”
有没有办法可以加密 https 流量,使其对防火墙不可见,但仍然同样安全。
答案1
这是中间人攻击,你的 WWW 浏览器告诉你发生了这种情况。中间人是你校园的 IT 部门。几乎可以肯定,这个问题还没有得到“解决”。中间人只是利用了 xyr 的特权地位作为IT 部门指示您的计算机不再警告您有关 SSL 流量被拦截。
如今,许多企业级防火墙都采用这种做法。它有各种名称,如“SSL 代理”、“SSL 检查”、“HTTPS 检查”、“HTTPS 内容检查”等等。第一种是最准确的,因为这种做法不仅适用于加密的 HTTP。防火墙也将其应用于其他加密协议,包括加密的 SMTP、IMAP、POP 和 FTP。
简而言之,防火墙正在执行加密设计用来防范的操作:拦截您与世界之间的邮件、WWW 和 FTP 流量,对其进行解密、读取并可能进行更改,然后重新加密。
在正常情况下,正如您所看到的,您的 WWW 浏览器会发现这一点并发出警告。
因此运行此类防火墙的人所做的就是强制增加一个额外的证书颁发机构进入你的机器,进入你的 WWW 浏览器的列表值得信赖证书颁发机构。您的 WWW 浏览器看到您面对的防火墙部分使用的证书是由这个强加给您的受信任的证书颁发机构签名的,并且认为一切都没有问题。
这种强制措施是在公司设置中通过组策略将额外的受信任的证书颁发机构部署到所有公司计算机上来实现的。
如果这不可行,可以采用的替代方案是,组织从受信任的根证书颁发机构购买签名证书颁发机构,并使用该机构对防火墙发送给您的 WWW 浏览器的所有随机数证书进行签名。同样,您的浏览器会看到一条正确的证书链,该链指向其列表中的受信任的根证书颁发机构之一,并认为一切正常。
在这两种情况下,您的所有 WWW、邮件、FTP 和其他看似安全的流量实际上都已被校园 IT 部门查看、读取甚至可能更改(如果它出于某种原因决定不喜欢该内容),以至于在外行人看来,在 WWW 浏览器及其同类浏览器中寻找漂亮的“锁”图标,一切似乎都是安全的。
进一步阅读
- 向组策略对象添加受信任的根证书颁发机构. 2005-01-21. TechNet. 微软公司。
- 技术提示:如何启用深度内容检查. 2013-08-20. Fortinet 知识库. FD30586.
- 技术说明:在 Internet Explorer 8 (IE8) 中导入 FortiGate SSL 代理证书,以便在 SSL 检查中进行解密. 2011-12-21. Fortinet 知识库. FD32404.
- 规划 HTTPS 检查. 2009-11-15. TechNet. 微软公司。
- 什么是 HTTPS 内容检查?. 2012-07-12. NT 安全。
- 如何在 Astaro 安全网关上使用您自己的 HTTPS 代理 CA 证书. 2012-05-08. Sophos 知识库. 115592.