Diferencia entre revisiones de «SSL»
Sin resumen de edición |
Sin resumen de edición |
||
| Línea 1: | Línea 1: | ||
=== ¿Que es SSL y para que se usa (En este proyecto)? === | |||
SSL es el estándar para la seguridad en internet. Squid Proxy necesita un certificado SSL para permitir acceso a paginas HTTPS. | SSL es el estándar para la seguridad en internet. Squid Proxy necesita un certificado SSL para permitir acceso a paginas HTTPS. | ||
| Línea 4: | Línea 5: | ||
Avanza a la [[SSL/Guia|guia]] > | Avanza a la [[SSL/Guia|guia]] > | ||
=== Problemas que nos vamos a encontrar con SSL === | |||
[[Archivo:Bloqueo-Adidas.png|miniaturadeimagen|525x525px|Una página (Adidas) con SSL pinning rechaza nuestra conexión porque hay "algo" en la cadena de certificados.]] | |||
==== Intercepcion de cadenas SSL y SSL Pinning ==== | |||
Incluso despues de "permitir" usar SSL, algunas aplicaciones web y sitios mas avanzados pueden usar tecnicas de "SSL-Pinning". Esto hace que estas paginas sean inaccesibles (Lado del servidor), aqui no se puede hacer nada por como esta hecho el servidor de SQUID Proxy y los navegadores modernos. | |||
Un navegador moderno trata de conectar primero por SSL, en vez de tratar de conectar a '''https://'''misitio.es, cuando esto falla, salta a '''http://'''misitio.es, pero es demasiado tarde, pues SQUID ya se ha "injectado" en la cadena de certificados, marcandonos como una "amenaza" a la seguridad del sitio/aplicacion. | |||
En teoria se podria configurar como las alternativas, una lista blanca que permita pasar sin usar el Proxy, pero esto no es posible practicamente por que es una condicion de carrera, donde SQUID empieza la intercepcion y la corta (Pero, de nuevo, es demasiado tarde). | |||
El metodo anterior funciona algunas veces, depende de como de sobresaturado este el proxy. Si esta muy saturado es posible que el cliente vuelva 'crea' que la página no soporta SSL, volviendo a su version HTTP, haciendo al proxy ver un nuestro HTTP en nuestra lista "blanca/permitida" y dejandolo pasar (Donde luego el sitio mejoraria la conexion para usar TLS, volviendo a HTTPS, pero la conexion ya esta establecida y esto no nos importa) | |||
Hay alternativas para saltar el SSL Pinning, pero no son "profesionales" ni mucho menos metas "alcanzables". | |||
Revisión actual - 11:27 28 dic 2025
¿Que es SSL y para que se usa (En este proyecto)?
SSL es el estándar para la seguridad en internet. Squid Proxy necesita un certificado SSL para permitir acceso a paginas HTTPS.
Usaremos SSL Bumping (Reemplazo)
Avanza a la guia >
Problemas que nos vamos a encontrar con SSL
Intercepcion de cadenas SSL y SSL Pinning
Incluso despues de "permitir" usar SSL, algunas aplicaciones web y sitios mas avanzados pueden usar tecnicas de "SSL-Pinning". Esto hace que estas paginas sean inaccesibles (Lado del servidor), aqui no se puede hacer nada por como esta hecho el servidor de SQUID Proxy y los navegadores modernos.
Un navegador moderno trata de conectar primero por SSL, en vez de tratar de conectar a https://misitio.es, cuando esto falla, salta a http://misitio.es, pero es demasiado tarde, pues SQUID ya se ha "injectado" en la cadena de certificados, marcandonos como una "amenaza" a la seguridad del sitio/aplicacion.
En teoria se podria configurar como las alternativas, una lista blanca que permita pasar sin usar el Proxy, pero esto no es posible practicamente por que es una condicion de carrera, donde SQUID empieza la intercepcion y la corta (Pero, de nuevo, es demasiado tarde).
El metodo anterior funciona algunas veces, depende de como de sobresaturado este el proxy. Si esta muy saturado es posible que el cliente vuelva 'crea' que la página no soporta SSL, volviendo a su version HTTP, haciendo al proxy ver un nuestro HTTP en nuestra lista "blanca/permitida" y dejandolo pasar (Donde luego el sitio mejoraria la conexion para usar TLS, volviendo a HTTPS, pero la conexion ya esta establecida y esto no nos importa)
Hay alternativas para saltar el SSL Pinning, pero no son "profesionales" ni mucho menos metas "alcanzables".
