Discussion :

[easyzik]

Bonjour,

Je me demandais comment se passait la sécurisation lors d'une requête HTTPS à travers un proxy ?

Quelles informations peut logger le proxy ?

Par exemple, j'appèle le page :
https://www.exemple.com/dossier/page.html

Le proxy sait forcément que je veux consulter le site www.exemple.com je suppose puisqu'il met le navigateur du client en relation avec lui.

Mais sait-il que je consulte la page /dossier/page.html ?

Quelles informations logue un proxy standard (type squid) lorsqu'une requête HTTPS est demandée ?

[pavicf]

Alors quelles informations sont loguées dans un proxy standard je ne sais pas, cela doit dépendre de la façon dont il est configuré.

Par contre il sait forcément quelle page tu consulte même en HTTPS, il faut bien qu'il contacte le serveur (donc il connaît le nom de domaine), mais il faut aussi qu'il sache quelle ressource tu demande au serveur (donc la page dans ton exemple).

Tu peux vérifier quelles infos circulent en clair avec un moniteur réseau (je crois qu'il y en a un qui s'appelle wireshark)

[ram-0000]

En HTTPS, le proxy ne connais que la première page demandée (et encore, il se peut qu'il ne connaisse que le site demandé). Ensuite, une fois que la connexion HTTPS est établie, tout ce qui se passe dedans est totalement caché au proxy, il ne peut lire le contenu.

Si le proxy ouvre le tunnel HTTPS pour le lire (il en a les moyens), tu le sauras immédiatement car tu auras un problème avec le certificat présenté et ton navigateur va râler.

Après, si le site distant est mal foutu, c'est à dire que la page HTTPS présente à la fois des objets HTTP et HTTPS, le proxy pourra connaitre/lire tous les objets HTTP

[Michaël]

Si le proxy ouvre le tunnel HTTPS pour le lire (il en a les moyens), tu le sauras immédiatement car tu auras un problème avec le certificat présenté et ton navigateur va râler.

pas forcément
Le proxy peut être mandaté pour https, il va donc prendre la place du client. Ensuite, en générant à la volée un certificat avec un nom correspondant au site visité, le client n'y verra que du feu (à condition que l'autorité racine du proxy soit connue chez les clients).

Evidemment, faire un man-in-the-middle de cette manière doit être signalée aux utilisateurs et surtout pas pour tous les sites (exceptions à créer pour les banques, etc).

[ram-0000]

pas forcément

Je ne suis pas d'accord avec toi

Si le proxy fait un man in the middle (car c'est bien cela qu'il fait pour ouvrir le tunnel), cela veut dire qu'il doit présenter un certificat serveur (au nom du site www visité) au client.

Pour présenter ce certificat, il faut obligatoirement connaitre la clé privée associée au certificat présenté (sinon SSL ne marchera pas).

Donc soit le proxy possède les clés privées de tous les certificats (ce dont je doute), soit il présente un certificat "maison" avec une clé privée mais alors le client se rendra compte immédiatement de la supercherie (le navigateur va râler en disant que le certificat présenté n'est pas celui du site visité).

Si tu vas sur un site HTTPS (https://www.verisign.com) au travers du proxy et que ce proxy te présente un autre certificat (https://www.monentreprise.com) signé par une authorité de confiance que tu connais (monentreprise.com) et qui est dans ta base des AC reconnues, cela ne va pas marcher.

Après, si le navigateur du client est configuré pour accepter n'importe quoi, c'est une autre histoire (et même, je ne suis pas sûr que l'on puisse bypasser ce contrôle sur les différents navigateurs).

[spawntux]

Bonjour,

Je vais apporter mon grain de sel :p

La signature du certificat sera invalide, le souci c'est que qui lis les alertes certificat ? combien accepte les certificats sans les lires c'est ca le soucis :p

Ton navigateur te leve une alerte en disant attention nouveau certif mais personne lis ca :s

Bien cordialement

PS: si la signature du certificat d'origine est en md5 ca se bypass facilement