Может ли поставщик VPN через сертификат расшифровать https?

Question

[Newbie2]

Здравствуйте!

Есть VPN-соединение с организацией. Для идентификации пользователя используется вот такой сертификат пользователя:



Вместе с ним был установлен вот такой корневой сертификат:



Внимание, вопрос: есть ли у поставщика VPN (организации) возможность увидеть полную адресную строку и данные передаваемые сайтам/с сайтов по https?

Answer 1

[CityCat4]

Если у Вас в корневых стоит сертификат CA, выпущенный поставщиком - может. Бампинг сертификатов + прозрачнй прокси - и Вы, ну не то чтобы ни о чем не догадаетесь - но на многих сайтах даже и не заметите, что на самом деле Вам подставляют сертификат, сгенерированный поставщиком.

Я уже неоднократно повторял очень простую истину - безопасным является только VPN, построенный между Вами и Вашим собственным VPS в Забугории. По всем остальным - нет никакой гарантии, что Вас от чего-то защищают, а как бы хуже не сделали :)

Фиктивная безопасность хуже чем отсутствие безопасности вообще

Comments

[Newbie2]

Этот vpn не является для меня анонимайзером, он служит средством доступа для меня в рабочую сеть организации; чтобы я мог использовать ресурсы сети. Я и хочу узнать - админ будет видеть мой https-трафик или нет. Получается, что будет?

[CityCat4]

Newbie2, Корпоративный? Конечно будет. Ведь в сети у Вас либо логин, либо персональный сертификат, который позволяет однозначно связать подключение с личностью того, кто подключился.
Кроме того, сертификат генерировался админом? Значит, у него остался ключ сертификата, то есть он в любой момент может расшифровать трафик, если надумает его сохранить.
Или админ провайдера? Админ провайдера скорее всего не будет. Вообще вопрос поставлен весьма расплывчато, конкретного ответа дать нельзя.

[Newbie2]

CityCat4, Сертификат генерировался админом организации и речь идет про него. Он сможет расшифровать VPN-трафик или https?

[CityCat4]

Newbie2, Конечно - ведь сертификат генерировался им, следовательно у него имеется копия ключа сертификата, с помощью которой он сможет расшифровать весь трафик, зашифрованный данным сертификатом. Насчет https - не знаю, смысла https внутри корпоративного VPN нет, если там нет собственного разделения доступа - увидеть куда Вы ходили и что Вы делали именно на корпоративных ресурсах админ может и без расшифровки туннеля.

[Newbie2]

CityCat4, речь идет про трафик https! Т.е. я подключился к vpn, затем захожу на Тостер. Будет ли видеть сисадмин организации трафик между мной и тостером? Он идет через vpn, но защищен и https/

[CityCat4]

Newbie2, Добро. Как определяется, что это сайт Тостера - ну кроме урла и внешнего вида? Правильно - по сертификату. Сертификат тостеру выдан Comodo CA Limited. Но это если посмотреть. Обычно же никто сертификаты не сверяет - зеленый и ладно.
Вы подключились к VPN и оттуда, думая что никто тут не заметит, идете на сайт Тостера. Ну то есть Вы думаете, что туда идете. А на самом деле Вы выходите в тырнет через прозрачный прокси, у которого собственный сертификат CA. И корневой сертификат, выдавший этот subCA-сертификат - прописан на Вашей машине (к которой Вы по VPN подключились) - в доверенные (есть сто тыщ мильенов способов это сделать, обычно это GPO). Прокси, имея свой subCA сертификат, выпускает временный сертификат для тостера, который будет для Вашей машины валидным! (потому что цепочка доверия строится до корневого сертификата вашей конторы, который у Вас стоит в доверенных). И Вы, думая, что общаетесь с тостером, на самом деле общаетесь со своим прокси, который сам уже общается с тостером. А админ таким образом видит весь трафик в Вашем как бэ защищенном https-соединении.
Называется это бампинг, стандартный прием корпоративных прокси (правда обычно они не прозрачные, а обычные и отключить их невозможно)

[Newbie2]

CityCat4,

Прокси, имея свой subCA сертификат, выпускает временный сертификат для тостера, который будет для Вашей машины валидным!

Вот сертификат тостера, когда я захожу через VPN. Что видит админ?

[CityCat4]

Newbie2, В данном случае - не знаю :) Что в этом случае видит админ - знает только админ. Есть и другие способы контроля того, куда Вы ходите с конторских машин, СМП, например. А может, Вашему админу плевать на то, куда Вы ходите :)

Answer 2

[Radjah]

Не путай сертификат сайта и сертификат VPN-сервера.
Сертификат VPN-сервера используется для организации шифрованного канал между VPN-сервером и клиентом.
Сертификат сайта используется для организации шифрования передачи данных между браузером и http-сервером.

Второе передаётся внутри первого и никак между собой не связано в части шифрования.

Comments

[Newbie2]

т.е. на сайты с https можно ходить без оглядки?

[Radjah]

Newbie2, за всем надо следить. В том числе за сертификатами на сайтах.

[Newbie2]

Radjah,

Вот так выглядит сертификат тостера, когда я захожу через vpn:



Получается, организация видит только заголовок сайта и объем переданных данных?

[Radjah]

Newbie2, ну ты логику включи. Трафик идёт через сеть организации, конец туннеля там же.

[Newbie2]

Radjah, и?