Сертифікат SSL для прозорого проксі-сервера MITM

Я хотів би встановити прозорий корпоративний проксі-сервер SSL з привоксі або кальмарами .

Один із зав'язок у моєму плані - розуміння того, який тип сертифікату SSL потрібен. Я знаю, що можу отримати мультидоменний / wildcard SSL сертифікат; однак це призначене лише для покриття субдоменів для однієї організації. Здавалося б, мені потрібна символьна карта для кожного TLD зараз та майбутнього на планеті.

Я не хочу, щоб попередження про безпеку з'являлися, коли користувачі проходять через проксі через помилки перевірок безпеки; Я також хотів би уникати встановлення довіри CA в браузерах, якщо це можливо. Однак, якщо комерційні рішення не здійсненні, які рішення доступні для сертифікованого сертифікату?

Запитання:

1. Чи можливо це?
2. Якщо всі обмеження неможливо виконати, що найкраще я можу зробити?
3. Який шлях з найменшими витратами до успіху в змішаному середовищі Windows / Linux з підтримкою наступних браузерів: IE, Firefox, Chrome?

Є два підходи до MITMing SSL-трафіку:

• Ви отримуєте єдиний довірений сертифікат SSL, який підкреслює всі подробиці ( subjectAltName:*, subjectAltName:*.*тощо); або
• Ви отримуєте довірений сертифікат CA або проміжний сертифікат і створюєте довірені сертифікати "на льоту", які представляєте клієнтам.

Перший зробити простіше, але останній краще, якщо ви не хочете, щоб це було очевидно, що ви робите, тому що сертифікат буде виглядати більш «законним» для випадкового спостерігача.

Справжній трюк - отримання одного з цих суперспеціальних сертифікатів. Найпростіший спосіб для законного організаційного проксі - це генерувати власний сертифікат, підписаний вашим власним ЦА, та поширювати цей сертифікат ЦС на кожен пристрій, що знаходиться в межах вашого організаційного контролю. Виклики та обмеження такого підходу мають бути досить очевидними.

Доггірний спосіб робити лише відкриті для урядів та організацій достатньо великі, щоб підривати ЦС (так чи інакше ...) - в цьому випадку ви отримуєте існуючий законний КС, сертифікат якого вже є майже універсальним. довіряючи, що подарує вам одну з вищезазначених хитрощів, і ви продовжуєте свій веселий шлях.

Цей останній метод не є теорією - є численні випадки урядів репресивних режимів, які отримують такі сертифікати, щоб підривати з'єднання SSL в межах своїх кордонів і шпигувати за трафіком, що проходить через їхні точки доступу. Якщо це здасться, що модель безпеки SSL повністю розбита і хибна, то ви маєте правильну ідею.