mimemmm
Goto Top

Man in the middle Zertifikat

Hi

Ich hab eine Verständnisfrage zu HTTPS Interception bzw. zum dafür notwendigen Zertifikat. Die Proxys die ich kenne erzeugen für jede Domain ein individuelles neues Zertifikat. Wäre es nicht auch möglich ein einzelnes Wildcard(?)-Zertifikat für alle Domains zu nutzen? Wird so ein Zertifikat von den Browsern abgelehnt? Hat ein Wildcard-Zertifikat Sicherheitsnachteile im Vergleich zu individuellen Zertifikaten?

Content-ID: 468881

Url: https://administrator.de/contentid/468881

Ausgedruckt am: 13.11.2024 um 01:11 Uhr

eisbein
eisbein 04.07.2019 aktualisiert um 07:44:37 Uhr
Goto Top
Guten Morgen,

Wäre es nicht auch möglich ein einzelnes Wildcard(?)-Zertifikat für alle Domains zu nutzen?

Wildcard-Zertifikate sind für Subdomains - also *.administarator.de face-wink
Für jede Domain wird auch ein eigenes Zertifikat benötigt - also für administrator.de und auch für administrator.eu

Dafür gibt es eigene Multidomain-Zertifikate.

Gruß
eisbein
Looser27
Looser27 04.07.2019 um 09:35:28 Uhr
Goto Top
Moin,

ich glaube Du verwechselst da was: Bei einem HTTPS Proxy wird das Proxy Zertifikat an die Clients verteilt, damit der Proxy den Stream aufbrechen und lesen kann.

Die Zertifikate der https Seiten sind eine andere Baustelle. Diese werden bei Bedarf automatisch angelegt und genehmigt (Black-/Whitelisting).

Gruß

Looser
Mimemmm
Mimemmm 04.07.2019 aktualisiert um 10:18:54 Uhr
Goto Top
Zitat von @Looser27:

Moin,

ich glaube Du verwechselst da was: Bei einem HTTPS Proxy wird das Proxy Zertifikat an die Clients verteilt, damit der Proxy den Stream aufbrechen und lesen kann.

Die Zertifikate der https Seiten sind eine andere Baustelle. Diese werden bei Bedarf automatisch angelegt und genehmigt (Black-/Whitelisting).

Gruß

Looser

Das ist so nicht ganz richtig. Du verteilst nicht das Proxy Zertifikat, sondern ein Root-CA-Zertifikat. Wenn der Client eine Webseite aufruft erzeugt der Proxy automatisch ein weiteres seitenspezifisches Zertifikat mit Hilfe des CA-Zertifikats. Mit diesem neuen Zertifikat wird dann der HTTPS Tunnel aufgebaut.
Mimemmm
Mimemmm 04.07.2019 aktualisiert um 10:19:11 Uhr
Goto Top
Zitat von @eisbein:

Guten Morgen,

Wäre es nicht auch möglich ein einzelnes Wildcard(?)-Zertifikat für alle Domains zu nutzen?

Wildcard-Zertifikate sind für Subdomains - also *.administarator.de face-wink
Für jede Domain wird auch ein eigenes Zertifikat benötigt - also für administrator.de und auch für administrator.eu

Dafür gibt es eigene Multidomain-Zertifikate.

Gruß
eisbein

Ich könnte aber genau so gut ein Zertifikat für *.de oder sogar * anlegen. Ich weiß aktuell nicht ob ein Browser so ein Zertifikat akzeptiert. Aber erzeugen kann ich es natürlich.