Kontrolleur in der Mitte

Vorteil Proxy

An dieser Stelle tritt bereits ein großer Vorteil von SSL-Proxy zu tage: Die Proxy-Appliance kann nun das Zertifikat des Server prüfen, was vorher ausschließlich dem Benutzer vorbehalten war. Da die meisten Benutzer die Anforderungen an sichere Zertifikat nicht verstehen, klicken sie normalerweise entsprechende Warnmeldungen ihres Web weg – was sich typischerweise Phising-Attacken häufig zu nutze machen. So nutzen beispielsweise im Jahr 2005 mehr als 450 Phishing-Angriffe SSL, um eine vertrauenswürdige Site vorzutäuschen (Quelle: Netcraft). Ein Zertifikat kann jedoch nur als sicher angesehen werden, wenn es

  • von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority = CA) ausgestellt wurde,
  • nicht abgelaufen ist,
  • nicht zurückgerufen (revoked) wurde und
  • wenn der Server auf dem Zertifikat mit dem tatsächlichen Namen des Server übereinstimmt.

Entspricht ein Server nicht diesen – oder weiteren vom Unternehmen festgelegten – Kriterien, beendet der SSL-Proxy die Verbindung zu dem Server und informiert den Benutzer darüber, dass eine sichere und vertrauenswürdige Kommunikation mit dem gewünschten Server nicht möglich ist.

Ist mit dem Zertifikat alles in Ordnung, extrahiert der Proxy den öffentlichen Schlüssel des Server, generiert on-the-fly ein neues Zertifikat auf Basis der Information aus dem Server und reicht dieses an den Client weiter. Dieses Zertifikat wird dabei entweder von der internen Zertifizierungsstelle des SSL-Proxy signiert oder mit einem Zertifikat "unterschrieben", das die Root-CA des Unternehmens ausgestellt hat. Auf den Client muss daher in dem ersten Fall die CA des SSL-Proxy als vertrauenswürdige Zertifizierungsstelle eingerichtet werden. Im zweiten Fall ist die Unternehmens-CA normalerweise bereits als vertrauenswürdige Zertifizierungsstelle auf den Client hinterlegt.

Der Client verifiziert wiederum das vom SSL-Proxy ausgestellte Zertifikat und extrahiert daraus dessen öffentlichen Schlüssel. Damit ist der Verbindung zwischen Client und SSL-Proxy sowie Proxy und Zielserver beendet und die verschlüsselte Kommunikation kann beginnen. Da die Daten auf dem Proxy nun unverschlüsselt vorliegen, kann dieser sie jetzt entsprechend der Sicherheitsrichtlinien des Unternehmens prüfen, weiterverarbeiten und gegebenenfalls blockieren. Zudem lassen sich Elemente wie beispielsweise GIF- oder JPG-Bild, die keine sensiblen Daten enthalten, auf dem Proxy zwischenspeichern und damit Anwendungen beschleunigen und Bandbreite sparen.

<  1  2  3  4  5  6  >
Sie müssen angemeldet sein, um diesen Beitrag kommentieren zu können. Wenn Sie sich noch nicht kostenlos registriert haben, können Sie dies hier tun.