Déchiffrement SSL sélectif


Cette fonctionnalité est disponible à partir de la version 1.8.101618 d’Artica.

Cet article ne s’adresse qu’uniquement lors de l’utilisation du mode « Connecté »
c’est à dire lorsque vous spécifiez l’adresse du Proxy dans les paramètres des navigateurs ( Le comportement est différent en mode transparent SSL).

Certains sites Web masquent le contenu utilisateur via un chiffrement SSL.
Comprenez que le mode SSL est un mode « Point à point » c’est à dire que le proxy n’effectue qu’un transfert de paquets réseaux, il ne comprend plus le protocole et ne sert que de « passerelle » de transfert.

Dans beaucoup de cas, cette initiative est louable mais dans certains autre cas l’activation du SSL est plutôt controversée.

Youtube en SSL ???

Prenons l’exemple de Youtube qui à tendance à faire passer les navigateurs en HTTPS.
Cette initiative dans le cas de l’utilisation du proxy nous amène à ne plus bénéficier des fonctionnalités suivantes :

  1. Le proxy ne peut plus effectuer de statistiques sur les vidéos Youtube car il devient aveugle.
  2. Le cache youtube ne peut plus s’effectuer car le SSL empêche le proxy
  3. L’ID Youtube For School ne peut plus être ajoutés dans les entêtes HTTP.

Assurer la visualisation des vidéos Youtube en SSL peut être dans bien des cas être avérée farfelue.

Google, plus de SafeSearch ??

Le proxy Artica dispose d’une option permettant de renforcer le SafeSearch dans les recherches avec les moteurs de recherche les plus communs.
Or pour ajouter le commutateur de renforcement, le moteur de recherche doit être en clair et non en SSL. ( voir le SafeSearch de Google )

Un autre exemple peut être assurer la détection des virus dans les fichier téléchargés par les WebMails.

Les WebMail en SSL

L’ensemble des WebMails proposent aujourd’hui l’utilisation du SSL.
Cette fonctionnalité est louable afin de garantir la sécurité des transactions de messagerie mais elle permet de rendre aveugle le proxy.
Dans le cas de téléchargement des pièces jointes de messagerie, le proxy étant aveugle, son compagnon Antivirus ne pourra pas assurer la décontamination.
Seul l’antivirus de poste de travail sera en mesure en bout de course d’effectuer la vérification de contenu malicieux.

Le décryptage du SSL à travers le proxy ne s’effectue pas sans « douleurs ».

En effet, lorsque vous ordonnez le proxy à effectuer un déchiffrement SSL, il va se mettre en mode « MAN-IN-THE-MIDDLE » ou « Homme du milieu ».
Lorsque que le navigateur va se présenter au proxy pour visualiser un site SSL, le proxy va se faire passer pour le site Web d’origine et va fournir son certificat en lieu et place de celui du site Web.
Cette méthode contraint le navigateur à réagir de façon négative.
Le navigateur va alors se plaindre. Le certificat reçu n’appartient pas au site Web demandé.

16-10-2014 18-28-57

Exemple de connexion à facebook avec le SSL du proxy.

Si l’utilisateur passe outre l’erreur, le site Web est alors correctement affiché par le navigateur.
Il existe une méthode pour pallier à ce comportement: Installer le certificat du proxy dans tous les navigateurs qui est contraignante.

Solution: Lister uniquement les sites à déchiffrer

Déchiffrer tous les sites HTTPS risquent de poser des problèmes de support.
Notamment avec l’utilisation de Google Chrome et des sites SSL où le navigateur de Google est renforcé afin de faire confiance à Google de manière plus stricte.

L’idée est la suivante, plutôt que de déchiffrer tous les sites Web, on spécifie au proxy quels sont les sites Web à déchiffrer.

Ainsi on peut activer le déchiffrement SSL mais uniquement sur les sites comme facebook, youtube, viadeo.com, linkedin.com et laisser les sites bancaires et gouvernementaux inchangés.

Mise en place

  • Avec le menu du haut « Service Proxy« , choisissez l’option « Déchiffrement SSL« 

 16-10-2014 18-46-37

  • Par défaut cette section est entièrement désactivée où les sites SSL ne sont pas traités par le proxy.
  • Mettez en vert l’option « Activer l’interception SSL » et l’option « Mettre tous les sites en Liste blanche » puis cliquez sur « Appliquer« .
  • Artica va reconfigurer le proxy et rafraîchir la section.

16-10-2014 19-07-17

  • Un nouvel onglet va apparaître et va vous permettre d’indiquer quels sont les sites Web SSL à déchiffrer.
  • Avec le bouton « Nouveau site Web » indiquez les sites qui feront l’œuvre du déchiffrement du proxy.

16-10-2014 19-10-48

Note: Par opposition, si l’option « Mettre tous les sites en Liste blanche » est mis en rouge alors vous devrez spécifier quels sont les sites web qui ne seront pas déchiffrés par le proxy.

  • Cliquez sur le bouton « Appliquer » pour mettre la liste des sites Internet en activité.
  • Pointer votre navigateur sur les sites listés, vous verrez que le navigateur se plain du certificat alors que les sites non listés sont traités sans déchiffrement.

16-10-2014 18-28-57

Laissez un commentaire