SSL-Interception mit Wildcard Zertifikat

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
leon_20v2
Beiträge: 73
Registriert: Fr 02.12.2016, 18:39

SSL-Interception mit Wildcard Zertifikat

Beitrag von leon_20v2 »

Guten Tag zusammen,

hat schon mal jemand die SSl-Interception mit einem gekauften Wildcard Cert installiert? 

Was ändert sich dann auf der Securepoint? 

Das Verteilen auf die Clients solle ja dann nicht mehr notwendig sein?

Danke und Grüße
Leon

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ausprobiert habe ich es noch nicht. Aber denken Sie daran das Sie für die SSL-Interception kein Zertifikat in dem Sinne verwenden sondern das CA. Bei dem CA sollte schon der Private-Key enthalten sein was vermutlich schwer sein wird.

Gruß Björn

leon_20v2
Beiträge: 73
Registriert: Fr 02.12.2016, 18:39

Beitrag von leon_20v2 »

Vielen Dank für deine Antwort!

Ich mich bezüglich des Themas eingelesen und herausgefunden, dass es wohl möglich ist, die CA von manchen Anbietern zu exportieren und diese dann z.B. in die Securepoint zu importieren. 

Gibt es hier evtl. ein Szenario das die Securepoint schon ausprobiert hat?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

eine CA bekommen Sie vom Hersteller das ist nicht das Problem. Das Problem ist das in der CA kein private Key enthalten ist. Und ein Anbieter wird dies auch nicht herausgeben denn sonst können Sie damit gültige Zertifikate einfach so erstellen.

Gruß Björn

leon_20v2
Beiträge: 73
Registriert: Fr 02.12.2016, 18:39

Beitrag von leon_20v2 »

D.h. SSL-Interception funktioniert ausschließlich wenn ich das Zertifikat(bzw. CA) an die Rechner verteile?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

genauso ist es.


Gruß Björn

leon_20v2
Beiträge: 73
Registriert: Fr 02.12.2016, 18:39

Beitrag von leon_20v2 »

Soweit ich mich jetzt eingelesen habe, könnte es mit Root Signing möglich sein. Allerdings verbieten viele CAs vertraglich das Scannen von HTTPs Datentransfer und Deep Packet Inspection. Ich hab bisher noch keine gefunden die das erlaubt. 

https://www.globalsign.com/de-de/blog/s ... und-roots/

Ob das mit der Securepoint UTM möglich ist? 
Ich steck da leider nicht tief genug drinn. 

Antworten