我今天在一个商务中心与一位系统管理员交谈,他打算在他的网络中的每个连接上基本上执行 MiTM(他称之为),因为他办公楼里的人们正在使用 VPN 和 https 连接来流式传输视频、下载种子等。这些服务耗尽了所有带宽,但由于它们是加密连接,他的负载均衡器无法工作。
他聘请的安全公司说服他可以使用他自己的有效和签名证书(当然是代理服务器)设置代理服务器,这将欺骗所有浏览器和 VPN 连接以接受代理作为其端点。这将允许他解密所有流量,验证其内容并在必要时进行节流,再次加密并按预期方式发送,而无需任何人更聪明。
在 https 部分,我设法解释/说服他,任何半体面的 https 实现都是为了避免中间人攻击,因为证书链接到特定的域或公司。他的代理不可能欺骗浏览器认为它正在连接到网站,而实际上是在连接到代理服务器。
然而,关于 VPN,他坚持(或者更好的是,他为他的网络聘请的安全公司)许多 VPN 服务或协议将接受任何由 CA 签署的证书以创建安全连接。不检查该证书是否实际归属于您要连接的服务器。
这对我来说似乎不太可能,并且与我所知道的安全连接相反,但在我开始讨论之前,我想确保我不会错过一些鲜为人知的软件 VPN 协议中的漏洞,这些漏洞很少有人知道。
我的问题是:某些 VPN 协议或 VPN 软件是否真的只会通过检查证书是否由 CA 签名来检查证书的有效性,而根本不会验证证书是否实际上归因于您正在连接的服务器?
-- 小编辑 -- 说明为什么会这样:根据安全公司的说法,相当多的 VPN 软件将接受任何有效的证书,并且不检查证书是否实际链接到服务器:接受任何有效的证书。