Автор Тема: DrWEB 11 и проверка шифрованного трафика (Прочитано 2930 раз)

R00tico · « : 19.07.2016 15:14:19 »

В новой версии DrWEB появилась возможность проверять шифрованный трафик (https сайты).
Проверка шифрованного трафика на KDesktop 7.0.5 64бит и Simply Linux 7.0.5 64бит не работает.
Сделал запрос в DrWEB - http://forum.drweb.com/index.php?showtopic=325254

Код: [Выделить]

Проблема скорее всего в том, что путь где у вас в системе лежат доверенные корневые сертификаты отличается от того, что прописано в GateD.CaDir.
Нужно поправить параметр GateD.CaDir. У вас это наверное какой-нибудь /etc/pki/tls/certs.

Подскажите, где в Альте лежат доверенные корневые сертификаты?

asy · « **Ответ #1 :** 19.07.2016 17:58:15 »

Что-то тут где-то не то написано. Каким образом корневые сертификаты могут помочь его декодировать ? Предполагается, что кто угодно по дороге может взять, и посмотреть вовнутрь https ? Нет, так можно. Это называется MITM, но как-то оно того...

yaleks · « **Ответ #2 :** 19.07.2016 18:10:54 »

Цитата: asy от 19.07.2016 17:58:15

Что-то тут где-то не то написано. Каким образом корневые сертификаты могут помочь его декодировать ? Предполагается, что кто угодно по дороге может взять, и посмотреть вовнутрь https ? Нет, так можно. Это называется MITM, но как-то оно того...

видимо так и происходит, а утилиты drweb умеют добавлять свой сертификат в доверенные. Но не всегда работает.
В альте /usr/share/ca-certificates

Но нафига такое делать, я бы задумался над реальной безопасностью.
Тем более для многих сайтов в firefox зашит какой должен быть сертификат.

ASte · « **Ответ #3 :** 19.07.2016 19:31:12 »

А у него нет иного способа проверить трафик как встать между сайтом и браузером

Давным-давно Касперский виндузовый имел точно такую же опцию проверки https.

ИМХО лучшая защита от интернет угроз это palemoon/firefox с noscript и adblock запущенные в контейнере. Например в docker. И степень изоляции уже более менее достаточная и ресурсов не так много кушает как виртуалка.

asy · « **Ответ #4 :** 19.07.2016 20:22:10 »

Цитата: ASte от 19.07.2016 19:31:12

А у него нет иного способа проверить трафик как встать между сайтом и браузером
Давным-давно Касперский виндузовый имел точно такую же опцию проверки https.

А ну как они свой сертификат сольют случайно (или не очень) ? Интересно, как им такой сертификат выдали вообще... Сейчас вот, со всякими запрет-инфо, можно ждать проблем на госуровне в этом плане, но как эти-то успели ?..

ASte · « **Ответ #5 :** 19.07.2016 20:36:53 »

А они его себе сами выдали

Код: [Выделить]

Имя получателя
C (Страна):	RU
L (Местность):	Moscow
O (Организация):	DrWeb
OU (Подразделение):	SpIDer Gate
CN (Общее имя):	SpIDer Gate Trusted Root Certificate
Имя выдающего
C (Страна):	RU
L (Местность):	Moscow
O (Организация):	DrWeb
OU (Подразделение):	SpIDer Gate
CN (Общее имя):	SpIDer Gate Trusted Root Certificate

asy · « **Ответ #6 :** 19.07.2016 20:40:02 »

Цитата: ASte от 19.07.2016 20:36:53

А они его себе сами выдали

А они аккридитованным центром стали ? Ну, приехали тогда.

ASte · « **Ответ #7 :** 19.07.2016 20:48:24 »

Не, не стали. Поэтому просят пользователя самого прописать их сертификат в нужное место

Ну как тот самый олбанский вирус

Цитировать

Для правильной работы механизма проверки трафика, передаваемого через защищенные сетевые соединения, необходимо выполнить экспорт в файл сертификата Dr.Web, который в дальнейшем необходимо вручную добавить в перечни доверенных сертификатов приложений, использующих защищенные соединения. В первую очередь это веб-браузеры и почтовые клиенты.

asy · « **Ответ #8 :** 19.07.2016 21:36:05 »

Цитировать

Для правильной работы механизма проверки трафика, передаваемого через защищенные сетевые соединения, необходимо выполнить экспорт в файл сертификата Dr.Web, который в дальнейшем необходимо вручную добавить в перечни доверенных сертификатов приложений, использующих защищенные соединения. В первую очередь это веб-браузеры и почтовые клиенты.

А, речь про локальную проверку, а не про прозрачный прокси какой-то ? Тогда нормально. Это уже свой MITM.

yaleks · « **Ответ #9 :** 19.07.2016 21:57:10 »

Цитата: asy от 19.07.2016 21:36:05

А, речь про локальную проверку, а не про прозрачный прокси какой-то ? Тогда нормально. Это уже свой MITM.

Ну а что мешает это на машинку с прокси-сервером поставить?

ASte · « **Ответ #10 :** 19.07.2016 22:07:32 »

да речь про локальную проверку на рабочей станции.
если поставите на proxy, то на клиенте браузер ругнется. если ему конечно не подсовывать этот сертификат в доверенные.

asy · « **Ответ #11 :** 19.07.2016 22:12:22 »

Цитата: yaleks от 19.07.2016 21:57:10

Цитата: asy от 19.07.2016 21:36:05
А, речь про локальную проверку, а не про прозрачный прокси какой-то ? Тогда нормально. Это уже свой MITM.
Ну а что мешает это на машинку с прокси-сервером поставить?

Потому, как браузер - это конечный клиент. По факту, в общем-то, уже и не MITM. А на такой прокси браузер-то и ругнуться должен, как раз. Если только не совсем везде этот сертификат разложить.

R00tico · « **Ответ #12 :** 20.07.2016 22:15:25 »

Решение найдено:

Код: [Выделить]

su -
drweb-ctl cfset GateD.CaDir /usr/share/ca-certificates/ca-bundle.crt

После этого проверка защищенных соединений в FireFox заработала
В следующих обновлениях обещали пофиксить - http://forum.drweb.com/index.php?showtopic=325254

Форум сообщества
Альт Линукс