Bah non. Que ça soit en interne ou en externe faire un MITM sur un transfert externe est problématique. Que ça soit dans l’administration ou pas (sauf exception genre l’armée ou autorisation de l’autorité judiciaire) et dans ce cas l’information recueillie est un scellé.
Kavé Salamatian Le 8 déc. 2013 à 20:33, Jean-Yves Faye <jy0...@gmail.com> a écrit : > Bonsoir, > > NetASQ a cette fonctionnalité, et de plus est un produit bien Français. > Purement techniquement parlant, cette technique peut être pratique pour > garder l'aspect SSL des communications, tout en soumettant à l'analyse > antivirus/IDS les flux entrants, chose courante avec les appliances type > NetASQ justement. > > Comme déjà dit, le danger vient plutôt de le faire avec une AC certifiée et > publique (par transitivité). Normalement on fait ça avec une AC interne et > les certificats spécifiques sont déployés sur les postes. > > Après cela remet encore une fois sur le tapis la question de la liste à > rallonge des autorités "de confiance" qui peuvent donner des certificats pour > n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas précis, une > fonctionnalité de type restriction à *.gouv.fr sur l'IGC de l'administration > aurait été pertinente. > > Un nettoyage des magasins de certificats des navigateurs est la seule > solution à court terme, ça ou alors les éditeurs de navigateurs se mettent à > implémenter les protocoles déjà proposés pour réduire la voilure niveau > portes d'entrée dans le système des IGC (moins problable) > > Cordialement, > > Jean-Yves Faye > > > Le 8 décembre 2013 20:08, Fabien Delmotte <fdelmot...@mac.com> a écrit : > Bonsoir, > > Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un > problème de configuration qu’autre chose. > > Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur le > sujet avec le comment faire et son contraire), mais cela fonctionne sans > problème Technique dans les autres pays. > J’ai personnellement installé plusieurs configuration en dehors de la France > sans problèmes techniques. > > Cordialement > > Fabien > > Le 8 déc. 2013 à 19:48, Surya ARBY <arbysu...@yahoo.fr> a écrit : > > > C'est pourtant le principe de fonctionnement des firewalls palo alto qui > > font du MITM SSL avec des certificats signés par la PKI interne. > > > > Le 08/12/2013 19:26, Kavé Salamatian a écrit : > >> 2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers > >> une destination en dehors de son réseau. Il peut décider de bloquer ce > >> traffic, mais le décrypter avec un certificat « fake » c’est du piratage > >> caractérisé et je suis sur qu’une ribambelle de lois de s’appliquent (pas > >> le temps de les chercher). > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
