Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-16 Par sujet Radu-Adrian Feurdean
On Tue, Apr 12, 2016, at 12:52, Edouard Chamillard wrote: > chose, mais si j'essaye de dire aux clients "oui mais non, ça c'est dans > du ssl, donc même si c'est un c&c zeus sur un site compromis on peut pas > le savoir et/ou pas y toucher", ça va mal passer. Bonjour mr Le Client. Soit je touche p

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Solarus Lumenor
Le 2016-04-13 12:01, Edouard Chamillard a écrit : > le sujet c'etait les proxy transparents. CONNECT était hors course au > premier mail. Une discussion ça dérive tu sais ? On parlait sécurité des réseaux business en général. Et puis la transparence c'est très subjectif. Parler de transparen

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Edouard Chamillard
Le 13/04/2016 12:53, Solarus Lumenor a écrit : > > > Le 2016-04-13 10:56, Edouard Chamillard a écrit : > >> donc la plupart des boites serieuses ont un proxy en MITM, capable de >> lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton >> proxy fait aussi la résolution dns (ce qu

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Solarus Lumenor
Le 2016-04-13 10:56, Edouard Chamillard a écrit : > donc la plupart des boites serieuses ont un proxy en MITM, capable de > lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton > proxy fait aussi la résolution dns (ce que certains font)). > effectivement ça méritait de parler

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Edouard Chamillard
Le 13/04/2016 09:25, Solarus Lumenor a écrit : > > > Le 2016-04-12 17:07, Edouard Chamillard a écrit : > >> sérieux compromettent carrément la session complète sur tout internet au >> lieu de la compromettre en interne sur un seul équipement, et pire, >> rendent impossible la connexion aux sit

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-13 Par sujet Solarus Lumenor
Le 2016-04-12 17:07, Edouard Chamillard a écrit : > sérieux compromettent carrément la session complète sur tout internet au > lieu de la compromettre en interne sur un seul équipement, et pire, > rendent impossible la connexion aux sites qui utilisent HSTS ? ce genre > de gens sérieux ? on es

RE: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Michel Py
> Artur a écrit : > Ce qui semblait une "bonne" idée au départ est au final une erreur. En > occurrence la solution était uniquement censée rendre les > choses plus faciles pour le "grand public", mais comme on est pas chez les > bisounours il va falloir procéder différemment. L'idée en elle-mêm

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Edouard Chamillard
Le 12/04/2016 17:51, Solarus Lumenor a écrit : > > > Le 2016-04-12 11:52, Edouard Chamillard a écrit : > >> "on doit jamais MITM une session ssl (web ou non)" c'est un beau >> principe mais ça va être dur a vendre aux entreprises. > Le HTTPS il ne faut pas l'intercepter mais on peut le bloquer à

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Solarus Lumenor
Le 2016-04-12 11:52, Edouard Chamillard a écrit : > "on doit jamais MITM une session ssl (web ou non)" c'est un beau > principe mais ça va être dur a vendre aux entreprises. Le HTTPS il ne faut pas l'intercepter mais on peut le bloquer à l'aide d'un proxy ou d'un firewall, c'est ce que font d

[FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Kavé Salamatian
> Le 12 avr. 2016 à 13:52, Stephane Bortzmeyer a écrit : > > On Tue, Apr 12, 2016 at 12:50:57PM +0200, > Kavé Salamatian wrote > a message of 95 lines which said: > >> C’est pas ce qu’avait fait en 2013 la direction du trésor avec le >> certificat fake émis l’IGC/A (voir >> https://www.mail-a

[FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Stephane Bortzmeyer
On Tue, Apr 12, 2016 at 12:50:57PM +0200, Kavé Salamatian wrote a message of 95 lines which said: > C’est pas ce qu’avait fait en 2013 la direction du trésor avec le > certificat fake émis l’IGC/A (voir > https://www.mail-archive.com/frnog@frnog.org/msg26501.html Avant de répondre, il faut bi

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet James Pic
As-tu essayé mitmproxy ? Je pense que de telles solutions ont leur utilité si on ne met pas d'utilisateur humain derrière, et qu'on s'en sert par exemple pour router une infra de test éphémère. --- Liste de diffusion du FRnOG http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Kavé Salamatian
J’ai déjà donné les arguments et les infos juridiques en 2013 (voir https://www.mail-archive.com/frnog%40frnog.org/msg26510.html ) A+ Kv > Le 12 avr. 2016 à 12:52, Edouard Chamillard a > écrit : > > > Le 12/04/2016 12:38, Jonathan

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Edouard Chamillard
Le 12/04/2016 12:38, Jonathan Leroy a écrit : > Le 12 avril 2016 à 12:17, Stephane Bortzmeyer a écrit : >> Avec ces critères, si une telle solution existait, ce serait une >> énorme faille de sécurité dans TLS, et il faudrait la publier dans une >> conf' fameuse (avec nom qui déchire et logo, bie

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Kavé Salamatian
C’est pas ce qu’avait fait en 2013 la direction du trésor avec le certificat fake émis l’IGC/A (voir https://www.mail-archive.com/frnog@frnog.org/msg26501.html )? . Je me rappelle que certains sur la liste avait justifié cette pratiqu

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Jonathan Leroy
Le 12 avril 2016 à 12:17, Stephane Bortzmeyer a écrit : > Avec ces critères, si une telle solution existait, ce serait une > énorme faille de sécurité dans TLS, et il faudrait la publier dans une > conf' fameuse (avec nom qui déchire et logo, bien sûr, comme toutes > les failles de sécurité). J'a

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Artur
Le 12/04/2016 12:17, Stephane Bortzmeyer a écrit : > [« Clé SSL » ? Je suppose que vous vouliez parler de certificats > X.509 ? Ou, à la rigueur, de certificats pour TLS ?] Tout-à-fait. > Avec ces critères, si une telle solution existait, ce serait une > énorme faille de sécurité dans TLS En effe

[FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

2016-04-12 Par sujet Stephane Bortzmeyer
On Tue, Apr 12, 2016 at 12:10:45PM +0200, Artur wrote a message of 34 lines which said: > Donc, il n'est pas question d'avoir des messages d'avertissement > dans le navigateur ou autres configurations manuelles (installation > des clés ssl, etc). [« Clé SSL » ? Je suppose que vous vouliez par