ネットワークスペシャリストの過去問(H26午後玉筍院砲法▲廛蹈シの復号機能について述べられている
復号機能をもつプロキシサーバの場合,PCからのconnect要求を受信した後の動作は,次のようになる。
復号機能をもつプロキシサーバの動作手順の概要を,図3に示す。
 
seeeko_proxyネットワークスペシャリスト
図3に示したように、 PCからのconnect要求を受信したプロキシサーバは,まず, 銑の手順でWebサーバとの間でSSLセッションを開設し,更にPCとの間でも,ぁ銑Δ亮蟒腓SSLセッションを開設する。このとき,イ如ぅ廛蹈シサーバは,サブジェクト(Subject)に含まれるコモン名(CN : Common Name)に,サーバ証明書1と同じ情報をもたせたサーバ証明書2を生成して, PC宛てに送信する。PCはサーバ証明書2を検証し,認証できたときにΔ行われ.  SSLセッションが開設される。ここで,  PCがサーバ証明書2を正当なものと判断してプロキシサーバを認証するためには,PCに, (エ)サーバ証明書2を検証するのに必要な情報を保有させる必要がある。

中間者攻撃を防ぐProxyの仕組みが書かれてある。

ネットワークスペシャリストを目指す女性SEあれ? 

なぜ、ProxyでSSLを中継すると、中間者攻撃を受けやすくなるの?

HTTPSでは、WebサーバとPC間でSSLによる安全な通信経路を確立する。利用者がWebサーバの証明書を確認できるため、中間者がつけいる隙がない(図1)
 
ネットワークスペシャリストProxy
しかし、プロキシサーバがSSLを終端してしまうと、利用者にはプロキシサーバの証明書しか見ることができない。その先で中間者攻撃が行われいるかどうかの判断ができないだ。最近では攻撃者もベリサインなどの正規の認証局から発行された証明書を使う。プロキシサーバでも中間者の証明書を確認するが、正規の認証局から発行されているので「正しい」としか判断できない(図2)。

そこで、上記の過去問だ。「プロキシサーバは,サブジェクト(Subject)に含まれるコモン名(CN : Common Name)に,サーバ証明書1と同じ情報をもたせたサーバ証明書2を生成して, PC宛てに送信する」のである。

実際の動き
画面キャプチャで紹介する
ForiGateをProxyサーバとして利用し、SSLを中継する。
すると、Fortigateが証明書を出すので、証明書エラーがでる。
ssl1

ForiGateのルート証明書を入手し、「証明書のインストール」にてPCにインストールする
ssl2
このとき、証明書ストアで「信頼されたルート証明機関」を選択すると確実です。

すると、「信頼されたルート証明機関」にFortiGateのルート証明書がインストールされる
ssl3
GoogleChromeの場合、ブラウザ右上の設定画面から「設定」>(一番下で)「詳細設定」>「証明書の管理」「信頼されたルート証明書」で「FGT〜」という証明書がインストールされていることを確認する。

この状態でアクセスると、さきほどのように赤字でのセキュリティ警告は出ない。
また、URLの鍵マークを開き、「証明書」>「証明書のパス」を見て、FGTのルート証明書の配下にあることを確認する。
また、証明書の「詳細」を開くと、「発行者」は「FortiGate」であるが、たしかにCNはGoogleになってる。
参考だが、下記のように、*を使ったワイルドカード証明書が発生する。
ssl4

とはいえ、こんな感じに、やんわりと警告は残っている。
ssl5
この様子を動画にしました。ご覧ください。
https://drive.google.com/drive/folders/1iYSTZ7MRkgz7liPzgaU33b22aC906dqE

スポンサードリンク