De zelf toegevoegde man-in-the-middle onderbreekt de end-to-end versleuteling en maakt spontaan gegenereerde certificaten die ondertekend zijn door de als betrouwbaar ingestelde Certificate Authority. De clients vertrouwen daarop, en dat brengt nieuwe risico’s met zich mee. Beheerders moeten hun zelfgemaakte CA beveiligen, zodat de veiligheid ervan in ieder geval vergelijkbaar is met die van een publieke CA.
Het is niet eenvoudig, omdat een CA gemaakt kan worden met een paar OpenSSL-commando’s en snel wordt toegevoegd aan de productieve infrastructuur. Om het goed te doen, moet je de richtlijnen en best practices volgen voor het veilig beheer van digitale certificaten.
Een ander kwetsbaar punt is dat de client niet langer de betrouwbaarheid controleert tot aan de webserver, maar alleen de korte route naar de proxy. De proxy valideert of de verdere route vertrouwd en veilig is. Als de webserver bijvoorbeeld een ongeldig, zelf ondertekend of verlopen certificaat levert, moet de proxy dat opmerken en voor de client een opzettelijk fout certificaat genereren. Zo kan de gebruiker zien dat de communicatie met het doelwit mogelijk onveilig is en de sessie beëindigen voordat er schade wordt aangericht.
Over ongeldige certificaten gesproken: als de proxy en de client verschillende sets CA-certificaten hebben opgeslagen, kunnen individuele TLS-verbindingen geldig zijn voor de proxy, maar niet voor de client – en andersom. Hierdoor kan de gebruiker nietsvermoedend naar een website gaan waar zijn browser zonder TLS-inspectie voor gewaarschuwd zou hebben.
Beheerders krijgen meer werk, omdat naast browsers ook besturingssystemen en toepassingen HTTPS gebruiken voor updates. Sommige updates, zoals Windows-updates, zijn niet compatibel met TLS-inspectie. Daarom moeten ze worden uitgesloten van TLS-inspectie met behulp van een lijst die regelmatig moet worden bijgewerkt als er veranderingen zijn in het updateproces van de betreffende systemen.
Doordat het extern versleutelde webverkeer in platte tekst door de firewall gaat, is het eenvoudig om de gegevens uit de firewall te halen en te analyseren. Vertrouwen in de infrastructuur en de beheerders is essentieel, maar dat vertrouwen kan worden geschonden.
Voor gebruikers van dergelijke netwerken geldt daarom het volgende: vermijd alle privé-internetactiviteiten op bedrijfsapparaten, vooral als het gaat om vertrouwelijke informatie en betalingsverkeer (internetbankieren, creditcardbetalingen). Als je werkgever een ongefilterd gastwifi aanbiedt, kun je beter je privé-smartphone gebruiken. Schakel anders over op mobiele data of gebruik je eigen vertrouwde VPN.