Abfangen von HTTPS und die Wahrheit über Thunder SSLi Cipher Support
Das A10 Networks Security Engineering Research Team hat kürzlich das Papier mit dem Titel "The Security Impact of HTTPS Interception" (Die Sicherheitsauswirkungen von HTTPS-Interception) geprüft, das die "Sicherheit von TLS-Interception-Middleboxen " untersucht und bewertet, darunter A10 Networks Thunder SSL Insight (SSLi).
Leider haben sich die Autoren des Berichts nicht mit uns in Verbindung gesetzt, um eine Anleitung für die geeignete Konfiguration für ihre Testanforderungen zu erhalten. Wir haben festgestellt, dass die Forschung Konfigurationen im geführten Modus (Wizard) ignoriert und sich nur auf Konfigurationen im Expertenmodus (CLI) konzentriert hat. Die Testanforderungen für diese Forschungsarbeit hätten mit der richtigen Konfiguration unserer Systeme vollständig erfüllt werden können. Wir haben uns mit den Autoren in Verbindung gesetzt, um ihnen unsere Bedenken mitzuteilen, und arbeiten mit ihnen zusammen, um ihre Studie zu aktualisieren.
Hier zeigen wir, wie unvollständig die Konfigurationen der Autoren waren, was letztlich zu Ergebnissen führte, die nicht ihren Anforderungen entsprachen.
Davor wäre es jedoch nachlässig, nicht zu erwähnen, dass die Forschung, die Sicherheitslösungen testet und untersucht, für die Branche notwendig ist, und wir hoffen, dass wir in Zukunft mehr davon sehen werden.
Werbung Chiffren
Erstens wird in den Bewertungshinweisen darauf hingewiesen, dass A10 Thunder SSLi "Exportchiffren bewirbt". Ja, die Chiffren in A10 Thunder SSLi können beworben werden, aber dies geschieht nur, wenn ein Betreiber, der die Befehlszeilenschnittstelle verwendet, alle verfügbaren Chiffren aktiviert. Der Betreiber kann das System genauso gut so konfigurieren, dass es keine Export-Chiffren anzeigt.
Für Benutzer, die keine Experten sind, bietet A10 Thunder SSLi assistentenbasierte Konfigurationstools, die einfach zu befolgen sind und eine reibungslose Out-of-the-Box-Erfahrung bieten. Die assistenten- und vorlagenbasierten Konfigurationswerkzeuge, die derzeit allen Benutzern zur Verfügung stehen, wenden automatisch Best Practices an, wodurch das System so konfiguriert wird, dass keine Exportchiffren beworben werden.
Wir gehen davon aus, dass die Autoren der Studie für ihre Tests Thunder SSLi in der für Experten konzipierten Standardkonfiguration konfiguriert haben und die Einstellung "alle verfügbaren Chiffren" gewählt haben, die für eine maximale Abdeckung zulässig ist, aber angepasst werden kann.
Unterstützung moderner Chiffren
Das bringt uns zum zweiten Punkt. In dem Papier weisen die Autoren darauf hin, dass Thunder SSLi keine "modernen Chiffren" unterstützt. Auch das ist falsch.
Das System aktiviert alle modernen Chiffren, auch in der Standardkonfiguration. Wir glauben, dass die Autoren der Studie wahrscheinlich alle modernen Chiffren für die Zwecke ihrer Studie deaktiviert haben.
Hier sind einige Screenshots, die Thunder SSLi in Betrieb und die integrierten Cipher Suites zeigen. Sie können auch eine Auswahl der Konfigurationsvorlagen sehen:
SSLi-Konfigurationsvorlage
SSLi-Standard-Cipher-Konfiguration (empfohlen für nicht erfahrene Benutzer)
SSLi-Konfiguration "Alle Chiffren" (für erfahrene Benutzer)
SSLi High-Performance-Konfiguration
SSLi Hochsicherheits-Konfiguration
SSLi-Konfigurationsassistent
Wir glauben zwar nicht an eine böswillige Absicht, aber der Artikel enthielt Ungenauigkeiten und Fehlinformationen, die wahrscheinlich auf mangelnde Vertrautheit mit unseren Systemen zurückzuführen sind. Wir hoffen, dass wir damit alle Ihre Fragen klären können.
Wir freuen uns auf einen offenen Dialog mit den Autoren des Papiers und hoffen, dass dies zu genaueren und gründlicheren Produkttests sowie zu Gesprächen darüber führt, wie die Branche die Cybersicherheit verbessern kann.
Für weitere Details zu A10 Thunder SSLi, laden Sie dieses Datenblatt.
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.