<div dir="ltr">Offered as a point of information... I believe the Saudi government uses these technologies to keep their web halal...<br><br><a href="https://www.sandvine.com/government-customers">https://www.sandvine.com/government-customers</a> <div><br></div><div> <br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 11 Sep 2019 at 11:44, D. Hugh Redelmeier via talk <<a href="mailto:talk@gtalug.org">talk@gtalug.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">| From: Mike via talk <<a href="mailto:talk@gtalug.org" target="_blank">talk@gtalug.org</a>><br>
<br>
| A TLS/SSL Man In The Middle (MITM) requires your browser to negotiate<br>
| TLS with the MITM, and the MITM goes out onto the Internet to<br>
| (separately) negotiate TLS with the site you are trying to connect to.<br>
<br>
Right.<br>
<br>
Your browser must be fooled into thinking that the MITM is the site<br>
you are trying to commect to.<br>
<br>
Lets call the site your are trying to get to "<a href="http://goal.ca" rel="noreferrer" target="_blank">goal.ca</a>".<br>
<br>
The DNS must provide the browser with the MTM's IP address when<br>
resolving "<a href="http://goal.ca" rel="noreferrer" target="_blank">goal.ca</a>" OR the MTM must intercept all traffic for the real<br>
<a href="http://goal.ca" rel="noreferrer" target="_blank">goal.ca</a>.  I'd guess that interception is more likely to be successful.<br>
<br>
| However, this means that the MITM needs to provide you a public<br>
| certificate for which it is in possession of the private key.<br>
<br>
And that cert must claim to be for <a href="http://goal.ca" rel="noreferrer" target="_blank">goal.ca</a>.<br>
<br>
| Presumably this is not a certificate whose authenticity can be traced<br>
| to a top-level Certificate Authority (CA) that your browser trusts.<br>
<br>
Right.  Any CA that would issue a cert for <a href="http://goal.ca" rel="noreferrer" target="_blank">goal.ca</a> to someone not<br>
associated with <a href="http://goal.ca" rel="noreferrer" target="_blank">goal.ca</a> would find their root certs kicked out of<br>
every browser (it has happened).<br>
<br>
| That should be your detection method.<br>
<br>
In other words, such a cert could not be validated.  (Validation happens <br>
through a chain of certificates terminating in a root (self-signed) cert <br>
already known to the browser (seeded by the browser vendor or previously<br>
added by the user).<br>
<br>
|  Otherwise, if you're dealing<br>
| with a large, corporate MITM (cough, Zscaler, cough), they might be<br>
| generating / issuing MITM certs on the fly from their issuing CA cert<br>
| which may actually trace to a top-level public CA.<br>
<br>
Wait: is that possible?  Why are those CAs not expelled by the browser<br>
"vendors"?<br>
<br>
I must have misunderstood something.<br>
<br>
In <<a href="https://en.wikipedia.org/wiki/Zscaler#SSL_traffic_considerations" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/Zscaler#SSL_traffic_considerations</a>><br>
<br>
"... and assuming that the user has pre-installed a company root cert<br>
..."<br>
<br>
DON'T DO THAT.  At least not unless you understand the consequences.<br>
<br>
PS: even when successfully using end-to-end TLS, traffic analysis<br>
gives away a lot of the game.  A VPN would reduce but not eliminate<br>
that leakage.  Few of us realize how effective traffic analysis can<br>
be.<br>
---<br>
Post to this mailing list <a href="mailto:talk@gtalug.org" target="_blank">talk@gtalug.org</a><br>
Unsubscribe from this mailing list <a href="https://gtalug.org/mailman/listinfo/talk" rel="noreferrer" target="_blank">https://gtalug.org/mailman/listinfo/talk</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">William Porquet, M.A. ‡ mailto:<a href="mailto:william@2038.org" target="_blank">william@2038.org</a> ‡ <a href="http://www.2038.org/" target="_blank">http://www.2038.org/</a><br>"It is only with the heart one can see clearly; what is essential is invisible to the eye." - (The Fox) "The Little Prince"<br></div>