https без установки сертификата на каждое устройство

Шквид поднимает соединение между собой и серваком по https, клиенту отдаёт расшифрованный траф. Элементарно, Уотсон.

клиенту отдаёт расшифрованный траф.

Где это написано?

Они не просматривают https-трафик, а запрещают соединение к определенным https-сайтам на основе возвращаемого ими сертификата, в котором указано имя этого сайта.

Шикарно если это так, и какой же от этого профит тогда? Например у хостера один сертификат на всех и никакого отношения к доменам которые там размещены не имеет.

К слову, в TLS, серверный (и клиентский, ...ля!!!) сертификаты передаются в открытом виде.

Мотвивация. Во-первых, огораживаем крайне мерзкий и небезопасный метод CONNECT. Например, посылаем лесом при попытке CONNECT без TLS. Во-вторых, режем всякие левые TLS: OpenVPN, SSH и прочую фигню. В-третьих, блокируем нежелательные сертификаты. В-четвёртых, получаем возможность вести аудит кто лез на «чувствительные» ресурсы типа и-банка. В-пятых, получаем документальное обоснование для репрессивных воздействий не идиотов, неспособных понять политику ИБ в организации.

Выполнено, кстати, очень плохо. Как я понял, нет возможности классифицировать соединения по серийнику, набору шифров, открытому ключу, квалифицированности (есть только проверка на валидность, что само по себе отсекает 99% всякой левоты), цепочке сертификатов. Это не считая массы глюков. ГОСТ будет только при использовании libressl (кстати, там очень нихреновая нативная поддержка, в отличие от).

Но, для блокирования всякой хероты типа фтентакля с фейспуком — сгодится. Причём будут заблокированы соединения *любой* генеалогии. Предваряя невысказанные вопросы: да, у гугла на поиск, гмыл и гплюс сертификаты *разные*.

Я неоднократно писал, и здесь и не здесь, что тотальная тлсизация до добра не доведёт. Мы такими темпами в инет скоро будем по паспорту ходить.

Оки , подскажите , тогда оно позволяет просматривать содержимое и как пашет mitmproxy?

Оки , подскажите , тогда оно позволяет просматривать содержимое и как пашет mitmproxy?

Сорри, парсер на данной фразе сломался, а libastral в пересборке...

Но, как я понимаю, ты (да и не только ты, на самом деле) путаешь виды MiTM на TLS. Фишка в том, что даже пассивный MiTM (в смысле просто наблюдение, без вмешательства в работу) может рассказать очень многое.

В TLS, как и во всех схожих протоколах, наружу выпирает скотская сущность ЭЦП: возможность доказывать третьим лицам. Увы, это не всегда то что именно хочется. Если тебе нужны подробности, смотри (в т.ч. весьма годную видеолекцию) Яна Голдберга, автора OTR.

Пассивный MiTM прекрасно видит TLS хендшейк, и получает не только кучу различной метаинформации (IPшники, SNI если есть, серверные сертификаты, клиентские сертификаты и т.п.), но и криптографические гарантии подлинности сервера и клиента.

Более чем достаточно, если вопрос идёт о фильтрации. Никакого активного MiTM (вмешательства в работу), никаких затрат на перешифрование. Даже никакого парсинга HTTP(/2) не требутеся. Потому что не нужно. «Прикладные» задачи типа «запретить фейсбук» или «запретить ЛОР» прекрасно решаются. Причём, не одним путём: возможны и чёрные списки, и белые списки, и запрет индивидуальных сертификатов (по хешу или открытому ключу), запрет группы сертификатов (по CN, subject alt name, центру сертификации (актуально для «облачников»)). Как не странно, гранулярность «на удивление годная».

Вот, собственно и всё.

К сожалению, сейчас мировое ИТ находится под властью хипстеров. А они не в состоянии противостоять вызовам современности, и интернет сливается в СГ. Вернее, давным-давно уже слился.

один сертификат на всех

CN в сертификате должно совпадать с доменным именем, иначе твой браузер поднимет тревогу. «Один сертификат на всех» - это, ИМХО, вообще идет вразрез с идеей HTTPS, и вряд ли ты найдешь такого хостера.

Шикарно если это так, и какой же от этого профит тогда?

А профит в том, что теперь https можно фильтровать прозрачно, без явного указания proxy в настройках клиента.

CN в сертификате должно совпадать с доменным именем, иначе твой браузер поднимет тревогу.

Ну поднимает и че.

«Один сертификат на всех» - это, ИМХО, вообще идет вразрез с идеей HTTPS, и вряд ли ты найдешь такого хостера.
и вряд ли ты найдешь такого хостера

Кто сказал хетзнер, nic.ru?

А профит в том, что теперь https можно фильтровать прозрачно, без явного указания proxy в настройках клиента.

Получается, что профит не полноценный.

Пассивный MiTM

что такое «пассивный MiTM»? MiTM по определению есть активное вмешательство в сеанс связи

MiTM по определению есть активное вмешательство в сеанс связи

Нет. Наоборот. См. напр. http://blog.watchfire.com/AMitM.pdf

Ну поднимает и че.

Не, ну если тебе и твоим клиентам пофиг - то делай как хочешь ;)

Кто сказал хетзнер, nic.ru?

OK, занес в список хостингов для нищебродов.