Om man gör bedömningen att man vill virusscanna all trafik innan den når användarnas datorer så är SSL naturligtvis ett stort problem; krypterade förbindelser öppnar en fet tunnel för elak kod att nå användarnas datorer ostört. Notera till exempel incidenten nyligen där angreppskod injicerades via mouseover() i annonserna i Gmails högerspalt.

Nu vet jag väl inte om det här ändå är en särskilt bra idé, men jag förstår motiveringen.

Det är jättelätt att skapa en implicit proxy om man är administratör på ett nätverk. Ta all data på port 80 samt 443 – där 100% av alla webservrar som riksdagsledamöterna besöker finns – och skicka till proxyn.
Vips behöver man inte konfigurera varje enskild dator (...som förvisso nog bara är ghostade identiskt eller motsvarande), förutsatt att man inte vill ha samma säkerhet även utanför Riksdagens egna nätverk.

En implicit proxy går inte att “konfigurera bort” utan behöver undvikas specifikt genom verktyg som inte brukar stå med på en vanlig Svenssons IT-CV.

Sannolikheten att en organisation som Riksdagen administrerar en egen certifikatutfärdare (CA, Certificate Authority). Denna är lämpligen förinstallerad på samtliga Riksdagens datorsystem (administreras t.ex. genom en Windows-domän/LDAP).
Detta innebär att vem som helst med rättighet att signera certifikatförfrågningar (CSR, Certificate Sign Request) kan skapa en krypterad kommunikation som samtliga Riksdagsdatorer litar blint på. Inklusive en proxy som gör det automagiskt genom att kapa SSL-anslutningar.

Att jämföra och märka att alla webservrar i hela världen använder samma ursprungliga root-CA är inte något ordinarie säkerhetssystem för persondatorer (eller ens mer avancerade skulle jag tro) gör.

Hade riksdagsledamöterna installerat Firefox (eller bara tagit med en egen dator kanske…) och surfat så hade man omedelbart fått upp flertalet varningar om felaktiga certifikat. Det bör ha väckt misstankar.
Har någon testat fristående datorsystem på Riksdagens nät?

Tack för kommenterar och tips Nixon och grävlingen – mycket intressant. En genuint otrevlig burk Bluecoats ProxySG. Att den säljs med motivering att man får bättre säkerhet och bättre webbprestanda är närmast skrattretande.

Vad är det som gör att IT-avdelningen på Riksdagen behöver kunna se in i ledamöternas trafik på det viset?

Jag skall blogga lite till om detta. Stort tack!

Det tarvar förstås att man har proxyn inställd i sin browser, men det utgår jag ifrån att alla rikadagsledarmöter har. Det vore onekligen intressant att få vet ifall deras proxy verkligen har en dylik “generera certs run-time”-grej och isf vilket CA cert de använder? Har t.ex ledamöterna installerat något CA cert för riksdagen?