የትረስት ሰንሰለት። CC BY-SA 4.0
የኤስኤስኤል የትራፊክ ፍተሻ (ኤስኤስኤል/ቲኤልኤስ ዲክሪፕት፣ ኤስኤስኤል ትንተና ወይም ዲፒአይ) በኮርፖሬት ዘርፍ ውስጥ እየጨመረ የመጣ አነጋጋሪ ርዕስ እየሆነ መጥቷል። የትራፊክ ዲክሪፕት የማድረግ ሀሳብ ከክሪፕቶግራፊ ጽንሰ-ሀሳብ ጋር የሚቃረን ይመስላል። ሆኖም ግን፣ እውነታው አሁንም አለ፡- ቁጥራቸው እየጨመረ የመጣ ኩባንያዎች የዲፒአይ ቴክኖሎጂዎችን እየተጠቀሙ ነው፣ ይህም ይዘትን ለተንኮል አዘል ዌር፣ የውሂብ መፍሰስ እና የመሳሰሉትን ለመቃኘት አስፈላጊነትን በመጥቀስ ነው።
እሺ፣ እንዲህ ዓይነቱ ቴክኖሎጂ ተግባራዊ መሆን እንዳለበት ከተቀበልን፣ ቢያንስ በጣም ደህንነቱ በተጠበቀ እና በሚገባ በተደራጀ መንገድ ለማድረግ መንገዶችን ማጤን አለብን። ቢያንስ፣ ለምሳሌ በዲፒአይ ሲስተም አቅራቢው በተሰጡ የምስክር ወረቀቶች ላይ መተማመን የለብንም።
ሁሉም ሰው የማያውቀው አንድ የአተገባበር ገጽታ አለ። እንደ እውነቱ ከሆነ ብዙዎች ስለሱ ሲሰሙ በእውነት ይገረማሉ። ይህ የግል የምስክር ወረቀት ባለስልጣን (CA) ነው። ትራፊክን ዲክሪፕት ለማድረግ እና እንደገና ለማመስጠር የምስክር ወረቀቶችን ያመነጫል።
በራስ የተፈረሙ የምስክር ወረቀቶችን ወይም ከዲፒአይ መሳሪያዎች የምስክር ወረቀቶችን ከመጠቀም ይልቅ፣ እንደ ግሎባልስግ ያሉ ከሶስተኛ ወገን ሲኤ የተገኘ የተወሰነ ሲኤ መጠቀም ይችላሉ። ነገር ግን በመጀመሪያ፣ ጉዳዩን በአጭሩ እንመልከት።
የSSL ምርመራ ምንድን ነው እና ለምን ጥቅም ላይ ይውላል?
ቁጥራቸው እየጨመረ የመጣ የሕዝብ ድረ-ገጾች ወደ HTTPS እየተቀየሩ ነው። ለምሳሌ፣ በመስከረም 2019 መጀመሪያ ላይ በሩሲያ ውስጥ የተመሰጠረ የትራፊክ መጠን 83% ደርሷል።
በሚያሳዝን ሁኔታ፣ የትራፊክ ኢንክሪፕሽን በአጥቂዎች እየተጠቀመበት ነው፣ በተለይም “እን ኢንክሪፕሽን” በሺዎች የሚቆጠሩ ነፃ የኤስኤስኤል የምስክር ወረቀቶችን በራስ-ሰር ስለሚያሰራጭ። በዚህም ምክንያት፣ HTTPS በሁሉም ቦታ ጥቅም ላይ ይውላል፣ እና በአሳሽ አድራሻ አሞሌ ውስጥ ያለው መቆለፊያ ከእንግዲህ አስተማማኝ የደህንነት አመልካች አይደለም።
ይህ የዲፒአይ መፍትሔ አቅራቢዎች የሚወስዱት አካሄድ ነው። እነዚህ ዘዴዎች በመጨረሻ ተጠቃሚዎች (ማለትም ድርን የሚያሰሱ ሰራተኞችዎ) እና በኢንተርኔት መካከል ይተላለፋሉ፣ ተንኮል አዘል ትራፊክን ያጣራሉ። ዛሬ በገበያ ላይ እንደዚህ ያሉ በርካታ ምርቶች አሉ፣ ነገር ግን ሂደቶቹ በመሠረቱ ተመሳሳይ ናቸው። የኤችቲቲፒኤስ ትራፊክ በፍተሻ መሳሪያ ውስጥ ያልፋል፣ እዚያም ዲክሪፕት ተደርጎለት ማልዌር መኖሩን ያረጋግጣል።
ማረጋገጫው አንዴ ከተጠናቀቀ በኋላ፣ መሳሪያው ይዘቱን ለመፍታት እና እንደገና ለማመስጠር ከመጨረሻ ደንበኛ ጋር አዲስ የኤስኤስኤል ክፍለ ጊዜ ይፈጥራል።
የዲክሪፕት/ዳግም ምስጠራ ሂደቱ እንዴት ይሰራል?
የኤስኤስኤል ፍተሻ መሣሪያ ፓኬቶችን ለዋና ተጠቃሚዎች ከመላክዎ በፊት ዲክሪፕት ለማድረግ እና እንደገና ኢንክሪፕት ለማድረግ፣ የኤስኤስኤል የምስክር ወረቀቶችን በፍጥነት መስጠት መቻል አለበት። ይህ ማለት የCA የምስክር ወረቀት መጫን አለበት ማለት ነው።
ለአንድ ኩባንያ (ወይም ሌላ ሰው-መካከለኛ) እነዚህ የSSL ሰርተፊኬቶች በአሳሾች የታመኑ መሆናቸው አስፈላጊ ነው (ማለትም፣ ከታች እንደሚታየው አስፈሪ የማስጠንቀቂያ መልዕክቶችን አያስነሱ)። ስለዚህ፣ የCA ሰንሰለት (ወይም ተዋረድ) በአሳሹ የትረስት መደብር ውስጥ መሆን አለበት። እነዚህ ሰርተፊኬቶች ከሕዝብ ከሚታመኑ CAዎች የተሰጡ ስላልሆኑ፣ የCA ተዋረድ ለሁሉም የመጨረሻ ደንበኞች በእጅ መሰራጨት አለበት።
በChrome ውስጥ ለራስ የተፈረመ የምስክር ወረቀት የማስጠንቀቂያ መልእክት። ምንጭ፡
На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.
እንደ ማይክሮሶፍት ወይም በOpenSSL ላይ የተመሰረቱ ሌሎች የስር ሰርተፊኬቶችን በኮርፖሬት አካባቢ ሲደግፉ ሁኔታው የበለጠ ውስብስብ ይሆናል። በተጨማሪም፣ ያልተጠበቀ ጊዜ እንዳያበቃ የግል ቁልፎችን መጠበቅ እና ማስተዳደር አስፈላጊ ነው።
ምርጥ አማራጭ፡ ከሶስተኛ ወገን CA የተገኘ የግል፣ የተወሰነ የስር ሰርተፊኬት
በርካታ ሥሮችን ወይም በራስ የተፈረሙ የምስክር ወረቀቶችን ማስተዳደር ማራኪ ካልሆነ፣ ሌላ አማራጭ አለ፡ በሶስተኛ ወገን CA ላይ መመካት። በዚህ ሁኔታ የምስክር ወረቀቶች የሚሰጡት ከ የግል በእምነት ሰንሰለት ውስጥ ለኩባንያው በተለይ ከተፈጠረ ቁርጠኛ፣ የግል የስር ሰርተፊኬት ባለስልጣን ጋር የተገናኘ የማረጋገጫ ባለስልጣን።
ለወሰኑ የደንበኛ ስርወ ሰርተፊኬቶች ቀላል የሆነ አርክቴክቸር
ይህ ማዋቀር ቀደም ሲል የተጠቀሱትን አንዳንድ ችግሮች ያስወግዳል፤ ቢያንስ ቢያንስ ማስተዳደር የሚያስፈልጋቸውን የስርወች ብዛት ይቀንሳል። እዚህ ላይ፣ አንድ የግል የስርወት ባለስልጣን ለሁሉም የውስጥ PKI ፍላጎቶች፣ ከማንኛውም የመካከለኛ CAዎች ብዛት ጋር ጥቅም ላይ ሊውል ይችላል። ለምሳሌ፣ ከላይ ያለው ዲያግራም አንድ መካከለኛ CA ለኤስኤስኤል ማረጋገጫ/ዲክሪፕት እና ሌላ ለውስጣዊ ኮምፒውተሮች (ላፕቶፖች፣ ሰርቨሮች፣ ዴስክቶፖች፣ ወዘተ) ጥቅም ላይ የሚውልበት ባለብዙ ደረጃ ተዋረድ ያሳያል።
ይህ ዲዛይን በሁሉም ደንበኞች ላይ CA የማስተናገድ አስፈላጊነትን ያስወግዳል ምክንያቱም ከፍተኛ ደረጃ CA የሚስተናገደው በGlobalSign ሲሆን ይህም የግል ቁልፍ ደህንነት እና የአገልግሎት ማብቂያ ችግሮችን ይፈታል።
የዚህ አካሄድ ሌላው ጥቅም በማንኛውም ምክንያት የSSL ፍተሻ CAን የመሻር ችሎታ ነው። አዲስ በቀላሉ በቦታው ይፈጠራል፣ ከዋናው የግል ሥርዎ ጋር የተገናኘ እና ወዲያውኑ ጥቅም ላይ ሊውል ይችላል።
ምንም እንኳን ይህ ሁሉ ውዝግብ ቢኖርም፣ ድርጅቶች የSSL የትራፊክ ፍተሻን እንደ ውስጣዊ ወይም የግል PKI መሠረተ ልማታቸው አካል አድርገው ከጊዜ ወደ ጊዜ እያተገበሩ ነው። ለግል PKI ሌሎች አጠቃቀሞች ለመሳሪያ ወይም ለተጠቃሚ ማረጋገጫ የምስክር ወረቀቶችን መስጠት፣ ለውስጣዊ አገልጋዮች SSL እና በCA/Browser Forum እንደሚያስፈልገው በሕዝብ ታማኝ የምስክር ወረቀቶች ውስጥ የማይፈቀዱ የተለያዩ ውቅሮችን ያካትታሉ።
አሳሾች እየተዋጉ ነው
የአሳሽ ገንቢዎች ይህንን አዝማሚያ ለመቃወም እና የመጨረሻ ተጠቃሚዎችን ከMiTM ለመጠበቅ እየሞከሩ መሆኑን ልብ ሊባል ይገባል። ለምሳሌ፣ ከጥቂት ቀናት በፊት፣ ሞዚላ በፋየርፎክስ ውስጥ ከሚቀጥሉት የአሳሽ ስሪቶች በአንዱ የDoH (DNS-over-HTTPS) ፕሮቶኮልን በነባሪነት ያንቁ። የDoH ፕሮቶኮል የዲኤንኤስ ጥያቄዎችን ከዲፒአይ ሲስተም ይደብቃል፣ ይህም የኤስኤስኤል ምርመራን የበለጠ አስቸጋሪ ያደርገዋል።
በሴፕቴምበር 10፣ 2019 በተመሳሳይ ዕቅዶች ላይ ጉግል ለ Chrome አሳሽ።
በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። እባክህን።
አንድ ኩባንያ የሰራተኞቹን የSSL ትራፊክ የመመርመር መብት አለው ብለው ያስባሉ?
አዎ፣ በእነሱ ፈቃድ
አይ፣ እንዲህ ዓይነቱን ፈቃድ መጠየቅ ሕገወጥ እና/ወይም ሥነ ምግባር የጎደለው ነው።
122 ተጠቃሚዎች ድምጽ ሰጥተዋል። 15 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።
ምንጭ: hab.com
