ዲፒአይ (ኤስኤስኤል ፍተሻ) ከክሪፕቶግራፊ ቅንጣት ጋር ይቃረናል፣ ኩባንያዎች ግን እየተገበሩት ነው።

የመተማመን ሰንሰለት. CC BY-SA 4.0 ያንፓስ

የኤስ ኤስ ኤል የትራፊክ ፍተሻ (ኤስኤስኤል/ቲኤልኤስ ዲክሪፕት ፣ኤስኤስኤል ወይም ዲፒአይ ትንተና) በኮርፖሬት ሴክተር ውስጥ ከጊዜ ወደ ጊዜ አነጋጋሪ የውይይት ርዕስ እየሆነ ነው። ትራፊክን የመግለጽ ሀሳብ ከክሪፕቶግራፊ ጽንሰ-ሀሳብ ጋር የሚጋጭ ይመስላል። ነገር ግን፣ እውነታው እውነት ነው፡ ቁጥራቸው እየጨመረ የመጣ ኩባንያዎች የዲፒአይ ቴክኖሎጂዎችን እየተጠቀሙ ነው፣ ይህንንም ለማልዌር፣ የውሂብ ፍንጣቂዎች፣ ወዘተ ያለውን ይዘት መፈተሽ አስፈላጊ መሆኑን በማብራራት ነው።

ደህና፣ እንዲህ ዓይነቱ ቴክኖሎጂ መተግበር እንዳለበት ከተቀበልን ቢያንስ ቢያንስ በተቻለ መጠን ደህንነቱ በተጠበቀ እና በደንብ በተቀናጀ መንገድ ለማድረግ መንገዶችን ማጤን አለብን። ቢያንስ በእነዚያ የምስክር ወረቀቶች ላይ አትመኑ፣ ለምሳሌ፣ የዲፒአይ ስርዓት አቅራቢው በሚሰጥዎ።

ሁሉም ሰው የማያውቀው የአተገባበር አንድ ገጽታ አለ. እንዲያውም ብዙ ሰዎች ስለ ጉዳዩ ሲሰሙ በጣም ይገረማሉ። ይህ የግል የምስክር ወረቀት ባለስልጣን (CA) ነው። ትራፊክን ለመቅጠር እና እንደገና ለማመስጠር የምስክር ወረቀቶችን ያመነጫል።

በራስ በተፈረሙ ሰርተፊኬቶች ወይም በዲፒአይ መሳሪያዎች የምስክር ወረቀቶች ላይ ከመተማመን ይልቅ እንደ GlobalSign ካሉ የሶስተኛ ወገን የምስክር ወረቀት ባለስልጣን የተወሰነ CA መጠቀም ይችላሉ። በመጀመሪያ ግን የችግሩን አጠቃላይ እይታ እናንሳ።

SSL ፍተሻ ምንድን ነው እና ለምን ጥቅም ላይ ይውላል?

ተጨማሪ እና ተጨማሪ ይፋዊ ድረ-ገጾች ወደ HTTPS እየተዘዋወሩ ነው። ለምሳሌ, መሠረት Chrome ስታቲስቲክስበሴፕቴምበር 2019 መጀመሪያ ላይ በሩሲያ ውስጥ የተመሰጠረ ትራፊክ ድርሻ 83 በመቶ ደርሷል።

እንደ አለመታደል ሆኖ የትራፊክ ምስጠራ በአጥቂዎች ጥቅም ላይ እየዋለ ነው፣በተለይ እንመስጥር በሺዎች የሚቆጠሩ ነፃ የኤስኤስኤል ሰርተፍኬቶችን በራስ-ሰር ስለሚያሰራጭ ነው። ስለዚህ ኤችቲቲፒኤስ በሁሉም ቦታ ጥቅም ላይ ይውላል - እና በአሳሹ የአድራሻ አሞሌ ውስጥ ያለው መቆለፊያ እንደ አስተማማኝ የደህንነት አመላካች ሆኖ ማገልገል አቁሟል።

የዲፒአይ መፍትሄዎች አምራቾች ምርቶቻቸውን ከእነዚህ ቦታዎች ያስተዋውቃሉ። ተንኮል አዘል ትራፊክን በማጣራት በዋና ተጠቃሚዎች (ማለትም ሰራተኞችዎ ድህረ ገጽን በማሰስ) እና በበይነ መረብ መካከል የተካተቱ ናቸው። ዛሬ በገበያ ላይ ብዙ እንደዚህ ያሉ ምርቶች አሉ, ነገር ግን ሂደቶቹ በመሠረቱ ተመሳሳይ ናቸው. የኤችቲቲፒኤስ ትራፊክ ዲክሪፕት በተደረገበት እና ማልዌር አለመኖሩን በሚረጋገጥበት የፍተሻ መሳሪያ ውስጥ ያልፋል።

ማረጋገጫው እንደተጠናቀቀ፣ መሳሪያው ይዘቱን ለመቅጠር እና እንደገና ለማመስጠር ከዋና ደንበኛ ጋር አዲስ የSSL ክፍለ ጊዜ ይፈጥራል።

የዲክሪፕት/ዳግም ምስጠራ ሂደት እንዴት እንደሚሰራ

የኤስ ኤስ ኤል ፍተሻ መሳሪያ ፓኬጆችን ለዋና ተጠቃሚዎች ከመላኩ በፊት ዲክሪፕት ለማድረግ እና እንደገና ለማመስጠር፣ በበረራ ላይ የኤስኤስኤል ሰርተፍኬቶችን መስጠት መቻል አለበት። ይህ ማለት የ CA ሰርተፍኬት መጫን አለበት ማለት ነው።

እነዚህ የSSL ሰርተፊኬቶች በአሳሾች መታመናቸው ለኩባንያው (ወይም በመሃል ላይ ያለ ማንኛውም ሰው) አስፈላጊ ነው (ማለትም፣ ከታች እንዳለው አስፈሪ የማስጠንቀቂያ መልዕክቶችን አታስነሱ)። ስለዚህ የCA ሰንሰለት (ወይም ተዋረድ) በአሳሹ የእምነት ማከማቻ ውስጥ መሆን አለበት። እነዚህ የምስክር ወረቀቶች በይፋ ከሚታመኑ የምስክር ወረቀት ባለስልጣናት ስላልተሰጡ የCA ተዋረድን እራስዎ ለሁሉም ዋና ደንበኞች ማሰራጨት አለብዎት።

በChrome ውስጥ በራስ የተፈረመ የምስክር ወረቀት የማስጠንቀቂያ መልእክት። ምንጭ፡- BadSSL.com

በዊንዶውስ ኮምፒውተሮች ላይ አክቲቭ ዳይሬክተሩን እና የቡድን ፖሊሲዎችን መጠቀም ይችላሉ ነገር ግን ለሞባይል መሳሪያዎች አሰራሩ የበለጠ የተወሳሰበ ነው.

ሌሎች የስር ሰርተፍኬቶችን በድርጅት አካባቢ ለምሳሌ ከማይክሮሶፍት ወይም በOpenSSL ላይ መደገፍ ከፈለጉ ሁኔታው ​​ይበልጥ የተወሳሰበ ይሆናል። በተጨማሪም ማንኛውም ቁልፎች በድንገት እንዳያልቁ የግል ቁልፎች ጥበቃ እና አያያዝ።

ምርጥ አማራጭ፡ የግል፣ ከሶስተኛ ወገን CA የተገኘ ስርወ ሰርተፍኬት

ብዙ ሥሮችን ወይም በራስ የተፈረሙ የምስክር ወረቀቶችን ማስተዳደር ማራኪ ካልሆነ ሌላ አማራጭ አለ፡ በሶስተኛ ወገን CA ላይ መታመን። በዚህ ጉዳይ ላይ የምስክር ወረቀቶች የተሰጡ ናቸው የግል በተለይ ለኩባንያው ከተፈጠረ የግል ስር CA ጋር በመተማመን ሰንሰለት የተገናኘ CA።

ለደንበኛ ስር ሰርተፊኬቶች ቀለል ያለ አርክቴክቸር

ይህ ማዋቀር ቀደም ሲል የተጠቀሱትን አንዳንድ ችግሮች ያስወግዳል-ቢያንስ ቢያንስ ማስተዳደር የሚያስፈልጋቸውን ሥሮች ቁጥር ይቀንሳል. እዚህ ለሁሉም የPKI ፍላጎቶች አንድ የግል ስርወ ባለስልጣን ከማንኛውም መካከለኛ CA ዎች ጋር መጠቀም ይችላሉ። ለምሳሌ፣ ከላይ ያለው ሥዕላዊ መግለጫ ከመካከለኛው ሲኤዎች አንዱ ለኤስኤስኤል ማረጋገጫ/ዲክሪፕት የሚውልበት እና ሌላው ለውስጥ ኮምፒውተሮች (ላፕቶፕ፣ አገልጋይ፣ ዴስክቶፕ፣ ወዘተ) የሚያገለግል ባለብዙ ደረጃ ተዋረድ ያሳያል።

በዚህ ንድፍ ውስጥ በሁሉም ደንበኞች ላይ CA ማስተናገድ አያስፈልግም ምክንያቱም ከፍተኛ-ደረጃ CA የሚስተናገደው በ GlobalSign ሲሆን ይህም የግል ቁልፍ ጥበቃ እና የአገልግሎት ማብቂያ ጉዳዮችን ይፈታል።

የዚህ አቀራረብ ሌላው ጥቅም በማንኛውም ምክንያት የኤስ ኤስ ኤል ቁጥጥር ባለስልጣንን የመሻር ችሎታ ነው. በምትኩ, አዲስ በቀላሉ ተፈጥሯል, እሱም ከመጀመሪያው የግል ስርዎ ጋር የተሳሰረ ነው, እና ወዲያውኑ ሊጠቀሙበት ይችላሉ.

ምንም እንኳን ሁሉም ውዝግቦች ቢኖሩም፣ ኢንተርፕራይዞች የSSL የትራፊክ ፍተሻን እንደ የውስጥ ወይም የግል የPKI መሠረተ ልማት አካል አድርገው እየተገበሩ ነው። ለግል PKI ሌሎች አጠቃቀሞች የምስክር ወረቀቶችን ለመሣሪያ ወይም ለተጠቃሚ ማረጋገጥ፣ ኤስኤስኤል ለውስጣዊ አገልጋዮች እና በCA/ አሳሽ ፎረም በሚጠይቀው መሰረት በሕዝብ የታመኑ የምስክር ወረቀቶች ላይ ያልተፈቀዱ የተለያዩ አወቃቀሮችን ያካትታል።

አሳሾች እየተዋጉ ነው።

የአሳሽ ገንቢዎች ይህንን አዝማሚያ ለመቋቋም እና የመጨረሻ ተጠቃሚዎችን ከMiTM ለመጠበቅ እየሞከሩ እንደሆነ ልብ ሊባል ይገባል። ለምሳሌ፣ ከጥቂት ቀናት በፊት ሞዚላ ወስኗል በፋየርፎክስ ውስጥ ከሚቀጥሉት የአሳሽ ስሪቶች በአንዱ የዶኤች (ዲ ኤን ኤስ በላይ-ኤችቲቲፒኤስ) ፕሮቶኮልን በነባሪነት አንቃ። የዶኤች ፕሮቶኮል የዲ ኤን ኤስ መጠይቆችን ከዲፒአይ ስርዓት ይደብቃል፣ ይህም የSSL ፍተሻን አስቸጋሪ ያደርገዋል።

ስለ ተመሳሳይ ዕቅዶች ሴፕቴምበር 10፣ 2019 አስታውቋል ጉግል ለ Chrome አሳሽ።

በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። ስግን እንእባክህን።

አንድ ኩባንያ የሰራተኞቹን SSL ትራፊክ የመመርመር መብት ያለው ይመስልዎታል?

• አዎ፣ በነሱ ፈቃድ

• አይ፣ እንደዚህ አይነት ፍቃድ መጠየቅ ህገወጥ እና/ወይም ኢ-ሥነ ምግባራዊ ነው።

122 ተጠቃሚዎች ድምጽ ሰጥተዋል። 15 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።

ምንጭ: hab.com