Etibar zənciri. CC BY-SA 4.0
SSL trafik yoxlaması (SSL/TLS şifrəsinin açılması, SSL və ya DPI təhlili) korporativ sektorda getdikcə daha çox müzakirə mövzusuna çevrilir. Trafikin şifrəsini açmaq ideyası kriptoqrafiya anlayışına zidd görünür. Bununla belə, fakt faktdır: getdikcə daha çox şirkət DPI texnologiyalarından istifadə edir və bunu məzmunu zərərli proqram, məlumat sızması və s. üçün yoxlamaq ehtiyacı ilə izah edir.
Yaxşı, əgər belə bir texnologiyanın tətbiqinə ehtiyac olduğunu qəbul etsək, heç olmasa, bunu mümkün qədər təhlükəsiz və ən yaxşı idarə olunan üsullarla həyata keçirməyin yollarını nəzərdən keçirməliyik. Heç olmasa o sertifikatlara, məsələn, DPI sistem təchizatçısının sizə verdiyi sertifikatlara etibar etməyin.
Tətbiqin hər kəsin bilmədiyi bir cəhəti var. Əslində, bir çox insanlar bunu eşidəndə həqiqətən təəccüblənirlər. Bu, özəl sertifikatlaşdırma orqanıdır (CA). Trafikin şifrəsini açmaq və yenidən şifrələmək üçün sertifikatlar yaradır.
Öz-özünə imzalanmış sertifikatlara və ya DPI cihazlarının sertifikatlarına etibar etmək əvəzinə, GlobalSign kimi üçüncü tərəf sertifikat orqanının xüsusi CA-dan istifadə edə bilərsiniz. Ancaq əvvəlcə problemin özünə bir az nəzər salaq.
SSL yoxlaması nədir və nə üçün istifadə olunur?
Getdikcə daha çox ictimai vebsayt HTTPS-ə keçir. Məsələn, görə , 2019-cu ilin sentyabr ayının əvvəlində Rusiyada şifrələnmiş trafikin payı 83%-ə çatıb.
Təəssüf ki, trafik şifrələməsi təcavüzkarlar tərəfindən getdikcə daha çox istifadə olunur, xüsusən Let's Encrypt minlərlə pulsuz SSL sertifikatını avtomatlaşdırılmış şəkildə yaydığından. Beləliklə, HTTPS hər yerdə istifadə olunur - və brauzerin ünvan çubuğundakı asma kilid təhlükəsizliyin etibarlı göstəricisi kimi xidmət etməyi dayandırdı.
DPI həlləri istehsalçıları öz məhsullarını bu mövqelərdən təbliğ edirlər. Onlar zərərli trafiki süzərək son istifadəçilər (yəni internetə baxan işçiləriniz) və İnternet arasında yerləşdirilir. Bu gün bazarda bir sıra belə məhsullar var, lakin proseslər mahiyyətcə eynidir. HTTPS trafiki şifrənin açıldığı və zərərli proqram üçün yoxlanıldığı yoxlama cihazından keçir.
Doğrulama tamamlandıqdan sonra cihaz məzmunun şifrəsini açmaq və yenidən şifrələmək üçün son müştəri ilə yeni SSL sessiyası yaradır.
Şifrənin açılması/yenidən şifrələmə prosesi necə işləyir
SSL yoxlama cihazının paketləri son istifadəçilərə göndərməzdən əvvəl deşifrə etməsi və yenidən şifrələməsi üçün o, SSL sertifikatlarını tez bir zamanda verə bilməlidir. Bu o deməkdir ki, onun CA sertifikatı quraşdırılmalıdır.
Şirkət (və ya ortada olan şəxs) üçün bu SSL sertifikatlarının brauzerlər tərəfindən etibarlı olması vacibdir (yəni, aşağıdakı kimi qorxulu xəbərdarlıq mesajlarını işə salmayın). Buna görə də CA zənciri (və ya iyerarxiya) brauzerin etibar mağazasında olmalıdır. Bu sertifikatlar ictimai etibarlı sertifikat orqanlarından verilmədiyi üçün siz CA iyerarxiyasını bütün son müştərilərə əl ilə paylamalısınız.
Chrome-da özünü imzalayan sertifikat üçün xəbərdarlıq mesajı. Mənbə:
Windows kompüterlərində Active Directory və Group Policies istifadə edə bilərsiniz, lakin mobil cihazlar üçün prosedur daha mürəkkəbdir.
Korporativ mühitdə, məsələn, Microsoft-dan və ya OpenSSL-ə əsaslanan digər kök sertifikatları dəstəkləmək lazımdırsa, vəziyyət daha da mürəkkəbləşir. Üstəlik, hər hansı bir açarın gözlənilmədən bitməməsi üçün şəxsi açarların qorunması və idarə edilməsi.
Ən yaxşı seçim: üçüncü tərəf CA-dan özəl, xüsusi kök sertifikatı
Çoxlu kökləri və ya öz-özünə imzalanmış sertifikatları idarə etmək cəlbedici deyilsə, başqa bir seçim var: üçüncü tərəf CA-ya güvənmək. Bu vəziyyətdə sertifikatlar verilir özəl şirkət üçün xüsusi olaraq yaradılmış xüsusi, özəl kök CA ilə etibar zəncirində birləşdirilən CA.
Xüsusi müştəri kök sertifikatları üçün sadələşdirilmiş arxitektura
Bu quraşdırma daha əvvəl qeyd olunan bəzi problemləri aradan qaldırır: ən azı idarə edilməli olan köklərin sayını azaldır. Burada istənilən sayda aralıq CA ilə bütün daxili PKI ehtiyacları üçün yalnız bir özəl kök səlahiyyətindən istifadə edə bilərsiniz. Məsələn, yuxarıdakı diaqram çox səviyyəli iyerarxiyanı göstərir, burada aralıq CA-lardan biri SSL yoxlanışı/şifrəsinin açılması üçün, digəri isə daxili kompüterlər (noutbuklar, serverlər, iş masaları və s.) üçün istifadə olunur.
Bu dizaynda bütün müştərilərdə CA-nı yerləşdirməyə ehtiyac yoxdur, çünki yüksək səviyyəli CA məxfi açarın mühafizəsi və istifadə müddəti bitmə məsələlərini həll edən GlobalSign tərəfindən yerləşdirilir.
Bu yanaşmanın başqa bir üstünlüyü hər hansı bir səbəbdən SSL yoxlama orqanını ləğv etmək imkanıdır. Bunun əvəzinə, orijinal şəxsi kökünüzə bağlı olan yenisi sadəcə yaradılır və siz ondan dərhal istifadə edə bilərsiniz.
Bütün mübahisələrə baxmayaraq, müəssisələr daxili və ya özəl PKI infrastrukturunun bir hissəsi kimi SSL trafik yoxlamasını getdikcə daha çox tətbiq edirlər. Şəxsi PKI üçün digər istifadələrə cihaz və ya istifadəçinin autentifikasiyası üçün sertifikatların verilməsi, daxili serverlər üçün SSL və CA/Brauzer Forumunun tələb etdiyi kimi ictimai etibarlı sertifikatlarda icazə verilməyən müxtəlif konfiqurasiyalar daxildir.
Brauzerlər mübarizə aparır
Qeyd etmək lazımdır ki, brauzer tərtibatçıları bu tendensiyaya qarşı durmağa və son istifadəçiləri MiTM-dən qorumağa çalışırlar. Məsələn, bir neçə gün əvvəl Mozilla Firefox-un növbəti brauzer versiyalarından birində standart olaraq DoH (HTTPS üzərində DNS) protokolunu aktivləşdirin. DoH protokolu DNS sorğularını DPI sistemindən gizlədir və SSL yoxlamasını çətinləşdirir.
Oxşar planlar haqqında 10 sentyabr 2019-cu il Chrome brauzeri üçün Google.
Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. xahiş edirəm.
Sizcə, bir şirkətin öz işçilərinin SSL trafikini yoxlamaq hüququ varmı?
-
Bəli, onların razılığı ilə
-
Xeyr, belə razılıq istəmək qanunsuz və/və ya qeyri-etikdir
122 istifadəçi səs verib. 15 istifadəçi bitərəf qalıb.
Mənbə: www.habr.com