Lanac poverenja. CC BY-SA 4.0
Inspekcija SSL prometa (SSL/TLS dešifriranje, SSL ili DPI analiza) postaje sve vruća tema rasprave u korporativnom sektoru. Čini se da je ideja dešifriranja prometa u suprotnosti sa samim konceptom kriptografije. Međutim, činjenica je činjenica: sve više kompanija koristi DPI tehnologije, objašnjavajući to potrebom provjere sadržaja na zlonamjerni softver, curenje podataka itd.
Pa, ako prihvatimo činjenicu da takvu tehnologiju treba implementirati, onda bismo barem trebali razmotriti načine da to učinimo na najsigurniji i najbolje vođen način. Barem se nemojte oslanjati na te certifikate, na primjer, koje vam daje dobavljač DPI sistema.
Postoji jedan aspekt implementacije za koji ne znaju svi. U stvari, mnogi ljudi su zaista iznenađeni kada čuju za to. Ovo je privatno certifikacijsko tijelo (CA). Generira certifikate za dešifriranje i ponovno šifriranje prometa.
Umjesto da se oslanjate na samopotpisane certifikate ili certifikate s DPI uređaja, možete koristiti namjenski CA od treće strane za izdavanje certifikata kao što je GlobalSign. Ali prvo, hajde da napravimo mali pregled samog problema.
Šta je SSL inspekcija i zašto se koristi?
Sve više javnih web stranica prelazi na HTTPS. Na primjer, prema , početkom septembra 2019. godine, udio šifrovanog saobraćaja u Rusiji dostigao je 83%.
Nažalost, šifriranje saobraćaja sve više koriste napadači, posebno otkako Let’s Encrypt distribuira hiljade besplatnih SSL sertifikata na automatizovan način. Dakle, HTTPS se koristi svuda - a katanac u adresnoj traci pretraživača je prestao da služi kao pouzdan pokazatelj sigurnosti.
Proizvođači DPI rješenja promoviraju svoje proizvode sa ovih pozicija. Oni su ugrađeni između krajnjih korisnika (tj. vaših zaposlenika koji pretražuju web) i interneta, filtrirajući zlonamjerni promet. Danas postoji veliki broj takvih proizvoda na tržištu, ali su procesi u suštini isti. HTTPS promet prolazi kroz uređaj za inspekciju gdje se dešifruje i provjerava na zlonamjerni softver.
Kada je provjera završena, uređaj kreira novu SSL sesiju s krajnjim klijentom za dešifriranje i ponovno šifriranje sadržaja.
Kako funkcionira proces dešifriranja/ponovnog šifriranja
Da bi uređaj za SSL inspekciju dešifrirao i ponovo šifrirao pakete prije nego što ih pošalje krajnjim korisnicima, mora biti u mogućnosti izdavati SSL certifikate u hodu. To znači da mora imati instaliran CA certifikat.
Za kompaniju (ili bilo koga u sredini) važno je da pretraživači imaju povjerenja u ove SSL certifikate (tj. da ne pokreću zastrašujuće poruke upozorenja poput one ispod). Stoga CA lanac (ili hijerarhija) mora biti u skladištu povjerenja pretraživača. Budući da ovi certifikati nisu izdani od javnih ovlaštenih certifikata, morate ručno distribuirati CA hijerarhiju svim krajnjim klijentima.
Poruka upozorenja za samopotpisani certifikat u Chromeu. Izvor:
Na Windows računarima možete koristiti Active Directory i Group Policies, ali za mobilne uređaje postupak je komplikovaniji.
Situacija postaje još složenija ako trebate podržati druge korijenske certifikate u korporativnom okruženju, na primjer, od Microsofta ili bazirane na OpenSSL-u. Plus zaštita i upravljanje privatnim ključevima kako nijedan ključ ne bi neočekivano istekao.
Najbolja opcija: privatni, namjenski root certifikat od CA treće strane
Ako upravljanje s više korijenskih ili samopotpisanih certifikata nije privlačno, postoji još jedna opcija: oslanjanje na CA treće strane. U ovom slučaju, certifikati se izdaju od privatni CA koji je povezan u lancu povjerenja s namjenskim, privatnim korijenskim CA kreiranim posebno za kompaniju.
Pojednostavljena arhitektura za namjenske korijenske certifikate klijenta
Ova postavka eliminira neke od ranije spomenutih problema: barem smanjuje broj root-ova kojima se treba upravljati. Ovdje možete koristiti samo jedno privatno korijensko ovlaštenje za sve interne PKI potrebe, sa bilo kojim brojem srednjih CA. Na primjer, gornji dijagram prikazuje hijerarhiju na više nivoa gdje se jedan od srednjih CA-a koristi za SSL verifikaciju/dešifriranje, a drugi se koristi za interne računare (laptopovi, serveri, desktopi, itd.).
U ovom dizajnu, nema potrebe za hostovanjem CA na svim klijentima jer CA najvišeg nivoa hostuje GlobalSign, koji rešava probleme zaštite privatnog ključa i isteka.
Još jedna prednost ovog pristupa je mogućnost opoziva ovlaštenja SSL inspekcije iz bilo kojeg razloga. Umjesto toga, jednostavno se kreira novi, koji je vezan za vaš originalni privatni korijen i možete ga odmah koristiti.
Uprkos svim kontroverzama, preduzeća sve više implementiraju SSL prometnu inspekciju kao dio svoje interne ili privatne PKI infrastrukture. Ostale upotrebe privatnog PKI-ja uključuju izdavanje certifikata za autentifikaciju uređaja ili korisnika, SSL za interne servere i razne konfiguracije koje nisu dozvoljene u javnim pouzdanim certifikatima kako to zahtijeva CA/Browser Forum.
Preglednici uzvraćaju udarac
Treba napomenuti da programeri pretraživača pokušavaju da se suprotstave ovom trendu i zaštite krajnje korisnike od MiTM-a. Na primjer, prije nekoliko dana Mozilla Omogućite DoH (DNS-over-HTTPS) protokol prema zadanim postavkama u jednoj od sljedećih verzija preglednika u Firefoxu. DoH protokol skriva DNS upite iz DPI sistema, što otežava SSL inspekciju.
O sličnim planovima 10 Google za Chrome pretraživač.
Samo registrovani korisnici mogu učestvovati u anketi. molim.
Da li mislite da kompanija ima pravo da kontroliše SSL saobraćaj svojih zaposlenih?
-
Da, uz njihov pristanak
-
Ne, traženje takvog pristanka je nezakonito i/ili neetično
Glasalo je 122 korisnika. Uzdržano je bilo 15 korisnika.
izvor: www.habr.com