Catena di fiducia. CC BY-SA 4.0
L'ispezione di u trafficu SSL (decifrazione SSL / TLS, analisi SSL o DPI) hè diventata un tema di discussione sempre più in u settore corporativu. L'idea di decifrare u trafficu pare cuntradisce u cuncettu stessu di criptografia. Tuttavia, u fattu hè un fattu: più è più cumpagnie utilizanu tecnulugii DPI, spieghendu questu da a necessità di verificà u cuntenutu per malware, fughe di dati, etc.
Ebbè, se accettemu u fattu chì una tale tecnulugia deve esse implementata, allora duvemu almenu cunsiderà modi per fà in u modu più sicuru è più bè gestitu pussibule. Almenu ùn vi fidate micca di quelli certificati, per esempiu, chì u fornitore di u sistema DPI vi dà.
Ci hè un aspettu di l'implementazione chì micca tutti cunnosci. In fatti, assai persone sò veramente sorpresi quandu si sentenu parlà. Questa hè una autorità di certificazione privata (CA). Genera certificati per decifrare è ricifrare u trafficu.
Invece di confià in certificati autofirmati o certificati da i dispositi DPI, pudete aduprà una CA dedicata da una autorità di certificazione di terzu cum'è GlobalSign. Ma prima, facemu un pocu generale di u prublema stessu.
Chì ghjè l'ispezione SSL è perchè hè utilizata?
Sempre più siti web publichi si movenu in HTTPS. Per esempiu, secondu à , à u principiu di settembre 2019, a parte di u trafficu criptatu in Russia hà righjuntu 83%.
Sfortunatamente, a criptografia di u trafficu hè sempre più utilizata da l'attaccanti, soprattuttu chì Let's Encrypt distribuisce migliaia di certificati SSL gratuiti in modu automatizatu. Cusì, HTTPS hè utilizatu in ogni locu - è u lucchettu in a barra di indirizzu di u navigatore hà cessatu di serve com'è un indicatore affidabile di sicurità.
I pruduttori di soluzioni DPI prumove i so prudutti da queste pusizioni. Sò incrustati trà l'utilizatori finali (vale à dì i vostri impiegati chì naviganu in u web) è Internet, filtrà u trafficu maliziusu. Ci hè una quantità di tali prudutti nantu à u mercatu oghje, ma i prucessi sò essenzialmente listessi. U trafficu HTTPS passa per un dispositivu d'ispezione induve hè decifratu è verificatu per malware.
Una volta a verificazione hè cumpleta, u dispusitivu crea una nova sessione SSL cù u cliente finale per decifrare è ricifrare u cuntenutu.
Cumu funziona u prucessu di decryption / re-encryption
Per chì l'apparechju d'ispezione SSL decifrarà è ricifrate i pacchetti prima di mandà à l'utilizatori finali, deve esse capace di emette certificati SSL à a mosca. Questu significa chì deve avè un certificatu CA installatu.
Hè impurtante per a cumpagnia (o quellu-in-the-middle) chì questi certificati SSL sò fiduciati da i navigatori (vale à dì, ùn attivate micca messagi d'avvirtimentu spaventosi cum'è quellu quì sottu). Dunque a catena di CA (o ierarchia) deve esse in a tenda di fiducia di u navigatore. Perchè sti certificati ùn sò micca emessi da autorità di certificazione di fiducia publicamente, duvete distribuisce manualmente a ghjerarchia CA à tutti i clienti finali.
Messaghju d'avvertimentu per u certificatu autofirmatu in Chrome. Fonte:
In l'urdinatori Windows, pudete aduprà Active Directory è Politiche di Gruppu, ma per i dispositi mobili a prucedura hè più cumplicata.
A situazione diventa ancu più cumplicata si avete bisognu di supportà altri certificati radichi in un ambiente corporativu, per esempiu, da Microsoft, o basatu in OpenSSL. In più a prutezzione è a gestione di e chjavi privati per chì alcuna di e chjavi ùn cadunu micca inesperu.
A megliu opzione: certificatu radice privatu dedicatu da una CA di terzu
Se a gestione di parechje radiche o certificati autofirmati ùn hè micca attraente, ci hè una altra opzione: affidà à una CA di terzu. In questu casu, i certificati sò emessi da privatu una CA chì hè ligata in una catena di fiducia à una CA radica privata dedicata creata apposta per a cumpagnia.
Architettura simplificata per i certificati root di client dedicati
Questa stallazione elimina alcuni di i prublemi citati prima: almenu riduce u nùmeru di radiche chì deve esse amministratu. Quì pudete aduprà una sola autorità radicale privata per tutti i bisogni interni di PKI, cù qualsiasi numeru di CA intermedi. Per esempiu, u diagramma sopra mostra una gerarchia multi-livellu induve unu di i CA intermedii hè utilizatu per a verificazione / decryption SSL è l'altru hè utilizatu per l'urdinatori interni (laptops, servitori, desktop, etc.).
In questu disignu, ùn ci hè micca bisognu di allughjà una CA in tutti i clienti perchè u CA di primu livellu hè ospitatu da GlobalSign, chì risolve i prublemi di prutezzione di chjave privata è di scadenza.
Un altru vantaghju di questu approcciu hè a capacità di revocà l'autorità d'ispezione SSL per qualsiasi raggiuni. Invece, un novu hè simplicemente creatu, chì hè ligatu à a vostra radica privata originale, è pudete aduprà immediatamente.
Malgradu tutta a cuntruversia, l'imprese implementanu sempre più l'ispezione di trafficu SSL cum'è parte di a so infrastruttura PKI interna o privata. L'altri usi per a PKI privata includenu l'emissione di certificati per l'autentificazione di u dispositivu o di l'utilizatori, SSL per i servitori interni, è diverse cunfigurazioni chì ùn sò micca permessi in certificati publichi di fiducia cum'è necessariu da u CA / Browser Forum.
I navigatori si battenu
Semu devi esse nutatu chì i sviluppatori di u navigatore cercanu di contru à sta tendenza è prutegge l'utilizatori finali da MiTM. Per esempiu, uni pochi di ghjorni fà Mozilla Abilita u protocolu DoH (DNS-over-HTTPS) per difettu in una di e prossime versioni di u navigatore in Firefox. U protocolu DoH oculta e dumande DNS da u sistema DPI, facendu difficiule l'ispezione SSL.
Circa piani simili 10 settembre 2019 Google per u navigatore Chrome.
Solu l'utilizatori registrati ponu participà à l'indagine. , per piacè.
Pensate chì una cumpagnia hà u dirittu di inspeccionà u trafficu SSL di i so impiegati?
-
Iè, cù u so accunsentu
-
No, dumandà un tali accunsentu hè illegale è / o immorale
122 utilizatori anu vutatu. 15 utilizatori si sò astenuti.
Source: www.habr.com