Řetěz důvěry. CC BY-SA 4.0
Kontrola provozu SSL (dešifrování SSL/TLS, analýza SSL nebo DPI) se v podnikovém sektoru stává stále žhavějším tématem diskuzí. Zdá se, že myšlenka dešifrování provozu je v rozporu se samotnou koncepcí kryptografie. Faktem však je, že technologie DPI používá stále více společností, což vysvětluje nutností kontrolovat obsah na přítomnost malwaru, úniky dat atd.
Pokud přijmeme fakt, že je třeba takovou technologii implementovat, pak bychom měli alespoň zvážit způsoby, jak to udělat co nejbezpečnějším a nejlépe spravovaným způsobem. Nespoléhejte alespoň na ty certifikáty, které vám dá například dodavatel systému DPI.
Existuje jeden aspekt implementace, o kterém ne každý ví. Ve skutečnosti je mnoho lidí opravdu překvapeno, když o tom slyší. Toto je soukromá certifikační autorita (CA). Generuje certifikáty pro dešifrování a opětovné šifrování provozu.
Místo toho, abyste se spoléhali na certifikáty s vlastním podpisem nebo certifikáty ze zařízení DPI, můžete použít vyhrazenou CA od certifikační autority třetí strany, jako je GlobalSign. Nejprve si ale udělejme malý přehled samotného problému.
Co je kontrola SSL a proč se používá?
Stále více veřejných webů přechází na HTTPS. Například podle
Šifrování provozu je bohužel stále více využíváno útočníky, zejména proto, že Let’s Encrypt automaticky distribuuje tisíce bezplatných SSL certifikátů. HTTPS se tedy používá všude – a visací zámek v adresním řádku prohlížeče přestal sloužit jako spolehlivý indikátor bezpečnosti.
Výrobci DPI řešení propagují své produkty z těchto pozic. Jsou vloženy mezi koncové uživatele (tj. vaši zaměstnanci prohlížející web) a internet a odfiltrují škodlivý provoz. Takových produktů je dnes na trhu celá řada, ale procesy jsou v podstatě stejné. Provoz HTTPS prochází kontrolním zařízením, kde je dešifrován a kontrolován na přítomnost malwaru.
Jakmile je ověření dokončeno, zařízení vytvoří novou relaci SSL s koncovým klientem k dešifrování a opětovnému zašifrování obsahu.
Jak funguje proces dešifrování/přešifrování
Aby inspekční zařízení SSL dešifrovalo a znovu zašifrovalo pakety před jejich odesláním koncovým uživatelům, musí být schopno vydávat certifikáty SSL za běhu. To znamená, že musí mít nainstalovaný certifikát CA.
Pro společnost (nebo kohokoli jiného) je důležité, aby těmto SSL certifikátům důvěřovaly prohlížeče (tj. nespouštěly děsivé varovné zprávy, jako je ta níže). Řetězec CA (nebo hierarchie) proto musí být v úložišti důvěryhodnosti prohlížeče. Protože tyto certifikáty nejsou vydávány od veřejně důvěryhodných certifikačních autorit, musíte hierarchii CA distribuovat všem koncovým klientům ručně.
Varovná zpráva pro certifikát s vlastním podpisem v prohlížeči Chrome. Zdroj:
Na počítačích se systémem Windows můžete použít službu Active Directory a zásady skupiny, ale u mobilních zařízení je postup složitější.
Situace se ještě zkomplikuje, pokud potřebujete podporovat další kořenové certifikáty ve firemním prostředí, například od Microsoftu nebo založené na OpenSSL. Plus ochrana a správa soukromých klíčů, aby žádný z klíčů neočekávaně nevypršel.
Nejlepší možnost: soukromý, vyhrazený kořenový certifikát od CA třetí strany
Pokud správa více kořenových certifikátů nebo certifikátů s vlastním podpisem není přitažlivá, existuje další možnost: spoléhat se na CA třetí strany. V tomto případě jsou certifikáty vydávány z soukromé CA, která je v řetězci důvěry propojena s vyhrazenou, privátní kořenovou CA vytvořenou speciálně pro společnost.
Zjednodušená architektura pro vyhrazené klientské kořenové certifikáty
Toto nastavení odstraňuje některé z výše zmíněných problémů: alespoň snižuje počet kořenů, které je třeba spravovat. Zde můžete použít pouze jedno soukromé kořenové oprávnění pro všechny interní potřeby PKI s libovolným počtem zprostředkujících CA. Výše uvedený diagram například ukazuje víceúrovňovou hierarchii, kde se jedna ze zprostředkujících certifikačních autorit používá pro ověření/dešifrování SSL a druhá se používá pro interní počítače (notebooky, servery, stolní počítače atd.).
V tomto návrhu není potřeba hostovat CA na všech klientech, protože CA nejvyšší úrovně je hostována společností GlobalSign, která řeší problémy s ochranou soukromého klíče a vypršením platnosti.
Další výhodou tohoto přístupu je možnost zrušit kontrolní orgán SSL z jakéhokoli důvodu. Místo toho se jednoduše vytvoří nový, který je svázán s vaším původním soukromým kořenem a můžete jej okamžitě používat.
Navzdory všem kontroverzím podniky stále více zavádějí kontrolu provozu SSL jako součást své interní nebo soukromé infrastruktury PKI. Mezi další použití soukromých PKI patří vydávání certifikátů pro ověření zařízení nebo uživatele, SSL pro interní servery a různé konfigurace, které nejsou povoleny ve veřejných důvěryhodných certifikátech, jak to vyžaduje fórum CA/Browser.
Prohlížeče se brání
Je třeba poznamenat, že vývojáři prohlížečů se snaží tomuto trendu čelit a chránit koncové uživatele před MiTM. Například před pár dny Mozilla
O podobných plánech 10. září 2019
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé.
Myslíte si, že má společnost právo kontrolovat provoz SSL svých zaměstnanců?
-
Ano, s jejich souhlasem
-
Ne, žádat o takový souhlas je nezákonné a/nebo neetické
Hlasovalo 122 uživatelů. 15 uživatelů se zdrželo hlasování.
Zdroj: www.habr.com