Cadwyn ymddiriedaeth. CC BY-SA 4.0
Mae archwiliad traffig SSL (dadgryptio SSL/TLS, dadansoddiad SSL neu DPI) yn dod yn bwnc trafod cynyddol boeth yn y sector corfforaethol. Mae'n ymddangos bod y syniad o ddadgryptio traffig yn gwrth-ddweud yr union gysyniad o cryptograffeg. Fodd bynnag, mae'r ffaith yn ffaith: mae mwy a mwy o gwmnïau'n defnyddio technolegau DPI, gan esbonio hyn trwy'r angen i wirio cynnwys am malware, gollyngiadau data, ac ati.
Wel, os ydym yn derbyn y ffaith bod angen rhoi technoleg o’r fath ar waith, yna dylem o leiaf ystyried ffyrdd o’i wneud yn y ffordd fwyaf diogel a mwyaf rheoliedig posibl. O leiaf peidiwch â dibynnu ar y tystysgrifau hynny, er enghraifft, y mae'r cyflenwr system DPI yn eu rhoi i chi.
Mae un agwedd ar weithredu nad yw pawb yn gwybod amdani. Mewn gwirionedd, mae llawer o bobl yn synnu pan fyddant yn clywed amdano. Awdurdod ardystio preifat (CA) yw hwn. Mae'n cynhyrchu tystysgrifau i ddadgryptio ac ail-amgryptio traffig.
Yn lle dibynnu ar dystysgrifau hunan-lofnodedig neu dystysgrifau o ddyfeisiau DPI, gallwch ddefnyddio CA pwrpasol gan awdurdod tystysgrif trydydd parti fel GlobalSign. Ond yn gyntaf, gadewch i ni wneud ychydig o drosolwg o'r broblem ei hun.
Beth yw archwiliad SSL a pham ei fod yn cael ei ddefnyddio?
Mae mwy a mwy o wefannau cyhoeddus yn symud i HTTPS. Er enghraifft, yn ôl , ar ddechrau mis Medi 2019, cyrhaeddodd y gyfran o draffig cripto yn Rwsia 83%.
Yn anffodus, mae amgryptio traffig yn cael ei ddefnyddio fwyfwy gan ymosodwyr, yn enwedig gan fod Let's Encrypt yn dosbarthu miloedd o dystysgrifau SSL am ddim mewn modd awtomataidd. Felly, defnyddir HTTPS ym mhobman - ac mae'r clo clap ym mar cyfeiriad y porwr wedi peidio â gwasanaethu fel dangosydd diogelwch dibynadwy.
Mae cynhyrchwyr datrysiadau DPI yn hyrwyddo eu cynhyrchion o'r swyddi hyn. Maent wedi'u hymgorffori rhwng defnyddwyr terfynol (h.y. eich cyflogeion yn pori'r we) a'r Rhyngrwyd, gan hidlo traffig maleisus. Mae yna nifer o gynhyrchion o'r fath ar y farchnad heddiw, ond mae'r prosesau yr un peth yn y bôn. Mae traffig HTTPS yn mynd trwy ddyfais archwilio lle caiff ei ddadgryptio a'i wirio am malware.
Unwaith y bydd y dilysiad wedi'i gwblhau, mae'r ddyfais yn creu sesiwn SSL newydd gyda'r cleient terfynol i ddadgryptio ac ail-amgryptio'r cynnwys.
Sut mae'r broses dadgryptio/ailgryptio yn gweithio
Er mwyn i'r teclyn archwilio SSL ddadgryptio ac ail-amgryptio pecynnau cyn eu hanfon at ddefnyddwyr terfynol, rhaid iddo allu rhoi tystysgrifau SSL ar y hedfan. Mae hyn yn golygu bod yn rhaid iddo gael tystysgrif CA wedi'i gosod.
Mae'n bwysig i'r cwmni (neu bwy bynnag yn y canol) bod porwyr yn ymddiried yn y tystysgrifau SSL hyn (h.y., peidiwch â sbarduno negeseuon rhybudd brawychus fel yr un isod). Felly mae'n rhaid i'r gadwyn CA (neu hierarchaeth) fod yn storfa ymddiriedolaeth y porwr. Gan nad yw'r tystysgrifau hyn yn cael eu cyhoeddi gan awdurdodau tystysgrif y mae'r cyhoedd yn ymddiried ynddynt, rhaid i chi ddosbarthu'r hierarchaeth CA â llaw i bob cleient terfynol.
Neges rhybudd ar gyfer tystysgrif hunan-lofnodedig yn Chrome. Ffynhonnell:
Ar gyfrifiaduron Windows, gallwch ddefnyddio Active Directory a Pholisïau Grŵp, ond ar gyfer dyfeisiau symudol mae'r weithdrefn yn fwy cymhleth.
Daw'r sefyllfa hyd yn oed yn fwy cymhleth os oes angen i chi gefnogi tystysgrifau gwraidd eraill mewn amgylchedd corfforaethol, er enghraifft, gan Microsoft, neu yn seiliedig ar OpenSSL. Yn ogystal â diogelu a rheoli allweddi preifat fel nad yw unrhyw allweddi'n dod i ben yn annisgwyl.
Yr opsiwn gorau: tystysgrif gwraidd breifat, bwrpasol gan CA trydydd parti
Os nad yw rheoli tystysgrifau gwreiddiau lluosog neu dystysgrifau hunan-lofnodedig yn apelio, mae opsiwn arall: dibynnu ar CA trydydd parti. Yn yr achos hwn, rhoddir tystysgrifau gan preifat CA sydd wedi'i gysylltu mewn cadwyn o ymddiriedaeth â CA gwraidd preifat pwrpasol a grëwyd yn benodol ar gyfer y cwmni.
Pensaernïaeth symlach ar gyfer tystysgrifau gwraidd cleient pwrpasol
Mae'r gosodiad hwn yn dileu rhai o'r problemau a grybwyllwyd yn gynharach: o leiaf mae'n lleihau nifer y gwreiddiau y mae angen eu rheoli. Yma gallwch ddefnyddio dim ond un awdurdod gwraidd preifat ar gyfer yr holl anghenion PKI mewnol, gydag unrhyw nifer o CA canolradd. Er enghraifft, mae'r diagram uchod yn dangos hierarchaeth aml-lefel lle mae un o'r CA canolraddol yn cael ei ddefnyddio ar gyfer dilysu/dadgryptio SSL a'r llall yn cael ei ddefnyddio ar gyfer cyfrifiaduron mewnol (gliniaduron, gweinyddwyr, byrddau gwaith, ac ati).
Yn y dyluniad hwn, nid oes angen cynnal CA ar bob cleient oherwydd bod y CA lefel uchaf yn cael ei gynnal gan GlobalSign, sy'n datrys materion amddiffyn allweddi preifat a dod i ben.
Mantais arall y dull hwn yw'r gallu i ddirymu awdurdod arolygu SSL am unrhyw reswm. Yn lle hynny, mae un newydd yn cael ei greu yn syml, sy'n gysylltiedig â'ch gwraidd preifat gwreiddiol, a gallwch ei ddefnyddio ar unwaith.
Er gwaethaf yr holl ddadlau, mae mentrau'n gweithredu archwiliadau traffig SSL yn gynyddol fel rhan o'u seilwaith PKI mewnol neu breifat. Mae defnyddiau eraill ar gyfer PKI preifat yn cynnwys rhoi tystysgrifau ar gyfer dilysu dyfeisiau neu ddefnyddwyr, SSL ar gyfer gweinyddwyr mewnol, ac amrywiol ffurfweddiadau na chaniateir mewn tystysgrifau y mae'r cyhoedd yn ymddiried ynddynt fel sy'n ofynnol gan Fforwm CA/Porwr.
Mae porwyr yn ymladd yn ôl
Dylid nodi bod datblygwyr porwr yn ceisio gwrthsefyll y duedd hon ac amddiffyn defnyddwyr terfynol rhag MiTM. Er enghraifft, ychydig ddyddiau yn ôl Mozilla Galluogi protocol DoH (DNS-over-HTTPS) yn ddiofyn yn un o'r fersiynau porwr nesaf yn Firefox. Mae protocol yr Adran Iechyd yn cuddio ymholiadau DNS o'r system DPI, gan wneud archwiliad SSL yn anodd.
Ynglŷn â chynlluniau tebyg Medi 10, 2019 Google ar gyfer y porwr Chrome.
Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. os gwelwch yn dda.
Ydych chi'n meddwl bod gan gwmni yr hawl i archwilio traffig SSL ei weithwyr?
-
Ie, gyda'u caniatâd
-
Na, mae gofyn am ganiatâd o'r fath yn anghyfreithlon a/neu'n anfoesegol
Pleidleisiodd 122 o ddefnyddwyr. Ymataliodd 15 o ddefnyddwyr.
Ffynhonnell: hab.com