Tillidskæde. CC BY-SA 4.0
SSL-trafikinspektion (SSL/TLS-dekryptering, SSL- eller DPI-analyse) bliver et stadigt mere varmt diskussionsemne i erhvervslivet. Ideen om at dekryptere trafik ser ud til at modsige selve begrebet kryptografi. Faktum er dog et faktum: flere og flere virksomheder bruger DPI-teknologier, hvilket forklarer dette med behovet for at tjekke indhold for malware, datalækker osv.
Tja, hvis vi accepterer det faktum, at sådan teknologi skal implementeres, så bør vi i det mindste overveje måder at gøre det på den sikreste og mest velforvaltede måde som muligt. Stol i hvert fald ikke på de certifikater, som DPI-systemleverandøren giver dig.
Der er et aspekt af implementeringen, som ikke alle kender til. Faktisk bliver mange mennesker virkelig overraskede, når de hører om det. Dette er en privat certificeringsmyndighed (CA). Det genererer certifikater til at dekryptere og genkryptere trafik.
I stedet for at stole på selvsignerede certifikater eller certifikater fra DPI-enheder, kan du bruge en dedikeret CA fra en tredjepartscertifikatmyndighed som f.eks. GlobalSign. Men lad os først lave et lille overblik over selve problemet.
Hvad er SSL-inspektion, og hvorfor bruges det?
Flere og flere offentlige hjemmesider flytter til HTTPS. F.eks. iflg , i begyndelsen af september 2019 nåede andelen af krypteret trafik i Rusland 83 %.
Desværre bliver trafikkryptering i stigende grad brugt af angribere, især da Let's Encrypt distribuerer tusindvis af gratis SSL-certifikater på en automatiseret måde. Således bruges HTTPS overalt – og hængelåsen i browserens adresselinje er holdt op med at tjene som en pålidelig indikator for sikkerhed.
Producenter af DPI-løsninger promoverer deres produkter fra disse positioner. De er indlejret mellem slutbrugere (dvs. dine medarbejdere, der surfer på nettet) og internettet og filtrerer ondsindet trafik fra. Der findes en række sådanne produkter på markedet i dag, men processerne er i det væsentlige de samme. HTTPS-trafik passerer gennem en inspektionsenhed, hvor den dekrypteres og tjekkes for malware.
Når bekræftelsen er fuldført, opretter enheden en ny SSL-session med slutklienten for at dekryptere og genkryptere indholdet.
Hvordan dekrypterings-/genkrypteringsprocessen fungerer
For at SSL-inspektionsapparatet kan dekryptere og genkryptere pakker, før det sendes til slutbrugere, skal det være i stand til at udstede SSL-certifikater på farten. Det betyder, at den skal have et CA-certifikat installeret.
Det er vigtigt for virksomheden (eller hvem der er i midten), at disse SSL-certifikater er tillid til af browsere (dvs. ikke udløser skræmmende advarsler som den nedenfor). Derfor skal CA-kæden (eller hierarkiet) være i browserens tillidslager. Da disse certifikater ikke er udstedt fra offentligt betroede certifikatmyndigheder, skal du manuelt distribuere CA-hierarkiet til alle slutklienter.
Advarselsmeddelelse for selvsigneret certifikat i Chrome. Kilde:
På Windows-computere kan du bruge Active Directory og gruppepolitikker, men for mobile enheder er proceduren mere kompliceret.
Situationen bliver endnu mere kompliceret, hvis du skal understøtte andre rodcertifikater i et virksomhedsmiljø, for eksempel fra Microsoft eller baseret på OpenSSL. Plus beskyttelse og styring af private nøgler, så nogen af nøglerne ikke udløber uventet.
Bedste mulighed: privat, dedikeret rodcertifikat fra en tredjeparts CA
Hvis administration af flere rødder eller selvsignerede certifikater ikke er tiltalende, er der en anden mulighed: at stole på en tredjeparts CA. I dette tilfælde udstedes certifikater fra частного en CA, der er forbundet i en tillidskæde til en dedikeret, privat rod-CA, der er skabt specifikt til virksomheden.
Forenklet arkitektur for dedikerede klientrodcertifikater
Denne opsætning eliminerer nogle af de tidligere nævnte problemer: i det mindste reducerer den antallet af rødder, der skal administreres. Her kan du kun bruge én privat rodautoritet til alle interne PKI-behov med et vilkårligt antal mellemliggende CA'er. For eksempel viser ovenstående diagram et multi-level hierarki, hvor en af de mellemliggende CA'er bruges til SSL-verifikation/dekryptering og den anden bruges til interne computere (bærbare computere, servere, desktops osv.).
I dette design er der ikke behov for at være vært for en CA på alle klienter, fordi CA'en på øverste niveau er hostet af GlobalSign, som løser problemer med beskyttelse af private nøgler og udløb.
En anden fordel ved denne tilgang er muligheden for at tilbagekalde SSL-inspektionsmyndigheden uanset årsag. I stedet oprettes der blot en ny, som er bundet til din oprindelige private rod, og du kan bruge den med det samme.
På trods af al uenighed implementerer virksomheder i stigende grad SSL-trafikinspektion som en del af deres interne eller private PKI-infrastruktur. Andre anvendelser for privat PKI omfatter udstedelse af certifikater til enheds- eller brugergodkendelse, SSL til interne servere og forskellige konfigurationer, der ikke er tilladt i offentlige betroede certifikater som krævet af CA/Browser Forum.
Browsere kæmper tilbage
Det skal bemærkes, at browserudviklere forsøger at imødegå denne tendens og beskytte slutbrugere mod MiTM. For eksempel for et par dage siden Mozilla Aktiver DoH (DNS-over-HTTPS) protokol som standard i en af de næste browserversioner i Firefox. DoH-protokollen skjuler DNS-forespørgsler fra DPI-systemet, hvilket gør SSL-inspektion vanskelig.
Om lignende planer 10. september 2019 Google til Chrome-browseren.
Kun registrerede brugere kan deltage i undersøgelsen. , Vær venlig.
Mener du, at en virksomhed har ret til at inspicere sine ansattes SSL-trafik?
-
Ja, med deres samtykke
-
Nej, at bede om et sådant samtykke er ulovligt og/eller uetisk
122 brugere stemte. 15 brugere undlod at stemme.
Kilde: www.habr.com