DPI (SSL-Inspektion) widerspricht dem Wesen der Kryptografie, doch Unternehmen setzen es zunehmend ein.

DPI (SSL-Inspektion) widerspricht dem Wesen der Kryptografie, doch Unternehmen setzen es zunehmend ein.
Vertrauenswürdigkeit. CC BY-SA 4.0 Yanpas

Die SSL-Traffic-Inspektion (Entschlüsselung von SSL/TLS, SSL-Analyse oder DPI) wird im Unternehmenssektor zunehmend ein heißes Diskussionsthema. Die Idee der Entschlüsselung von Traffic scheint dem Konzept der Kryptografie zu widersprechen. Dennoch ist die Tatsache, dass immer mehr Unternehmen DPI-Technologien nutzen, um Inhalte auf Malware, Datenlecks usw. zu überprüfen.

Wenn man die Notwendigkeit dieser Technologie akzeptiert, sollte man zumindest erwägen, wie man sie auf die sicherste und am besten verwaltete Weise implementieren kann. Man sollte sich nicht auf die Zertifikate verlassen, die man beispielsweise von seinem DPI-Systemanbieter erhält.

Ein Aspekt der Implementierung, von dem nicht jeder weiß, ist das private Zertifizierungszentrum (ZC). Es generiert Zertifikate zur Entschlüsselung und erneuten Verschlüsselung des Traffics.

Anstatt sich auf selbstsignierte Zertifikate oder Zertifikate von DPI-Geräten zu verlassen, können Sie ein dediziertes CA von einem Drittanbieter-Zertifizierungszentrum wie GlobalSign verwenden. Lassen Sie uns jedoch zunächst einen kurzen Überblick über das eigentliche Problem geben.

Was ist SSL-Inspektion und warum wird sie eingesetzt?

Immer mehr öffentliche Webseiten wechseln zu HTTPS. Zum Beispiel zeigt die Chrome-Statistik, dass im September 2019 der Anteil des verschlüsselten Verkehrs in Russland 83% erreichte.

DPI (SSL-Inspektion) widerspricht dem Wesen der Kryptografie, doch Unternehmen setzen es zunehmend ein.

Leider nutzen auch Cyberkriminelle zunehmend die Verschlüsselung des Verkehrs, insbesondere da Let’s Encrypt Tausende von kostenlosen SSL-Zertifikaten automatisiert ausgibt. So wird HTTPS allgegenwärtig – und das Schloss in der Adressleiste des Browsers ist kein zuverlässiger Sicherheitsindikator mehr.

Basierend auf diesen Punkten vermarkten Hersteller von DPI-Lösungen ihr Produkt. Sie werden zwischen den Endbenutzern (also Ihren Mitarbeitern, die Webseiten besuchen) und dem Internet implementiert, um schädlichen Datenverkehr herauszufiltern. Derzeit gibt es eine Reihe solcher Produkte auf dem Markt, aber die Prozesse sind im Wesentlichen identisch. Der HTTPS-Verkehr durchläuft ein Prüfgerät, wo er entschlüsselt und auf Malware überprüft wird.

Nach Abschluss der Überprüfung erstellt das Gerät eine neue SSL-Sitzung mit dem Endkunden zum Entschlüsseln und erneuten Verschlüsseln des Inhalts.

Wie der Entschlüsselungs-/Wiederverschlüsselungsprozess funktioniert

Damit das SSL-Inspektionsgerät Pakete vor dem Versand an die Endbenutzer entschlüsseln und erneut verschlüsseln kann, muss es in der Lage sein, SSL-Zertifikate in Echtzeit auszustellen. Das bedeutet, dass ein gültiges CA-Zertifikat installiert sein muss.

Für Unternehmen (oder andere Personen im Inneren) ist es wichtig, dass diese SSL-Zertifikate von Browsern als vertrauenswürdig erkannt werden (d. h. keine erschreckenden Warnmeldungen wie die folgende verursachen). Daher muss die CA-Kette (oder Hierarchie) im Vertrauensspeicher des Browsers vorhanden sein. Da diese Zertifikate nicht von öffentlichen, vertrauenswürdigen Zertifizierungsstellen ausgestellt werden, ist es notwendig, die Hierarchien manuell an alle Endkunden zu übertragen.

DPI (SSL-Inspektion) widerspricht dem Wesen der Kryptografie, doch Unternehmen setzen es zunehmend ein.
Warnmeldung für ein selbstsigniertes Zertifikat in Chrome. Quelle: BadSSL.com

Auf Windows-Computern können Sie Active Directory und Gruppenrichtlinien verwenden, aber die Vorgehensweise für mobile Geräte ist komplizierter.

Die Situation wird noch schwieriger, wenn in einer Unternehmensumgebung auch andere Root-Zertifikate unterstützt werden müssen, beispielsweise von Microsoft oder basierend auf OpenSSL. Darüber hinaus müssen die geheimen Schlüssel geschützt und verwaltet werden, um zu verhindern, dass einer dieser Schlüssel unerwartet abläuft.

Die beste Option: Ein privates, dediziertes Root-Zertifikat von einer externen CA.

Wenn das Management mehrerer Wurzeln oder selbstsignierter Zertifikate nicht ansprechend ist, gibt es eine andere Möglichkeit: Sie können sich auf eine externe Zertifizierungsstelle (CS) verlassen. In diesem Fall werden die Zertifikate von einer privaten Zertifizierungsstelle ausgegeben, die in der Vertrauenshierarchie mit einer dedizierten, privaten Wurzelzertifizierungsstelle verbunden ist, die speziell für das Unternehmen eingerichtet wurde.

DPI (SSL-Inspektion) widerspricht dem Wesen der Kryptografie, doch Unternehmen setzen es zunehmend ein.
Vereinfachte Architektur für dedizierte clientbasierte Wurzelsignaturzertifikate

Eine solche Konfiguration beseitigt einige der zuvor genannten Probleme: Sie reduziert zumindest die Anzahl der Wurzeln, die verwaltet werden müssen. Hier kann nur eine private Wurzelzertifizierungsstelle für alle internen PKI-Bedürfnisse mit beliebig vielen Zwischenzertifizierungsstellen verwendet werden. Zum Beispiel zeigt das obige Diagramm eine mehrstufige Hierarchie, in der eine der Zwischenzertifizierungsstellen zur Überprüfung/Entschlüsselung von SSL verwendet wird, während eine andere für interne Computer (Laptops, Server, Desktop-PCs usw.) genutzt wird.

In diesem Schema muss nicht auf allen Clients eine CA platziert werden, da die oberste CA bei GlobalSign gehostet wird. Dies löst Probleme mit dem Schutz des privaten Schlüssels und der Gültigkeitsdauer.

Ein weiterer Vorteil dieses Ansatzes ist die Möglichkeit, das SSL-Inspektionszertifikat aus beliebigem Grund zu widerrufen. Stattdessen wird einfach ein neues erstellt, das an Ihren ursprünglichen privaten Root gebunden ist und sofort verwendet werden kann.

Trotz aller Kontroversen setzen Unternehmen zunehmend SSL-Traffic-Inspektionen als Teil ihrer internen oder privaten PKI-Infrastruktur ein. Weitere Anwendungsfälle für private PKI sind die Ausstellung von Zertifikaten zur Authentifizierung von Geräten oder Benutzern, SSL für interne Server sowie verschiedene Konfigurationen, die gemäß den Anforderungen des CA/Browser-Forums in öffentlich vertrauenswürdigen Zertifikaten nicht erlaubt sind.

Browser wehren sich

Es ist anzumerken, dass Browserentwickler versuchen, dieser Tendenz entgegenzuwirken und die Endbenutzer vor MiTM-Angriffen zu schützen. Zum Beispiel hat Mozilla vor einigen Tagen ... hat entschieden, Aktivieren Sie standardmäßig das DoH-Protokoll (DNS-over-HTTPS) in einer der folgenden Browserversionen in Firefox. Das DoH-Protokoll verbirgt DNS-Anfragen vor DPI-Systemen und erschwert damit die SSL-Inspektion.

Ähnliche Pläne am 10. September 2019 hat bekannt gegeben von Google für den Browser Chrome.

DPI (SSL-Inspektion) widerspricht dem Wesen der Kryptografie, doch Unternehmen setzen es zunehmend ein.

Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte melden Sie sich an.Sind Sie an Contour interessiert?

Was denken Sie, hat das Unternehmen das Recht, SSL-Traffic seiner Mitarbeiter zu inspizieren?

  • Ja, mit deren Zustimmung.

  • Nein, eine solche Zustimmung zu verlangen ist illegal und/oder unethisch.

122 Benutzer haben abgestimmt. 15 Benutzer haben sich enthalten.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster