Kette des Vertrauens. CC BY-SA 4.0
Die Überprüfung des SSL-Verkehrs (SSL/TLS-Entschlüsselung, SSL- oder DPI-Analyse) wird im Unternehmensbereich immer heißer. Die Idee, den Datenverkehr zu entschlüsseln, scheint dem eigentlichen Konzept der Kryptographie zu widersprechen. Tatsache ist jedoch: Immer mehr Unternehmen nutzen DPI-Technologien und erklären dies mit der Notwendigkeit, Inhalte auf Malware, Datenlecks usw. zu überprüfen.
Nun, wenn wir die Tatsache akzeptieren, dass eine solche Technologie implementiert werden muss, dann sollten wir zumindest darüber nachdenken, wie wir dies auf die sicherste und am besten verwaltete Art und Weise tun können. Verlassen Sie sich zumindest nicht auf die Zertifikate, die Ihnen beispielsweise der DPI-Systemlieferant ausstellt.
Es gibt einen Aspekt der Umsetzung, den nicht jeder kennt. Tatsächlich sind viele Menschen wirklich überrascht, wenn sie davon hören. Dabei handelt es sich um eine private Zertifizierungsstelle (CA). Es generiert Zertifikate zum Entschlüsseln und erneuten Verschlüsseln des Datenverkehrs.
Anstatt sich auf selbstsignierte Zertifikate oder Zertifikate von DPI-Geräten zu verlassen, können Sie eine dedizierte Zertifizierungsstelle einer Zertifizierungsstelle eines Drittanbieters wie GlobalSign verwenden. Aber lassen Sie uns zunächst einen kleinen Überblick über das Problem selbst geben.
Was ist SSL-Inspektion und warum wird sie verwendet?
Immer mehr öffentliche Websites wechseln zu HTTPS. Zum Beispiel laut Anfang September 2019 erreichte der Anteil des verschlüsselten Datenverkehrs in Russland 83 %.
Leider wird die Verkehrsverschlüsselung zunehmend von Angreifern genutzt, insbesondere seit Let's Encrypt automatisiert Tausende kostenloser SSL-Zertifikate verteilt. Daher wird HTTPS überall verwendet – und das Vorhängeschloss in der Adressleiste des Browsers dient nicht mehr als verlässlicher Indikator für Sicherheit.
Hersteller von DPI-Lösungen bewerben ihre Produkte von diesen Positionen aus. Sie werden zwischen Endbenutzern (d. h. Ihren Mitarbeitern, die im Internet surfen) und dem Internet eingebettet und filtern schädlichen Datenverkehr heraus. Heutzutage gibt es eine Reihe solcher Produkte auf dem Markt, die Prozesse sind jedoch im Wesentlichen die gleichen. Der HTTPS-Verkehr durchläuft ein Inspektionsgerät, wo er entschlüsselt und auf Malware überprüft wird.
Sobald die Überprüfung abgeschlossen ist, erstellt das Gerät eine neue SSL-Sitzung mit dem Endclient, um den Inhalt zu entschlüsseln und erneut zu verschlüsseln.
Wie der Entschlüsselungs-/Neuverschlüsselungsprozess funktioniert
Damit die SSL-Inspektions-Appliance Pakete entschlüsseln und erneut verschlüsseln kann, bevor sie sie an Endbenutzer sendet, muss sie in der Lage sein, SSL-Zertifikate im laufenden Betrieb auszustellen. Das bedeutet, dass ein CA-Zertifikat installiert sein muss.
Für das Unternehmen (oder wer auch immer dazwischen ist) ist es wichtig, dass diese SSL-Zertifikate von Browsern als vertrauenswürdig eingestuft werden (d. h. keine beängstigenden Warnmeldungen wie die folgende auslösen). Daher muss sich die CA-Kette (oder Hierarchie) im Truststore des Browsers befinden. Da diese Zertifikate nicht von öffentlich vertrauenswürdigen Zertifizierungsstellen ausgestellt werden, müssen Sie die CA-Hierarchie manuell an alle Endclients verteilen.
Warnmeldung für selbstsigniertes Zertifikat in Chrome. Quelle:
Auf Windows-Computern können Sie Active Directory und Gruppenrichtlinien verwenden, bei mobilen Geräten ist die Vorgehensweise jedoch komplizierter.
Noch komplizierter wird die Situation, wenn Sie in einer Unternehmensumgebung andere Stammzertifikate unterstützen müssen, beispielsweise von Microsoft oder basierend auf OpenSSL. Plus der Schutz und die Verwaltung privater Schlüssel, damit keiner der Schlüssel unerwartet abläuft.
Beste Option: privates, dediziertes Stammzertifikat von einer Drittanbieter-CA
Wenn die Verwaltung mehrerer Root- oder selbstsignierter Zertifikate nicht reizvoll ist, gibt es eine andere Möglichkeit: Sich auf eine Zertifizierungsstelle eines Drittanbieters zu verlassen. In diesem Fall werden Zertifikate ausgestellt von privat Eine Zertifizierungsstelle, die in einer Vertrauenskette mit einer dedizierten, privaten Stammzertifizierungsstelle verbunden ist, die speziell für das Unternehmen erstellt wurde.
Vereinfachte Architektur für dedizierte Client-Stammzertifikate
Dieses Setup beseitigt einige der zuvor erwähnten Probleme: Zumindest verringert es die Anzahl der Roots, die verwaltet werden müssen. Hier können Sie für alle internen PKI-Anforderungen nur eine private Root-Autorität mit beliebig vielen Zwischen-CAs verwenden. Das obige Diagramm zeigt beispielsweise eine mehrstufige Hierarchie, bei der eine der Zwischenzertifizierungsstellen für die SSL-Verifizierung/-Entschlüsselung und die andere für interne Computer (Laptops, Server, Desktops usw.) verwendet wird.
Bei diesem Design ist es nicht erforderlich, auf allen Clients eine Zertifizierungsstelle zu hosten, da die Zertifizierungsstelle der obersten Ebene von GlobalSign gehostet wird, wodurch Probleme beim Schutz privater Schlüssel und beim Ablauf gelöst werden.
Ein weiterer Vorteil dieses Ansatzes ist die Möglichkeit, die SSL-Prüfberechtigung aus beliebigen Gründen zu widerrufen. Stattdessen wird einfach ein neues erstellt, das an Ihr ursprüngliches privates Stammverzeichnis gebunden ist, und Sie können es sofort verwenden.
Trotz aller Kontroversen implementieren Unternehmen zunehmend die Überprüfung des SSL-Verkehrs als Teil ihrer internen oder privaten PKI-Infrastruktur. Zu den weiteren Verwendungszwecken für private PKI gehören die Ausstellung von Zertifikaten zur Geräte- oder Benutzerauthentifizierung, SSL für interne Server und verschiedene Konfigurationen, die gemäß den Anforderungen des CA/Browser-Forums in öffentlichen vertrauenswürdigen Zertifikaten nicht zulässig sind.
Browser wehren sich
Es ist zu beachten, dass Browserentwickler versuchen, diesem Trend entgegenzuwirken und Endbenutzer vor MiTM zu schützen. Zum Beispiel vor ein paar Tagen Mozilla Aktivieren Sie das DoH-Protokoll (DNS-over-HTTPS) standardmäßig in einer der nächsten Browserversionen in Firefox. Das DoH-Protokoll verbirgt DNS-Abfragen vor dem DPI-System, was die SSL-Überprüfung erschwert.
Über ähnliche Pläne 10. September 2019 Google für den Chrome-Browser.
An der Umfrage können nur registrierte Benutzer teilnehmen. bitte.
Glauben Sie, dass ein Unternehmen das Recht hat, den SSL-Verkehr seiner Mitarbeiter zu überprüfen?
-
Ja, mit ihrer Zustimmung
-
Nein, das Einholen einer solchen Einwilligung ist illegal und/oder unethisch
122 Benutzer haben abgestimmt. 15 Benutzer enthielten sich der Stimme.
Source: habr.com