Αλυσίδα εμπιστοσύνης. CC BY-SA 4.0
Η επιθεώρηση κυκλοφορίας SSL (αποκρυπτογράφηση SSL/TLS, ανάλυση SSL ή DPI) γίνεται όλο και πιο καυτό θέμα συζήτησης στον εταιρικό τομέα. Η ιδέα της αποκρυπτογράφησης της κυκλοφορίας φαίνεται να έρχεται σε αντίθεση με την ίδια την έννοια της κρυπτογραφίας. Ωστόσο, το γεγονός είναι γεγονός: όλο και περισσότερες εταιρείες χρησιμοποιούν τεχνολογίες DPI, εξηγώντας αυτό από την ανάγκη ελέγχου περιεχομένου για κακόβουλο λογισμικό, διαρροές δεδομένων κ.λπ.
Λοιπόν, εάν αποδεχθούμε το γεγονός ότι μια τέτοια τεχνολογία πρέπει να εφαρμοστεί, τότε θα πρέπει τουλάχιστον να εξετάσουμε τρόπους να το κάνουμε με τον ασφαλέστερο και πιο καλά διαχειριζόμενο δυνατό τρόπο. Τουλάχιστον μην βασίζεστε σε αυτά τα πιστοποιητικά, για παράδειγμα, που σας δίνει ο προμηθευτής του συστήματος DPI.
Υπάρχει μια πτυχή της εφαρμογής που δεν γνωρίζουν όλοι. Στην πραγματικότητα, πολλοί άνθρωποι εκπλήσσονται πραγματικά όταν το ακούν. Αυτή είναι μια ιδιωτική αρχή πιστοποίησης (CA). Δημιουργεί πιστοποιητικά για την αποκρυπτογράφηση και την εκ νέου κρυπτογράφηση της κυκλοφορίας.
Αντί να βασίζεστε σε αυτο-υπογεγραμμένα πιστοποιητικά ή πιστοποιητικά από συσκευές DPI, μπορείτε να χρησιμοποιήσετε μια αποκλειστική ΑΠ από μια αρχή έκδοσης πιστοποιητικών τρίτου μέρους, όπως η GlobalSign. Αλλά πρώτα, ας κάνουμε μια μικρή επισκόπηση του ίδιου του προβλήματος.
Τι είναι η επιθεώρηση SSL και γιατί χρησιμοποιείται;
Όλο και περισσότεροι δημόσιοι ιστότοποι μετακινούνται σε HTTPS. Για παράδειγμα, σύμφωνα με , στις αρχές Σεπτεμβρίου 2019, το μερίδιο της κρυπτογραφημένης κίνησης στη Ρωσία έφτασε το 83%.
Δυστυχώς, η κρυπτογράφηση κυκλοφορίας χρησιμοποιείται όλο και περισσότερο από εισβολείς, ειδικά από τη στιγμή που το Let's Encrypt διανέμει χιλιάδες δωρεάν πιστοποιητικά SSL με αυτοματοποιημένο τρόπο. Έτσι, το HTTPS χρησιμοποιείται παντού - και το λουκέτο στη γραμμή διευθύνσεων του προγράμματος περιήγησης έχει πάψει να λειτουργεί ως αξιόπιστος δείκτης ασφάλειας.
Οι κατασκευαστές λύσεων DPI προωθούν τα προϊόντα τους από αυτές τις θέσεις. Είναι ενσωματωμένα μεταξύ των τελικών χρηστών (δηλαδή των υπαλλήλων σας που περιηγούνται στον Ιστό) και του Διαδικτύου, φιλτράροντας την κακόβουλη κίνηση. Υπάρχουν πολλά τέτοια προϊόντα στην αγορά σήμερα, αλλά οι διαδικασίες είναι ουσιαστικά οι ίδιες. Η κίνηση HTTPS διέρχεται μέσω μιας συσκευής επιθεώρησης όπου αποκρυπτογραφείται και ελέγχεται για κακόβουλο λογισμικό.
Μόλις ολοκληρωθεί η επαλήθευση, η συσκευή δημιουργεί μια νέα περίοδο λειτουργίας SSL με τον τελικό πελάτη για την αποκρυπτογράφηση και την εκ νέου κρυπτογράφηση του περιεχομένου.
Πώς λειτουργεί η διαδικασία αποκρυπτογράφησης/επανακρυπτογράφησης
Προκειμένου το εργαλείο επιθεώρησης SSL να αποκρυπτογραφήσει και να κρυπτογραφήσει εκ νέου τα πακέτα πριν τα στείλει στους τελικούς χρήστες, πρέπει να μπορεί να εκδίδει πιστοποιητικά SSL αμέσως. Αυτό σημαίνει ότι πρέπει να έχει εγκατεστημένο πιστοποιητικό CA.
Είναι σημαντικό για την εταιρεία (ή όποιον βρίσκεται στη μέση) αυτά τα πιστοποιητικά SSL να είναι αξιόπιστα από τα προγράμματα περιήγησης (δηλαδή, μην ενεργοποιείτε τρομακτικά προειδοποιητικά μηνύματα όπως το παρακάτω). Επομένως, η αλυσίδα CA (ή η ιεραρχία) πρέπει να βρίσκεται στο χώρο αποθήκευσης αξιοπιστίας του προγράμματος περιήγησης. Επειδή αυτά τα πιστοποιητικά δεν εκδίδονται από αξιόπιστες αρχές έκδοσης πιστοποιητικών, πρέπει να διανείμετε με μη αυτόματο τρόπο την ιεραρχία της ΑΠ σε όλους τους τελικούς πελάτες.
Προειδοποιητικό μήνυμα για αυτο-υπογεγραμμένο πιστοποιητικό στο Chrome. Πηγή:
Σε υπολογιστές με Windows, μπορείτε να χρησιμοποιήσετε το Active Directory και τις Πολιτικές ομάδας, αλλά για κινητές συσκευές η διαδικασία είναι πιο περίπλοκη.
Η κατάσταση γίνεται ακόμη πιο περίπλοκη εάν χρειάζεται να υποστηρίξετε άλλα πιστοποιητικά ρίζας σε εταιρικό περιβάλλον, για παράδειγμα, από τη Microsoft ή με βάση το OpenSSL. Επιπλέον, η προστασία και η διαχείριση των ιδιωτικών κλειδιών, ώστε κανένα από τα κλειδιά να μην λήγει απροσδόκητα.
Καλύτερη επιλογή: ιδιωτικό, αποκλειστικό πιστοποιητικό ρίζας από ΑΠ τρίτου μέρους
Εάν η διαχείριση πολλών ριζών ή πιστοποιητικών που έχουν υπογραφεί από μόνοι σας δεν είναι ελκυστική, υπάρχει μια άλλη επιλογή: να βασιστείτε σε μια ΑΠ τρίτου μέρους. Στην περίπτωση αυτή εκδίδονται πιστοποιητικά από castnogo μια ΑΠ που συνδέεται σε μια αλυσίδα εμπιστοσύνης με μια αποκλειστική, ιδιωτική αρχή ΑΠ που δημιουργήθηκε ειδικά για την εταιρεία.
Απλοποιημένη αρχιτεκτονική για αποκλειστικά πιστοποιητικά ρίζας πελάτη
Αυτή η ρύθμιση εξαλείφει ορισμένα από τα προβλήματα που αναφέρθηκαν προηγουμένως: τουλάχιστον μειώνει τον αριθμό των ριζών που πρέπει να διαχειριστούν. Εδώ μπορείτε να χρησιμοποιήσετε μόνο μία ιδιωτική αρχή ρίζας για όλες τις εσωτερικές ανάγκες PKI, με οποιονδήποτε αριθμό ενδιάμεσων CA. Για παράδειγμα, το παραπάνω διάγραμμα δείχνει μια ιεραρχία πολλαπλών επιπέδων όπου μία από τις ενδιάμεσες CA χρησιμοποιείται για επαλήθευση/αποκρυπτογράφηση SSL και η άλλη για εσωτερικούς υπολογιστές (φορητοί υπολογιστές, διακομιστές, επιτραπέζιοι υπολογιστές κ.λπ.).
Σε αυτήν τη σχεδίαση, δεν χρειάζεται να φιλοξενήσετε μια ΑΠ σε όλους τους πελάτες, επειδή η ΑΠ ανώτατου επιπέδου φιλοξενείται από την GlobalSign, η οποία επιλύει ζητήματα προστασίας ιδιωτικού κλειδιού και λήξης.
Ένα άλλο πλεονέκτημα αυτής της προσέγγισης είναι η δυνατότητα ανάκλησης της αρχής επιθεώρησης SSL για οποιονδήποτε λόγο. Αντίθετα, δημιουργείται απλώς ένα νέο, το οποίο συνδέεται με την αρχική ιδιωτική ρίζα σας και μπορείτε να το χρησιμοποιήσετε αμέσως.
Παρά όλες τις διαμάχες, οι επιχειρήσεις εφαρμόζουν όλο και περισσότερο την επιθεώρηση κυκλοφορίας SSL ως μέρος της εσωτερικής ή ιδιωτικής υποδομής PKI τους. Άλλες χρήσεις του ιδιωτικού PKI περιλαμβάνουν την έκδοση πιστοποιητικών για έλεγχο ταυτότητας συσκευής ή χρήστη, SSL για εσωτερικούς διακομιστές και διάφορες διαμορφώσεις που δεν επιτρέπονται σε δημόσια αξιόπιστα πιστοποιητικά, όπως απαιτείται από το Φόρουμ CA/Browser.
Τα προγράμματα περιήγησης αντεπιτίθενται
Θα πρέπει να σημειωθεί ότι οι προγραμματιστές του προγράμματος περιήγησης προσπαθούν να αντιμετωπίσουν αυτήν την τάση και να προστατεύσουν τους τελικούς χρήστες από το MiTM. Για παράδειγμα, πριν από λίγες μέρες το Mozilla Ενεργοποιήστε το πρωτόκολλο DoH (DNS-over-HTTPS) από προεπιλογή σε μία από τις επόμενες εκδόσεις του προγράμματος περιήγησης στον Firefox. Το πρωτόκολλο DoH κρύβει ερωτήματα DNS από το σύστημα DPI, καθιστώντας δύσκολη την επιθεώρηση SSL.
Σχετικά με παρόμοια σχέδια 10 Σεπτεμβρίου 2019 Google για το πρόγραμμα περιήγησης Chrome.
Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. , Σας παρακαλούμε.
Πιστεύετε ότι μια εταιρεία έχει το δικαίωμα να επιθεωρεί την κίνηση SSL των εργαζομένων της;
-
Ναι, με τη συγκατάθεσή τους
-
Όχι, το να ζητάς τέτοια συγκατάθεση είναι παράνομο και/ή ανήθικο
Ψήφισαν 122 χρήστες. 15 χρήστες απείχαν.
Πηγή: www.habr.com