Ĉeno de konfido. CC BY-SA 4.0
SSL-trafika inspektado (SSL/TLS-malĉifrado, SSL aŭ DPI-analizo) fariĝas ĉiam pli varma temo de diskuto en la kompania sektoro. La ideo de malĉifri trafikon ŝajnas kontraŭdiri la koncepton mem de kripto. Tamen, la fakto estas fakto: pli kaj pli da kompanioj uzas DPI-teknologiojn, klarigante tion per la bezono kontroli enhavon por malware, datumfluoj ktp.
Nu, se ni akceptas la fakton, ke tia teknologio devas esti efektivigita, tiam ni almenaŭ pripensu manierojn fari ĝin en la plej sekura kaj plej bone administrita maniero ebla. Almenaŭ ne fidu tiujn atestojn, ekzemple, kiujn la provizanto de la DPI-sistemo donas al vi.
Estas unu aspekto de efektivigo pri kiu ne ĉiuj scias. Fakte, multaj homoj estas vere surprizitaj kiam ili aŭdas pri ĝi. Ĉi tio estas privata atestadaŭtoritato (CA). Ĝi generas atestilojn por deĉifri kaj re-ĉifri trafikon.
Anstataŭ fidi je memsubskribitaj atestiloj aŭ atestiloj de DPI-aparatoj, vi povas uzi dediĉitan CA de triaparta atestila aŭtoritato kiel GlobalSign. Sed unue, ni faru iom superrigardon de la problemo mem.
Kio estas SSL-inspektado kaj kial ĝi estas uzata?
Pli kaj pli da publikaj retejoj moviĝas al HTTPS. Ekzemple, laŭ , komence de septembro 2019, la parto de ĉifrita trafiko en Rusio atingis 83%.
Bedaŭrinde, trafika ĉifrado estas ĉiam pli uzata de atakantoj, precipe ĉar Let's Encrypt distribuas milojn da senpagaj SSL-atestiloj en aŭtomatigita maniero. Tiel, HTTPS estas uzata ĉie - kaj la pendseruro en la retumila adresbreto ĉesis funkcii kiel fidinda indikilo de sekureco.
Fabrikistoj de DPI-solvoj reklamas siajn produktojn de ĉi tiuj pozicioj. Ili estas enigitaj inter finaj uzantoj (t.e. viaj dungitoj foliumantaj la reton) kaj la Interreto, filtrante malican trafikon. Estas kelkaj tiaj produktoj hodiaŭ sur la merkato, sed la procezoj estas esence la samaj. HTTPS-trafiko pasas tra inspekta aparato kie ĝi estas deĉifrita kaj kontrolita por malware.
Post kiam la konfirmo estas kompleta, la aparato kreas novan SSL-sesion kun la fina kliento por deĉifri kaj re-ĉifri la enhavon.
Kiel funkcias la malĉifra/re-ĉifrada procezo
Por ke la SSL-inspekta aparato deĉifri kaj re-ĉifri pakaĵetojn antaŭ sendi ilin al finuzantoj, ĝi devas povi elsendi SSL-atestilojn sur la flugo. Ĉi tio signifas, ke ĝi devas havi CA-atestilon instalitan.
Gravas por la firmao (aŭ kiu ajn-en-la-mezo) ke ĉi tiuj SSL-atestiloj estas fidindaj de retumiloj (t.e., ne deĉenigas timigajn avertajn mesaĝojn kiel tiu ĉi sube). Tial la CA-ĉeno (aŭ hierarkio) devas esti en la fida vendejo de la retumilo. Ĉar ĉi tiuj atestiloj ne estas eldonitaj de publike fidindaj atestaj aŭtoritatoj, vi devas mane distribui la CA-hierarkion al ĉiuj finklientoj.
Avertmesaĝo pri memsubskribita atestilo en Chrome. Fonto:
En Vindozaj komputiloj, vi povas uzi Aktivan Dosierujon kaj Grupajn Politikojn, sed por porteblaj aparatoj la procedo estas pli komplika.
La situacio fariĝas eĉ pli komplika se vi bezonas subteni aliajn radikajn atestilojn en kompania medio, ekzemple de Microsoft, aŭ bazita sur OpenSSL. Plie la protekto kaj administrado de privataj ŝlosiloj por ke iu ajn el la ŝlosiloj ne eksvalidiĝas neatendite.
Plej bona opcio: privata, dediĉita radika atestilo de tria CA
Se administri plurajn radikojn aŭ memsubskribitajn atestojn ne allogas, ekzistas alia opcio: fidi al triaparta CA. En ĉi tiu kazo, atestiloj estas eldonitaj de privata CA kiu estas ligita en ĉeno de fido al dediĉita, privata radiko CA kreita specife por la firmao.
Simpligita arkitekturo por dediĉitaj klientradikaj atestiloj
Ĉi tiu aranĝo forigas kelkajn el la problemoj menciitaj antaŭe: ĝi almenaŭ reduktas la nombron da radikoj, kiujn oni devas administri. Ĉi tie vi povas uzi nur unu privatan radikan aŭtoritaton por ĉiuj internaj PKI-bezonoj, kun ajna nombro da mezaj CA-oj. Ekzemple, la supra diagramo montras plurnivelan hierarkion kie unu el la mezaj CA estas uzata por SSL-konfirmo/malĉifrado kaj la alia estas uzata por internaj komputiloj (tekkomputiloj, serviloj, labortabloj, ktp.).
En ĉi tiu dezajno, ne necesas gastigi CA sur ĉiuj klientoj ĉar la plej alta nivelo CA estas gastigita de GlobalSign, kiu solvas privatajn ŝlosilprotektojn kaj eksvalidiĝojn.
Alia avantaĝo de ĉi tiu aliro estas la kapablo revoki la SSL-inspektadaŭtoritaton ial ajn. Anstataŭe, nova estas simple kreita, kiu estas ligita al via originala privata radiko, kaj vi povas uzi ĝin tuj.
Malgraŭ la tuta diskutado, entreprenoj ĉiam pli efektivigas SSL-trafikinspektadon kiel parto de sia interna aŭ privata PKI-infrastrukturo. Aliaj uzoj por privata PKI inkluzivas eldonadon de atestiloj por aparato aŭ uzantaŭtentigo, SSL por internaj serviloj, kaj diversaj agordoj kiuj ne estas permesitaj en publikaj fidindaj atestiloj kiel postulite de la CA/Retumila Forumo.
Retumiloj kontraŭbatalas
Oni devas rimarki, ke retumiloj-programistoj provas kontraŭstari ĉi tiun tendencon kaj protekti finajn uzantojn de MiTM. Ekzemple, antaŭ kelkaj tagoj Mozilo Ebligu DoH (DNS-over-HTTPS) protokolon defaŭlte en unu el la sekvaj foliumilaj versioj en Firefox. La DoH-protokolo kaŝas DNS-demandojn de la DPI-sistemo, malfaciligante SSL-inspektadon.
Pri similaj planoj la 10-an de septembro 2019 Guglo por la retumilo Chrome.
Nur registritaj uzantoj povas partopreni la enketon. , bonvolu.
Ĉu vi pensas, ke kompanio havas la rajton inspekti la SSL-trafikon de siaj dungitoj?
-
Jes, kun ilia konsento
-
Ne, peti tian konsenton estas kontraŭleĝa kaj/aŭ maletika
122 uzantoj voĉdonis. 15 uzantoj sindetenis.
fonto: www.habr.com