Cadena de confianza. CC BY-SA 4.0
La inspección del tráfico SSL (descifrado SSL/TLS, análisis SSL o DPI) se está convirtiendo en un tema de discusión cada vez más candente en el sector empresarial. La idea de descifrar el tráfico parece contradecir el concepto mismo de criptografía. Sin embargo, el hecho es un hecho: cada vez más empresas utilizan tecnologías DPI, lo que se explica por la necesidad de comprobar el contenido en busca de malware, fugas de datos, etc.
Bueno, si aceptamos el hecho de que es necesario implementar dicha tecnología, entonces al menos deberíamos considerar formas de hacerlo de la manera más segura y mejor administrada posible. Al menos no confíe en los certificados que, por ejemplo, le otorga el proveedor del sistema DPI.
Hay un aspecto de la implementación que no todo el mundo conoce. De hecho, muchas personas se sorprenden mucho cuando se enteran de ello. Esta es una autoridad de certificación (CA) privada. Genera certificados para descifrar y volver a cifrar el tráfico.
En lugar de depender de certificados autofirmados o certificados de dispositivos DPI, puede utilizar una CA dedicada de una autoridad certificadora de terceros, como GlobalSign. Pero primero, hagamos una pequeña descripción general del problema en sí.
¿Qué es la inspección SSL y por qué se utiliza?
Cada vez más sitios web públicos se están migrando a HTTPS. Por ejemplo, según A principios de septiembre de 2019, la proporción de tráfico cifrado en Rusia alcanzaba el 83%.
Desafortunadamente, los atacantes utilizan cada vez más el cifrado de tráfico, especialmente porque Let's Encrypt distribuye miles de certificados SSL gratuitos de forma automatizada. Por lo tanto, HTTPS se usa en todas partes y el candado en la barra de direcciones del navegador ha dejado de servir como un indicador confiable de seguridad.
Los fabricantes de soluciones DPI promocionan sus productos desde estas posiciones. Están integrados entre los usuarios finales (es decir, sus empleados que navegan por la web) e Internet, filtrando el tráfico malicioso. Actualmente existen varios productos de este tipo en el mercado, pero los procesos son esencialmente los mismos. El tráfico HTTPS pasa a través de un dispositivo de inspección donde se descifra y se comprueba en busca de malware.
Una vez que se completa la verificación, el dispositivo crea una nueva sesión SSL con el cliente final para descifrar y volver a cifrar el contenido.
Cómo funciona el proceso de descifrado/volver a cifrar
Para que el dispositivo de inspección SSL descifre y vuelva a cifrar paquetes antes de enviarlos a los usuarios finales, debe poder emitir certificados SSL sobre la marcha. Esto significa que debe tener instalado un certificado CA.
Es importante para la empresa (o quien esté en el medio) que los navegadores confíen en estos certificados SSL (es decir, que no generen mensajes de advertencia aterradores como el que se muestra a continuación). Por lo tanto, la cadena (o jerarquía) de CA debe estar en el almacén de confianza del navegador. Dado que estos certificados no los emiten autoridades certificadoras de confianza pública, debe distribuir manualmente la jerarquía de CA a todos los clientes finales.
Mensaje de advertencia para certificado autofirmado en Chrome. Fuente:
En computadoras con Windows, puede usar Active Directory y Políticas de grupo, pero para dispositivos móviles el procedimiento es más complicado.
La situación se complica aún más si necesita admitir otros certificados raíz en un entorno corporativo, por ejemplo, de Microsoft o basados en OpenSSL. Además de la protección y gestión de claves privadas para que ninguna de las claves caduque inesperadamente.
La mejor opción: certificado raíz privado y dedicado de una CA de terceros
Si administrar múltiples raíces o certificados autofirmados no es atractivo, existe otra opción: confiar en una CA de terceros. En este caso, los certificados se emiten desde privado una CA que está vinculada en una cadena de confianza a una CA raíz privada y dedicada creada específicamente para la empresa.
Arquitectura simplificada para certificados raíz de cliente dedicados
Esta configuración elimina algunos de los problemas mencionados anteriormente: al menos reduce la cantidad de raíces que deben gestionarse. Aquí puede utilizar solo una autoridad raíz privada para todas las necesidades de PKI internas, con cualquier número de CA intermedias. Por ejemplo, el diagrama anterior muestra una jerarquía de varios niveles donde una de las CA intermedias se usa para la verificación/descifrado de SSL y la otra se usa para computadoras internas (portátiles, servidores, computadoras de escritorio, etc.).
En este diseño, no es necesario alojar una CA en todos los clientes porque la CA de nivel superior está alojada en GlobalSign, lo que resuelve los problemas de caducidad y protección de claves privadas.
Otra ventaja de este enfoque es la capacidad de revocar la autoridad de inspección SSL por cualquier motivo. En su lugar, simplemente se crea uno nuevo, que está vinculado a su raíz privada original, y puede usarlo inmediatamente.
A pesar de toda la controversia, las empresas están implementando cada vez más la inspección del tráfico SSL como parte de su infraestructura PKI interna o privada. Otros usos de la PKI privada incluyen la emisión de certificados para la autenticación de dispositivos o usuarios, SSL para servidores internos y varias configuraciones que no están permitidas en los certificados públicos confiables según lo exige CA/Browser Forum.
Los navegadores están contraatacando
Cabe señalar que los desarrolladores de navegadores están intentando contrarrestar esta tendencia y proteger a los usuarios finales de MiTM. Por ejemplo, hace unos días Mozilla Habilite el protocolo DoH (DNS-over-HTTPS) de forma predeterminada en una de las próximas versiones del navegador en Firefox. El protocolo DoH oculta las consultas DNS del sistema DPI, lo que dificulta la inspección SSL.
Sobre planes similares 10 de septiembre de 2019 Google para el navegador Chrome.
Solo los usuarios registrados pueden participar en la encuesta. por favor
¿Cree que una empresa tiene derecho a inspeccionar el tráfico SSL de sus empleados?
-
Sí, con su consentimiento.
-
No, solicitar dicho consentimiento es ilegal y/o poco ético.
122 usuarios votaron. 15 usuarios se abstuvieron.
Fuente: habr.com