زنجیره اعتماد. CC BY-SA 4.0
بازرسی ترافیک SSL (رمزگشایی SSL/TLS، تجزیه و تحلیل SSL یا DPI) در حال تبدیل شدن به موضوع داغ بحث در بخش شرکتی است. به نظر می رسد ایده رمزگشایی ترافیک با مفهوم رمزنگاری در تضاد است. با این حال، واقعیت یک واقعیت است: شرکتهای بیشتری از فناوریهای DPI استفاده میکنند و این را با نیاز به بررسی محتوا برای بدافزار، نشت دادهها و غیره توضیح میدهند.
خوب، اگر این واقعیت را بپذیریم که چنین فناوری نیاز به پیاده سازی دارد، حداقل باید راه هایی را برای انجام آن به ایمن ترین و مدیریت شده ترین راه ممکن در نظر بگیریم. حداقل به آن گواهی هایی که به عنوان مثال تامین کننده سیستم DPI به شما می دهد اعتماد نکنید.
یک جنبه از پیاده سازی وجود دارد که همه آن را نمی دانند. در واقع، بسیاری از مردم با شنیدن این موضوع واقعا شگفت زده می شوند. این یک مرجع صدور گواهینامه خصوصی (CA) است. گواهی هایی برای رمزگشایی و رمزگذاری مجدد ترافیک تولید می کند.
بهجای تکیه بر گواهیهای خودامضا یا گواهیهای دستگاههای DPI، میتوانید از یک CA اختصاصی از یک مرجع گواهی شخص ثالث مانند GlobalSign استفاده کنید. اما ابتدا اجازه دهید یک بررسی کلی از خود مشکل داشته باشیم.
بازرسی SSL چیست و چرا استفاده می شود؟
وب سایت های عمومی بیشتر و بیشتری به سمت HTTPS می روند. به عنوان مثال، با توجه به
متأسفانه، رمزگذاری ترافیک به طور فزاینده ای توسط مهاجمان مورد استفاده قرار می گیرد، به خصوص که Let’s Encrypt هزاران گواهینامه رایگان SSL را به صورت خودکار توزیع می کند. بنابراین، HTTPS در همه جا استفاده می شود - و قفل در نوار آدرس مرورگر دیگر به عنوان یک شاخص قابل اعتماد از امنیت عمل نمی کند.
تولید کنندگان راه حل های DPI محصولات خود را از این موقعیت ها تبلیغ می کنند. آنها بین کاربران نهایی (یعنی کارمندان شما که در حال مرور وب هستند) و اینترنت جاسازی شده اند و ترافیک مخرب را فیلتر می کنند. امروزه تعدادی از این محصولات در بازار وجود دارد، اما فرآیندها اساساً یکسان است. ترافیک HTTPS از یک دستگاه بازرسی می گذرد و در آنجا رمزگشایی شده و برای بدافزار بررسی می شود.
پس از تکمیل تأیید، دستگاه یک جلسه SSL جدید با مشتری نهایی ایجاد می کند تا محتوا را رمزگشایی و دوباره رمزگذاری کند.
فرآیند رمزگشایی/رمزگذاری مجدد چگونه کار می کند
برای اینکه دستگاه بازرسی SSL بتواند بسته ها را قبل از ارسال به کاربران نهایی رمزگشایی و رمزگذاری مجدد کند، باید بتواند گواهینامه های SSL را در لحظه صادر کند. این بدان معناست که باید گواهینامه CA نصب شده باشد.
برای شرکت (یا هر کسی که در وسط قرار دارد) مهم است که این گواهیهای SSL مورد اعتماد مرورگرها باشد (یعنی پیامهای هشدار ترسناک مانند زیر را راهاندازی نکنید). بنابراین زنجیره CA (یا سلسله مراتب) باید در فروشگاه اعتماد مرورگر باشد. از آنجایی که این گواهیها از مقامات گواهی مورد اعتماد عمومی صادر نمیشوند، باید سلسله مراتب CA را به صورت دستی بین همه مشتریان نهایی توزیع کنید.
پیام هشدار برای گواهی خودامضا در Chrome. منبع:
در رایانههای ویندوز، میتوانید از Active Directory و Group Policies استفاده کنید، اما برای دستگاههای تلفن همراه این روش پیچیدهتر است.
اگر نیاز به پشتیبانی از سایر گواهینامه های ریشه در یک محیط شرکتی، به عنوان مثال، از مایکروسافت یا مبتنی بر OpenSSL داشته باشید، وضعیت حتی پیچیده تر می شود. به علاوه حفاظت و مدیریت کلیدهای خصوصی به طوری که هیچ یک از کلیدها به طور غیر منتظره منقضی نمی شوند.
بهترین گزینه: گواهی ریشه خصوصی و اختصاصی از یک CA شخص ثالث
اگر مدیریت چندین ریشه یا گواهینامه های خودامضا جذاب نیست، گزینه دیگری وجود دارد: تکیه بر یک CA شخص ثالث. در این صورت گواهینامه ها از خصوصی یک CA که در یک زنجیره اعتماد به یک CA ریشه اختصاصی و خصوصی که به طور خاص برای شرکت ایجاد شده است مرتبط است.
معماری ساده شده برای گواهی های ریشه مشتری اختصاصی
این راهاندازی برخی از مشکلاتی را که قبلاً ذکر شد حذف میکند: حداقل تعداد ریشههایی را که باید مدیریت شوند کاهش میدهد. در اینجا میتوانید تنها از یک مرجع خصوصی ریشه برای تمام نیازهای PKI داخلی، با هر تعداد CA میانی استفاده کنید. به عنوان مثال، نمودار بالا یک سلسله مراتب چند سطحی را نشان می دهد که در آن یکی از CA های میانی برای تأیید / رمزگشایی SSL و دیگری برای رایانه های داخلی (لپ تاپ، سرور، دسکتاپ و غیره) استفاده می شود.
در این طراحی، نیازی به میزبانی CA برای همه مشتریان نیست، زیرا CA سطح بالا توسط GlobalSign میزبانی می شود، که حفاظت از کلید خصوصی و مشکلات انقضا را حل می کند.
مزیت دیگر این رویکرد امکان لغو مجوز بازرسی SSL به هر دلیلی است. در عوض، یک مورد جدید به سادگی ایجاد می شود که به ریشه خصوصی اصلی شما گره خورده است و می توانید بلافاصله از آن استفاده کنید.
علیرغم همه بحثها، شرکتها به طور فزایندهای بازرسی ترافیک SSL را به عنوان بخشی از زیرساخت PKI داخلی یا خصوصی خود پیادهسازی میکنند. سایر کاربردهای PKI خصوصی شامل صدور گواهینامه برای احراز هویت دستگاه یا کاربر، SSL برای سرورهای داخلی و پیکربندیهای مختلفی است که طبق نیاز انجمن CA/Browser در گواهیهای مورد اعتماد عمومی مجاز نیستند.
مرورگرها در حال مبارزه هستند
لازم به ذکر است که توسعه دهندگان مرورگر در تلاش برای مقابله با این روند و محافظت از کاربران نهایی در برابر MiTM هستند. مثلا چند روز پیش موزیلا
درباره برنامه های مشابه 10 سپتامبر 2019
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند.
آیا فکر می کنید یک شرکت حق دارد ترافیک SSL کارکنان خود را بازرسی کند؟
-
بله با رضایت آنها
-
خیر، درخواست چنین رضایتی غیرقانونی و/یا غیراخلاقی است
122 کاربر رای دادند. 15 کاربر رای ممتنع دادند.
منبع: www.habr.com