Luottamusketju. CC BY-SA 4.0
SSL-liikenteen tarkastuksesta (SSL/TLS-salauksenpurku, SSL- tai DPI-analyysi) on tulossa yhä kuuma keskustelunaihe yrityssektorilla. Ajatus liikenteen salauksen purkamisesta näyttää olevan ristiriidassa salauksen käsitteen kanssa. Tosiasia on kuitenkin tosiasia: yhä useammat yritykset käyttävät DPI-tekniikoita, mikä selittää tämän tarpeella tarkistaa sisältö haittaohjelmien, tietovuotojen jne. varalta.
No, jos hyväksymme sen tosiasian, että tällainen tekniikka on otettava käyttöön, meidän pitäisi ainakin harkita tapoja tehdä se turvallisimmalla ja hyvin hallitulla tavalla. Älä ainakaan luota niihin varmenteisiin, jotka esimerkiksi DPI-järjestelmän toimittaja sinulle antaa.
Toteutuksessa on yksi näkökohta, jota kaikki eivät tiedä. Itse asiassa monet ihmiset ovat todella yllättyneitä kuultuaan siitä. Tämä on yksityinen sertifiointiviranomainen (CA). Se luo varmenteita liikenteen salauksen purkamiseksi ja uudelleensalaamiseksi.
Sen sijaan, että luottaisit itse allekirjoitettuihin tai DPI-laitteiden sertifikaatteihin, voit käyttää kolmannen osapuolen varmenteen myöntäjän, kuten GlobalSign, omaa CA:ta. Mutta ensin, tehdään pieni yleiskatsaus itse ongelmaan.
Mikä on SSL-tarkastus ja miksi sitä käytetään?
Yhä useammat julkiset verkkosivustot siirtyvät HTTPS:ään. Esimerkiksi mukaan , syyskuun 2019 alussa salatun liikenteen osuus Venäjällä oli 83 %.
Valitettavasti hyökkääjät käyttävät yhä enemmän liikenteen salausta, varsinkin kun Let's Encrypt jakaa tuhansia ilmaisia SSL-varmenteita automaattisesti. Siten HTTPS:ää käytetään kaikkialla - ja selaimen osoiterivin riippulukko on lakannut toimimasta luotettavana turvallisuuden indikaattorina.
DPI-ratkaisujen valmistajat markkinoivat tuotteitaan näiltä asemilla. Ne on upotettu loppukäyttäjien (eli nettiä selaavien työntekijöiden) ja Internetiin suodattaen haitallisen liikenteen. Nykyään markkinoilla on useita tällaisia tuotteita, mutta prosessit ovat olennaisesti samat. HTTPS-liikenne kulkee tarkastuslaitteen läpi, jossa sen salaus puretaan ja tarkistetaan haittaohjelmien varalta.
Kun vahvistus on valmis, laite luo uuden SSL-istunnon loppuasiakkaan kanssa sisällön salauksen purkamiseksi ja uudelleensalaamiseksi.
Kuinka salauksen purku/uudelleensalausprosessi toimii
Jotta SSL-tarkastuslaite voi purkaa ja salata uudelleen paketit ennen niiden lähettämistä loppukäyttäjille, sen on kyettävä myöntämään SSL-varmenteita lennossa. Tämä tarkoittaa, että siihen on oltava asennettuna CA-varmenne.
Yritykselle (tai kenelle tahansa, joka on keskellä) on tärkeää, että selaimet luottavat näihin SSL-varmenteisiin (eli ne eivät laukaise pelottavia varoitusviestejä, kuten alla). Siksi CA-ketjun (tai hierarkian) on oltava selaimen luottamussäilössä. Koska näitä varmenteita ei ole myönnetty julkisesti luotettavilta varmentajilta, sinun on jaettava CA-hierarkia manuaalisesti kaikille loppuasiakkaille.
Varoitusviesti itseallekirjoitetusta varmenteesta Chromessa. Lähde:
Windows-tietokoneissa voit käyttää Active Directory- ja ryhmäkäytäntöjä, mutta mobiililaitteilla menettely on monimutkaisempi.
Tilanne muuttuu vielä monimutkaisemmaksi, jos joudut tukemaan muita juurivarmenteita yritysympäristössä, esimerkiksi Microsoftilta tai OpenSSL-pohjalta. Lisäksi yksityisten avainten suojaus ja hallinta, jotta mikään avaimista ei vanhene odottamatta.
Paras vaihtoehto: yksityinen, omistettu juurivarmenne kolmannen osapuolen CA:lta
Jos useiden juurien tai itse allekirjoitettujen varmenteiden hallinta ei houkuttele, on toinen vaihtoehto: luottaa kolmannen osapuolen CA:han. Tässä tapauksessa todistukset myönnetään alkaen yksityinen varmentaja, joka on linkitetty luottamusketjussa omistettuun, yksityiseen juurivarmentajaan, joka on luotu erityisesti yritykselle.
Yksinkertaistettu arkkitehtuuri asiakaskohtaisille juurivarmenteille
Tämä asennus poistaa osan aiemmin mainituista ongelmista: se ainakin vähentää hallittavien juurien määrää. Täällä voit käyttää vain yhtä yksityistä pääkäyttäjän oikeutta kaikkiin sisäisiin PKI-tarpeisiin, minkä tahansa välitason CA:n kanssa. Esimerkiksi yllä oleva kaavio näyttää monitasoisen hierarkian, jossa toista välitason CA:sta käytetään SSL-varmentamiseen/salauksen purkamiseen ja toista sisäisille tietokoneille (kannettavat tietokoneet, palvelimet, pöytäkoneet jne.).
Tässä suunnittelussa ei ole tarvetta isännöidä CA:ta kaikille asiakkaille, koska huipputason CA:ta isännöi GlobalSign, joka ratkaisee yksityisen avaimen suojaus- ja vanhentumisongelmat.
Toinen tämän lähestymistavan etu on mahdollisuus peruuttaa SSL-tarkastusviranomainen mistä tahansa syystä. Sen sijaan luodaan yksinkertaisesti uusi, joka on sidottu alkuperäiseen yksityiseen juuriisi, ja voit käyttää sitä välittömästi.
Kaikesta kiistasta huolimatta yritykset ottavat yhä enemmän käyttöön SSL-liikenteen tarkastuksia osana sisäistä tai yksityistä PKI-infrastruktuuriaan. Muita yksityisen PKI:n käyttötapoja ovat sertifikaattien myöntäminen laite- tai käyttäjätodennusta varten, SSL sisäisille palvelimille ja erilaiset konfiguraatiot, jotka eivät ole sallittuja julkisissa luotetuissa varmenteissa CA/Browser Forumin edellyttämällä tavalla.
Selaimet taistelevat vastaan
On huomattava, että selainkehittäjät yrittävät vastustaa tätä suuntausta ja suojella loppukäyttäjiä MiTM:ltä. Esimerkiksi muutama päivä sitten Mozilla Ota DoH (DNS-over-HTTPS) -protokolla käyttöön oletuksena jossakin seuraavista Firefoxin selainversioista. DoH-protokolla piilottaa DNS-kyselyt DPI-järjestelmästä, mikä vaikeuttaa SSL-tarkistusta.
Tietoja vastaavista suunnitelmista 10 Google Chrome-selaimelle.
Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. , ole kiltti.
Onko yrityksellä mielestäsi oikeus tarkastaa työntekijöidensä SSL-liikennettä?
-
Kyllä, heidän suostumuksellaan
-
Ei, tällaisen suostumuksen pyytäminen on laitonta ja/tai epäeettistä
122 käyttäjää äänesti. 15 käyttäjää pidättyi äänestämästä.
Lähde: will.com