ChaĂźne de confiance. CC BY-SA 4.0
L'inspection du trafic SSL (dĂ©chiffrement SSL/TLS, analyse SSL ou DPI) devient un sujet de discussion de plus en plus brĂ»lant dans le secteur des entreprises. LâidĂ©e de dĂ©crypter le trafic semble contredire le concept mĂȘme de cryptographie. Cependant, le fait est un fait : de plus en plus d'entreprises utilisent les technologies DPI, ce qui s'explique par la nĂ©cessitĂ© de vĂ©rifier le contenu pour dĂ©tecter les logiciels malveillants, les fuites de donnĂ©es, etc.
Eh bien, si nous acceptons le fait quâune telle technologie doit ĂȘtre mise en Ćuvre, alors nous devrions au moins rĂ©flĂ©chir aux moyens de le faire de la maniĂšre la plus sĂ»re et la mieux gĂ©rĂ©e possible. Au moins, ne vous fiez pas aux certificats, par exemple, que vous dĂ©livre le fournisseur du systĂšme DPI.
Il existe un aspect de la mise en Ćuvre que tout le monde ne connaĂźt pas. En fait, beaucoup de gens sont vraiment surpris lorsquâils en entendent parler. Il s'agit d'une autoritĂ© de certification (CA) privĂ©e. Il gĂ©nĂšre des certificats pour dĂ©crypter et recrypter le trafic.
Au lieu de vous fier Ă des certificats auto-signĂ©s ou Ă des certificats provenant d'appareils DPI, vous pouvez utiliser une autoritĂ© de certification dĂ©diĂ©e provenant d'une autoritĂ© de certification tierce telle que GlobalSign. Mais dâabord, faisons un petit aperçu du problĂšme lui-mĂȘme.
Qu'est-ce que l'inspection SSL et pourquoi est-elle utilisée ?
De plus en plus de sites Web publics passent au HTTPS. Par exemple, selon , début septembre 2019, la part du trafic crypté en Russie atteignait 83 %.
Malheureusement, le cryptage du trafic est de plus en plus utilisé par les attaquants, d'autant plus que Let's Encrypt distribue de maniÚre automatisée des milliers de certificats SSL gratuits. Ainsi, HTTPS est utilisé partout - et le cadenas dans la barre d'adresse du navigateur a cessé de servir d'indicateur fiable de sécurité.
Les fabricants de solutions DPI font la promotion de leurs produits Ă partir de ces positions. Ils sont intĂ©grĂ©s entre les utilisateurs finaux (c'est-Ă -dire vos employĂ©s naviguant sur le Web) et Internet, filtrant le trafic malveillant. Il existe aujourdâhui un certain nombre de produits de ce type sur le marchĂ©, mais les processus sont essentiellement les mĂȘmes. Le trafic HTTPS passe par un dispositif d'inspection oĂč il est dĂ©chiffrĂ© et vĂ©rifiĂ© Ă la recherche de logiciels malveillants.
Une fois la vérification terminée, l'appareil crée une nouvelle session SSL avec le client final pour décrypter et rechiffrer le contenu.
Comment fonctionne le processus de décryptage/rechiffrement
Pour que l'appliance d'inspection SSL puisse dĂ©chiffrer et rechiffrer les paquets avant de les envoyer aux utilisateurs finaux, elle doit ĂȘtre capable d'Ă©mettre des certificats SSL Ă la volĂ©e. Cela signifie qu'un certificat CA doit ĂȘtre installĂ©.
Il est important pour l'entreprise (ou quiconque se trouve au milieu) que ces certificats SSL soient approuvĂ©s par les navigateurs (c'est-Ă -dire qu'ils ne dĂ©clenchent pas de messages d'avertissement effrayants comme celui ci-dessous). Par consĂ©quent, la chaĂźne (ou hiĂ©rarchie) d'autoritĂ© de certification doit se trouver dans le magasin de confiance du navigateur. Ătant donnĂ© que ces certificats ne sont pas Ă©mis par des autoritĂ©s de certification de confiance publique, vous devez distribuer manuellement la hiĂ©rarchie de l'autoritĂ© de certification Ă tous les clients finaux.
Message d'avertissement pour le certificat auto-signé dans Chrome. Source:
Sur les ordinateurs avec Windows Vous pouvez utiliser Active Directory et les stratégies de groupe, mais pour les appareils mobiles, la procédure est plus compliquée.
La situation devient encore plus compliquée si vous devez prendre en charge d'autres certificats racine dans un environnement d'entreprise, par exemple de Microsoft ou basés sur OpenSSL. Plus la protection et la gestion des clés privées afin qu'aucune des clés n'expire de maniÚre inattendue.
Meilleure option : certificat racine privé et dédié provenant d'une autorité de certification tierce
Si la gestion de plusieurs racines ou de certificats auto-signés n'est pas attrayante, il existe une autre option : s'appuyer sur une autorité de certification tierce. Dans ce cas, les certificats sont délivrés à partir de privé une autorité de certification liée dans une chaßne de confiance à une autorité de certification racine dédiée et privée créée spécifiquement pour l'entreprise.
Architecture simplifiée pour les certificats racine client dédiés
Cette configuration élimine certains des problÚmes mentionnés précédemment : elle réduit au moins le nombre de racines à gérer. Ici, vous pouvez utiliser une seule autorité racine privée pour tous les besoins internes de PKI, avec n'importe quel nombre d'autorités de certification intermédiaires. Par exemple, le diagramme ci-dessus montre une hiérarchie à plusieurs niveaux dans laquelle l'une des autorités de certification intermédiaires est utilisée pour la vérification/déchiffrement SSL et l'autre est utilisée pour les ordinateurs internes (ordinateurs portables, serveurs, ordinateurs de bureau, etc.).
Dans cette conception, il n'est pas nécessaire d'héberger une autorité de certification sur tous les clients car l'autorité de certification de niveau supérieur est hébergée par GlobalSign, ce qui résout les problÚmes de protection et d'expiration des clés privées.
Un autre avantage de cette approche est la possibilité de révoquer l'autorité d'inspection SSL pour quelque raison que ce soit. Au lieu de cela, un nouveau est simplement créé, lié à votre racine privée d'origine, et vous pouvez l'utiliser immédiatement.
MalgrĂ© toute la controverse, les entreprises mettent de plus en plus en Ćuvre lâinspection du trafic SSL dans le cadre de leur infrastructure PKI interne ou privĂ©e. D'autres utilisations de la PKI privĂ©e incluent l'Ă©mission de certificats pour l'authentification des appareils ou des utilisateurs, SSL pour les serveurs internes et diverses configurations qui ne sont pas autorisĂ©es dans les certificats publics de confiance, comme l'exige le CA/Browser Forum.
Les navigateurs ripostent
Il convient de noter que les dĂ©veloppeurs de navigateurs tentent de contrer cette tendance et de protĂ©ger les utilisateurs finaux de MiTM. Par exemple, il y a quelques jours, Mozilla Activez le protocole DoH (DNS-over-HTTPS) par dĂ©faut dans l'une des prochaines versions du navigateur Firefox. Le protocole DoH masque les requĂȘtes DNS du systĂšme DPI, ce qui rend l'inspection SSL difficile.
Ă propos de plans similaires 10 septembre 2019 Google pour le navigateur Chrome.
Seuls les utilisateurs enregistrĂ©s peuvent participer Ă l'enquĂȘte. s'il te plait.
Pensez-vous qu'une entreprise a le droit d'inspecter le trafic SSL de ses employés ?
Oui, avec leur accord
Non, demander un tel consentement est illégal et/ou contraire à l'éthique
122 utilisateurs ont voté. 15 utilisateurs se sont abstenus.
Source: habr.com
