ProHoster > Blog > administration > Le DPI (inspection SSL) va à contre-courant de la cryptographie, mais les entreprises le mettent en œuvre

Le DPI (inspection SSL) va à contre-courant de la cryptographie, mais les entreprises le mettent en œuvre

Le DPI (inspection SSL) va à contre-courant de la cryptographie, mais les entreprises le mettent en œuvre
Chaîne de confiance. CC BY-SA 4.0 Yanpas

L'inspection du trafic SSL (déchiffrement SSL/TLS, analyse SSL ou DPI) devient un sujet de discussion de plus en plus brûlant dans le secteur des entreprises. L’idée de décrypter le trafic semble contredire le concept même de cryptographie. Cependant, le fait est un fait : de plus en plus d'entreprises utilisent les technologies DPI, ce qui s'explique par la nécessité de vérifier le contenu pour détecter les logiciels malveillants, les fuites de données, etc.

Eh bien, si nous acceptons le fait qu’une telle technologie doit être mise en œuvre, alors nous devrions au moins réfléchir aux moyens de le faire de la manière la plus sûre et la mieux gérée possible. Au moins, ne vous fiez pas aux certificats, par exemple, que vous délivre le fournisseur du système DPI.

Il existe un aspect de la mise en œuvre que tout le monde ne connaît pas. En fait, beaucoup de gens sont vraiment surpris lorsqu’ils en entendent parler. Il s'agit d'une autorité de certification (CA) privée. Il génère des certificats pour décrypter et recrypter le trafic.

Au lieu de vous fier à des certificats auto-signés ou à des certificats provenant d'appareils DPI, vous pouvez utiliser une autorité de certification dédiée provenant d'une autorité de certification tierce telle que GlobalSign. Mais d’abord, faisons un petit aperçu du problème lui-même.

Qu'est-ce que l'inspection SSL et pourquoi est-elle utilisée ?

De plus en plus de sites Web publics passent au HTTPS. Par exemple, selon Statistiques Chrome, début septembre 2019, la part du trafic crypté en Russie atteignait 83 %.

Le DPI (inspection SSL) va à contre-courant de la cryptographie, mais les entreprises le mettent en œuvre

Malheureusement, le cryptage du trafic est de plus en plus utilisé par les attaquants, d'autant plus que Let's Encrypt distribue de manière automatisée des milliers de certificats SSL gratuits. Ainsi, HTTPS est utilisé partout - et le cadenas dans la barre d'adresse du navigateur a cessé de servir d'indicateur fiable de sécurité.

Les fabricants de solutions DPI font la promotion de leurs produits à partir de ces positions. Ils sont intégrés entre les utilisateurs finaux (c'est-à-dire vos employés naviguant sur le Web) et Internet, filtrant le trafic malveillant. Il existe aujourd’hui un certain nombre de produits de ce type sur le marché, mais les processus sont essentiellement les mêmes. Le trafic HTTPS passe par un dispositif d'inspection où il est déchiffré et vérifié à la recherche de logiciels malveillants.

Une fois la vérification terminée, l'appareil crée une nouvelle session SSL avec le client final pour décrypter et rechiffrer le contenu.

Comment fonctionne le processus de décryptage/rechiffrement

Pour que l'appliance d'inspection SSL puisse déchiffrer et rechiffrer les paquets avant de les envoyer aux utilisateurs finaux, elle doit être capable d'émettre des certificats SSL à la volée. Cela signifie qu'un certificat CA doit être installé.

Il est important pour l'entreprise (ou quiconque se trouve au milieu) que ces certificats SSL soient approuvés par les navigateurs (c'est-à-dire qu'ils ne déclenchent pas de messages d'avertissement effrayants comme celui ci-dessous). Par conséquent, la chaîne (ou hiérarchie) d'autorité de certification doit se trouver dans le magasin de confiance du navigateur. Étant donné que ces certificats ne sont pas émis par des autorités de certification de confiance publique, vous devez distribuer manuellement la hiérarchie de l'autorité de certification à tous les clients finaux.

Le DPI (inspection SSL) va à contre-courant de la cryptographie, mais les entreprises le mettent en œuvre
Message d'avertissement pour le certificat auto-signé dans Chrome. Source: BadSSL.com

Sur les ordinateurs Windows, vous pouvez utiliser Active Directory et les stratégies de groupe, mais pour les appareils mobiles, la procédure est plus compliquée.

La situation devient encore plus compliquée si vous devez prendre en charge d'autres certificats racine dans un environnement d'entreprise, par exemple de Microsoft ou basés sur OpenSSL. Plus la protection et la gestion des clés privées afin qu'aucune des clés n'expire de manière inattendue.

Meilleure option : certificat racine privé et dédié provenant d'une autorité de certification tierce

Si la gestion de plusieurs racines ou de certificats auto-signés n'est pas attrayante, il existe une autre option : s'appuyer sur une autorité de certification tierce. Dans ce cas, les certificats sont délivrés à partir de privé une autorité de certification liée dans une chaîne de confiance à une autorité de certification racine dédiée et privée créée spécifiquement pour l'entreprise.

Le DPI (inspection SSL) va à contre-courant de la cryptographie, mais les entreprises le mettent en œuvre
Architecture simplifiée pour les certificats racine client dédiés

Cette configuration élimine certains des problèmes mentionnés précédemment : elle réduit au moins le nombre de racines à gérer. Ici, vous pouvez utiliser une seule autorité racine privée pour tous les besoins internes de PKI, avec n'importe quel nombre d'autorités de certification intermédiaires. Par exemple, le diagramme ci-dessus montre une hiérarchie à plusieurs niveaux dans laquelle l'une des autorités de certification intermédiaires est utilisée pour la vérification/déchiffrement SSL et l'autre est utilisée pour les ordinateurs internes (ordinateurs portables, serveurs, ordinateurs de bureau, etc.).

Dans cette conception, il n'est pas nécessaire d'héberger une autorité de certification sur tous les clients car l'autorité de certification de niveau supérieur est hébergée par GlobalSign, ce qui résout les problèmes de protection et d'expiration des clés privées.

Un autre avantage de cette approche est la possibilité de révoquer l'autorité d'inspection SSL pour quelque raison que ce soit. Au lieu de cela, un nouveau est simplement créé, lié à votre racine privée d'origine, et vous pouvez l'utiliser immédiatement.

Malgré toute la controverse, les entreprises mettent de plus en plus en œuvre l’inspection du trafic SSL dans le cadre de leur infrastructure PKI interne ou privée. D'autres utilisations de la PKI privée incluent l'émission de certificats pour l'authentification des appareils ou des utilisateurs, SSL pour les serveurs internes et diverses configurations qui ne sont pas autorisées dans les certificats publics de confiance, comme l'exige le CA/Browser Forum.

Les navigateurs ripostent

Il convient de noter que les développeurs de navigateurs tentent de contrer cette tendance et de protéger les utilisateurs finaux de MiTM. Par exemple, il y a quelques jours, Mozilla pris une décision Activez le protocole DoH (DNS-over-HTTPS) par défaut dans l'une des prochaines versions du navigateur Firefox. Le protocole DoH masque les requêtes DNS du système DPI, ce qui rend l'inspection SSL difficile.

À propos de plans similaires 10 septembre 2019 annoncé le Google pour le navigateur Chrome.

Le DPI (inspection SSL) va à contre-courant de la cryptographie, mais les entreprises le mettent en œuvre

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Pensez-vous qu'une entreprise a le droit d'inspecter le trafic SSL de ses employés ?

  • Oui, avec leur accord

  • Non, demander un tel consentement est illégal et/ou contraire à l'éthique

122 utilisateurs ont voté. 15 utilisateurs se sont abstenus.

Source: habr.com

Ajouter un commentaire