Ketting fan fertrouwen. CC BY-SA 4.0
SSL-ferkearsynspeksje (SSL / TLS-ûntsifering, SSL- as DPI-analyze) wurdt in hieltyd waarmer ûnderwerp fan diskusje yn 'e bedriuwssektor. It idee fan it ûntsiferjen fan ferkear liket it konsept fan kryptografy yn tsjinspraak. It feit is lykwols in feit: hieltyd mear bedriuwen brûke DPI-technologyen, ferklearje dit troch de needsaak om ynhâld te kontrolearjen op malware, datalekken, ensfh.
No, as wy it feit akseptearje dat sokke technology moat wurde ymplementearre, dan moatte wy op syn minst manieren beskôgje om it op 'e feilichste en meast goed beheare manier mooglik te dwaan. Fertrouwe op syn minst net op dy sertifikaten, bygelyks, dy't de DPI-systeemleveransier jo jout.
D'r is ien aspekt fan ymplemintaasje dat net elkenien wit. Eins binne in protte minsken echt ferrast as se deroer hearre. Dit is in privee sertifikaatautoriteit (CA). It genereart sertifikaten om ferkear te ûntsiferjen en opnij te fersiferjen.
Yn stee fan te fertrouwen op sels-ûndertekene sertifikaten of sertifikaten fan DPI-apparaten, kinne jo in tawijd CA brûke fan in sertifikaatautoriteit fan tredden lykas GlobalSign. Mar lit ús earst in bytsje oersjoch meitsje fan it probleem sels.
Wat is SSL-ynspeksje en wêrom wurdt it brûkt?
Hieltyd mear iepenbiere websides ferhúzje nei HTTPS. Bygelyks, neffens , oan it begjin fan septimber 2019 berikte it oandiel fan fersifere ferkear yn Ruslân 83%.
Spitigernôch wurdt ferkearsfersifering hieltyd mear brûkt troch oanfallers, foaral om't Let's Encrypt tûzenen fergese SSL-sertifikaten op in automatisearre manier distribuearret. Sa wurdt HTTPS oeral brûkt - en it hangslot yn 'e adresbalke fan' e browser is ophâlden te tsjinjen as in betroubere yndikator fan feiligens.
Fabrikanten fan DPI-oplossingen befoarderje har produkten út dizze posysjes. Se binne ynbêde tusken ein brûkers (dat wol sizze jo meiwurkers blêdzje op it web) en it ynternet, filterjen kwea-aardich ferkear. D'r binne hjoed in oantal sokke produkten op 'e merke, mar de prosessen binne yn essinsje itselde. HTTPS-ferkear giet troch in ynspeksjeapparaat wêr't it wurdt ûntsifere en kontrolearre op malware.
As de ferifikaasje foltôge is, makket it apparaat in nije SSL-sesje mei de einkliïnt om de ynhâld te ûntsiferjen en opnij te fersiferjen.
Hoe't it proses fan ûntsifering / opnij fersifering wurket
Om it SSL-ynspeksjeapparaat pakketten te ûntsiferjen en opnij te fersiferjen foardat se nei ein brûkers ferstjoere, moat it SSL-sertifikaten op 'e flecht kinne útjaan. Dit betsjut dat it in CA-sertifikaat ynstalleare moat.
It is wichtich foar it bedriuw (of wa-yn-de-midden) dat dizze SSL-sertifikaten wurde fertroud troch browsers (dat wol sizze, trigger gjin skriklike warskôgingsberjochten lykas de hjirûnder). Dêrom moat de CA-keten (as hierargy) yn 'e trustwinkel fan' e browser wêze. Om't dizze sertifikaten net útjûn wurde fan iepenbier fertroude sertifikaatautoriteiten, moatte jo de CA-hiërargy manuell ferspriede nei alle einkliïnten.
Warskôgingsberjocht foar selsûndertekene sertifikaat yn Chrome. Boarne:
Op Windows-kompjûters kinne jo Active Directory en Group Policies brûke, mar foar mobile apparaten is de proseduere komplisearre.
De situaasje wurdt noch komplisearre as jo oare root-sertifikaten moatte stypje yn in bedriuwsomjouwing, bygelyks fan Microsoft, of basearre op OpenSSL. Plus de beskerming en behear fan privee kaaien sadat ien fan 'e kaaien net ûnferwachts ferrinne.
Bêste opsje: privee, tawijd root-sertifikaat fan in CA fan in tredde partij
As it behearen fan meardere woartels of sels-ûndertekene sertifikaten net oansprekkend is, is d'r in oare opsje: fertrouwe op in CA fan tredden. Yn dit gefal wurde sertifikaten útjûn fan privee in CA dy't keppele is yn in keatling fan fertrouwen oan in tawijd, privee root CA dy't spesifyk foar it bedriuw makke is.
Simplified arsjitektuer foar tawijd client root sertifikaten
Dizze opset elimineert guon fan 'e problemen dy't earder neamd binne: it ferminderet teminsten it oantal woartels dat moat wurde beheard. Hjir kinne jo mar ien privee root-autoriteit brûke foar alle ynterne PKI-behoeften, mei elk oantal tuskenlizzende CA's. Bygelyks, it diagram hjirboppe toant in multi-level hiërargy dêr't ien fan de tuskenlizzende CA's wurdt brûkt foar SSL ferifikaasje / ûntsiferje en de oare wurdt brûkt foar ynterne kompjûters (laptops, servers, buroblêden, ensfh).
Yn dit ûntwerp is d'r gjin ferlet om in CA op alle kliïnten te hostjen, om't de CA op topnivo wurdt host troch GlobalSign, dy't problemen mei priveekaaibeskerming en ferfallen oplost.
In oar foardiel fan dizze oanpak is de mooglikheid om de SSL-ynspeksjeautoriteit foar elke reden yn te lûken. Ynstee dêrfan wurdt gewoan in nije makke, dy't bûn is oan jo orizjinele privee root, en jo kinne it direkt brûke.
Nettsjinsteande alle kontroversje implementearje bedriuwen hieltyd mear SSL-ferkearsynspeksje as ûnderdiel fan har ynterne as partikuliere PKI-ynfrastruktuer. Oare gebrûken foar privee PKI omfetsje it útjaan fan sertifikaten foar apparaat- of brûkersautentikaasje, SSL foar ynterne servers, en ferskate konfiguraasjes dy't net tastien binne yn iepenbiere fertroude sertifikaten lykas fereaske troch it CA/Browser Forum.
Browsers fjochtsje werom
It moat opmurken wurde dat browser-ûntwikkelders besykje dizze trend tsjin te gean en ein brûkers te beskermjen fan MiTM. Bygelyks, in pear dagen lyn Mozilla Ynskeakelje DoH (DNS-over-HTTPS) protokol standert yn ien fan 'e folgjende browserferzjes yn Firefox. It DoH-protokol ferberget DNS-fragen fan it DPI-systeem, wat SSL-ynspeksje lestich makket.
Oer ferlykbere plannen 10 septimber 2019 Google foar de Chrome-blêder.
Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. , asjebleaft.
Tinke jo dat in bedriuw it rjocht hat om it SSL-ferkear fan har meiwurkers te ynspektearjen?
-
Ja, mei harren tastimming
-
Nee, it freegjen fan sa'n tastimming is yllegaal en/of unethysk
122 brûkers stimden. 15 brûkers ûntholden har.
Boarne: www.habr.com