Slabhra muiníne. CC BY-SA 4.0
Tá cigireacht tráchta SSL (díchriptiú SSL/TLS, anailís SSL nó DPI) ag éirí ina ábhar díospóireachta níos teo san earnáil chorparáideach. Dealraíonn sé go bhfuil an smaoineamh ar thrácht a dhíchriptiú ag teacht salach ar choincheap an-chripteagrafaíochta. Mar sin féin, is é fírinne an scéil: tá cuideachtaí níos mó agus níos mó ag baint úsáide as teicneolaíochtaí DPI, rud a mhíníonn an gá atá le hábhar a sheiceáil le haghaidh malware, sceitheadh sonraí, etc.
Bhuel, má ghlacaimid leis gur gá an teicneolaíocht sin a chur i bhfeidhm, ba cheart dúinn, ar a laghad, bealaí a mheas chun é a dhéanamh ar an mbealach is sábháilte agus is dea-bhainistithe agus is féidir. Ar a laghad, ná bí ag brath ar na deimhnithe sin, mar shampla, a thugann soláthraí an chórais DPI duit.
Tá gné amháin den chur i bhfeidhm nach bhfuil a fhios ag gach duine faoi. Go deimhin, bíonn iontas ar go leor daoine nuair a chloiseann siad faoi. Is údarás príobháideach deimhniúcháin (CA) é seo. Gineann sé teastais chun trácht a dhíchriptiú agus a athchriptiú.
In ionad a bheith ag brath ar dheimhnithe féinsínithe nó ar dheimhnithe ó ghléasanna DPI, is féidir leat CA tiomnaithe a úsáid ó údarás deimhniúcháin tríú páirtí ar nós GlobalSign. Ach ar dtús, déanaimis forbhreathnú beag ar an bhfadhb féin.
Cad é cigireacht SSL agus cén fáth a n-úsáidtear é?
Tá níos mó agus níos mó suíomhanna gréasáin poiblí ag bogadh go HTTPS. Mar shampla, de réir , ag tús mhí Mheán Fómhair 2019, shroich an sciar den trácht criptithe sa Rúis 83%.
Ar an drochuair, tá criptiú tráchta á úsáid níos mó ag ionsaitheoirí, go háirithe ós rud é go ndéanann Let's Encrypt na mílte teastas SSL saor in aisce a dháileadh ar bhealach uathoibrithe. Mar sin, úsáidtear HTTPS i ngach áit - agus tá deireadh tagtha leis an glas glas i mbarra seoltaí an bhrabhsálaí mar tháscaire iontaofa slándála.
Cuireann monaróirí réitigh DPI a gcuid táirgí chun cinn ó na poist seo. Tá siad leabaithe idir úsáideoirí deiridh (i.e. d’fhostaithe ag brabhsáil ar an ngréasán) agus an tIdirlíon, ag scagadh amach trácht mailíseach. Tá roinnt táirgí den sórt sin ar an margadh inniu, ach go bunúsach tá na próisis mar an gcéanna. Téann trácht HTTPS trí fheiste iniúchta ina ndéantar é a dhíchriptiú agus a sheiceáil le haghaidh malware.
Nuair a bheidh an fíorú críochnaithe, cruthaíonn an gléas seisiún SSL nua leis an gcliant deiridh chun an t-ábhar a dhíchriptiú agus a athchriptiú.
Conas a oibríonn an próiseas díchriptithe/athchriptithe
Ionas gur féidir leis an bhfearas iniúchta SSL paicéid a dhíchriptiú agus a athchriptiú sula seolfar chuig úsáideoirí deiridh iad, caithfidh sé a bheith in ann deimhnithe SSL a eisiúint ar an eitilt. Ciallaíonn sé seo go gcaithfidh sé teastas CA a bheith suiteáilte.
Tá sé tábhachtach don chuideachta (nó cibé duine sa lár) go bhfuil muinín ag brabhsálaithe sna deimhnithe SSL seo (is é sin, ná cuir teachtaireachtaí rabhaidh scanrúla ar nós an ceann thíos). Mar sin ní mór an slabhra CA (nó an t-ordlathas) a bheith i stór iontaobhais an bhrabhsálaí. Toisc nach n-eisítear na deimhnithe seo ó údaráis deimhniúcháin a bhfuil muinín phoiblí acu, ní mór duit an t-ordlathas CA a dháileadh de láimh ar gach cliant deiridh.
Teachtaireacht rabhaidh maidir le teastas féin-shínithe in Chrome. Foinse:
Ar ríomhairí Windows, is féidir leat Eolaire Gníomhach agus Polasaithe Grúpa a úsáid, ach le haghaidh gléasanna soghluaiste tá an nós imeachta níos casta.
Éiríonn an scéal níos casta fós má theastaíonn uait tacú le deimhnithe fréimhe eile i dtimpeallacht chorparáideach, mar shampla, ó Microsoft, nó bunaithe ar OpenSSL. Móide cosaint agus bainistiú eochracha príobháideacha ionas nach dtéann aon cheann de na heochracha in éag gan choinne.
An rogha is fearr: teastas fréimhe príobháideach, tiomnaithe ó CA tríú páirtí
Más rud é nach tarraingteach é bainistiú deimhnithe fréamhacha iolracha nó féinsínithe, tá rogha eile ann: brath ar CA tríú páirtí. Sa chás seo, eisítear deimhnithe ó príobháideach ÚD atá nasctha i slabhra muiníne le CA fréimhe príobháideach tiomnaithe a cruthaíodh go sonrach don chuideachta.
Ailtireacht shimplithe le haghaidh deimhnithe fréimhe cliaint tiomnaithe
Cuireann an socrú seo deireadh le cuid de na fadhbanna a luadh níos luaithe: ar a laghad laghdaíonn sé líon na bhfréamhacha is gá a bhainistiú. Anseo is féidir leat údarás fréimhe príobháideach amháin a úsáid le haghaidh gach riachtanas inmheánach BEP, le haon líon CAanna idirmheánacha. Mar shampla, taispeánann an léaráid thuas ordlathas il-leibhéil ina n-úsáidtear ceann amháin de na CAanna idirmheánacha le haghaidh fíorú/díchriptithe SSL agus an ceann eile le haghaidh ríomhairí inmheánacha (ríomhairí glúine, freastalaithe, deasc, etc.).
Sa dearadh seo, níl aon ghá le CA a óstáil ar gach cliant toisc go bhfuil an CA barrleibhéil á óstáil ag GlobalSign, a réitíonn saincheisteanna cosanta eochair phríobháideacha agus éagtha.
Buntáiste eile a bhaineann leis an gcur chuige seo ná an cumas an t-údarás iniúchta SSL a chúlghairm ar chúis ar bith. Ina áit sin, cruthaítear ceann nua go simplí, atá ceangailte le do fhréamh príobháideach bunaidh, agus is féidir leat é a úsáid láithreach.
In ainneoin na conspóide go léir, tá fiontair ag cur cigireacht tráchta SSL i bhfeidhm níos mó mar chuid dá mbonneagar inmheánach nó príobháideach BEP. Áirítear le húsáidí eile le haghaidh IEP príobháideach deimhnithe a eisiúint le haghaidh fíordheimhnithe gléas nó úsáideora, SSL le haghaidh freastalaithe inmheánacha, agus cumraíochtaí éagsúla nach bhfuil ceadaithe i ndeimhnithe iontaofa poiblí mar a éilíonn an Fóram CA/Brabhsálaí.
Tá brabhsálaithe ag troid ar ais
Ba chóir a thabhairt faoi deara go bhfuil forbróirí brabhsálaí ag iarraidh an treocht seo a chomhrac agus úsáideoirí deiridh a chosaint ó MiTM. Mar shampla, cúpla lá ó shin Mozilla Cumasaigh prótacal DoH (DNS-over-HTTPS) de réir réamhshocraithe i gceann de na chéad leaganacha eile de bhrabhsálaí Firefox. Cuireann prótacal na Roinne Sláinte fiosruithe DNS i bhfolach ón gcóras PSO, rud a fhágann go bhfuil cigireacht SSL deacair.
Maidir le pleananna comhchosúla 10 Meán Fómhair, 2019 Google le haghaidh an bhrabhsálaí chrome.
Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. , le do thoil.
An gceapann tú go bhfuil an ceart ag cuideachta trácht SSL a cuid fostaithe a iniúchadh?
-
Sea, lena dtoiliú
-
Ní féidir, tá sé mídhleathach agus/nó mí-eiticiúil cead den sórt sin a iarraidh
Vótáil 122 úsáideoir. Staon 15 úsáideoir.
Foinse: will.com