ProHoster > Blog > Rianachd > Tha DPI (sgrùdadh SSL) a’ dol an-aghaidh gràin cryptography, ach tha companaidhean ga bhuileachadh

Tha DPI (sgrùdadh SSL) a’ dol an-aghaidh gràin cryptography, ach tha companaidhean ga bhuileachadh

Tha DPI (sgrùdadh SSL) a’ dol an-aghaidh gràin cryptography, ach tha companaidhean ga bhuileachadh
Slabhraidh earbsa. CC BY-SA 4.0 Yanpas

Tha sgrùdadh trafaic SSL (dì-chrioptachadh SSL / TLS, mion-sgrùdadh SSL no DPI) a’ sìor fhàs na chuspair deasbaid anns an roinn chorporra. Tha e coltach gu bheil am beachd air trafaic a dhì-chrioptachadh a’ dol an-aghaidh bun-bheachd cryptography. Ach, tha an fhìrinn na fhìrinn: tha barrachd is barrachd chompanaidhean a’ cleachdadh theicneòlasan DPI, a’ mìneachadh seo leis an fheum air susbaint a sgrùdadh airson malware, dàta aoidionach, msaa.

Uill, ma ghabhas sinn ris gum feumar an leithid de theicneòlas a chuir an gnìomh, bu chòir dhuinn co-dhiù beachdachadh air dòighean air a dhèanamh anns an dòigh as sàbhailte agus as fheàrr a tha comasach. Co-dhiù na bi an urra ris na teisteanasan sin, mar eisimpleir, a bheir solaraiche siostam DPI dhut.

Tha aon taobh de bhuileachadh air nach eil fios aig a h-uile duine. Gu dearbh, bidh iongnadh mòr air mòran dhaoine nuair a chluinneas iad mu dheidhinn. Is e ùghdarras teisteanais prìobhaideach (CA) a tha seo. Bidh e a’ gineadh theisteanasan gus trafaic a dhì-chrioptachadh agus ath-chrioptachadh.

An àite a bhith an urra ri teisteanasan fèin-shoidhnichte no teisteanasan bho innealan DPI, faodaidh tu CA sònraichte a chleachdadh bho ùghdarras teisteanais treas-phàrtaidh leithid GlobalSign. Ach an toiseach, leig dhuinn sealladh beag a dhèanamh air an duilgheadas fhèin.

Dè a th’ ann an sgrùdadh SSL agus carson a thathas ga chleachdadh?

Tha barrachd is barrachd làraich-lìn poblach a’ gluasad gu HTTPS. Mar eisimpleir, a rèir Staitistig Chrome, aig toiseach an t-Sultain 2019, ràinig an roinn de thrafaig crioptaichte san Ruis 83%.

Tha DPI (sgrùdadh SSL) a’ dol an-aghaidh gràin cryptography, ach tha companaidhean ga bhuileachadh

Gu mì-fhortanach, tha crioptachadh trafaic ga chleachdadh barrachd is barrachd le luchd-ionnsaigh, gu sònraichte leis gu bheil Let's Encrypt a’ cuairteachadh mìltean de theisteanasan SSL an-asgaidh ann an dòigh fèin-ghluasadach. Mar sin, thathas a’ cleachdadh HTTPS anns a h-uile àite - agus tha a’ ghlas ann am bàr seòlaidh a’ bhrobhsair air sgur a bhith na thaisbeanair earbsach air tèarainteachd.

Bidh luchd-saothrachaidh fuasglaidhean DPI ag adhartachadh am bathar bho na dreuchdan sin. Tha iad freumhaichte eadar luchd-cleachdaidh deireannach (ie an luchd-obrach agad a’ brobhsadh air an lìon) agus an eadar-lìn, a’ sìoladh trafaic droch-rùnach. Tha grunn thoraidhean mar sin air a’ mhargaidh an-diugh, ach tha na pròiseasan gu ìre mhòr mar an ceudna. Bidh trafaic HTTPS a’ dol tro inneal sgrùdaidh far a bheil e air a dhì-chrioptachadh agus air a sgrùdadh airson malware.

Aon uair ‘s gu bheil an dearbhadh deiseil, cruthaichidh an inneal seisean SSL ùr leis a’ chleachdaiche deireannach gus an susbaint a dhì-chrioptachadh agus ath-chrioptachadh.

Mar a tha am pròiseas dì-chrioptachaidh/ath-chrioptachaidh ag obair

Gus an urrainn don inneal sgrùdaidh SSL pacaidean a dhì-chrioptachadh agus ath-chrioptachadh mus cuir iad gu luchd-cleachdaidh deireannach, feumaidh e a bhith comasach air teisteanasan SSL a thoirt seachad air an itealan. Tha seo a’ ciallachadh gum feum teisteanas CA a bhith air a chuir a-steach.

Tha e cudromach don chompanaidh (no ge bith cò a tha sa mheadhan) gu bheil earbsa aig brobhsairean anns na teisteanasan SSL sin (ie, na brosnaich teachdaireachdan rabhaidh eagallach mar an tè gu h-ìosal). Mar sin feumaidh an t-sreath CA (no rangachd) a bhith ann an stòr earbsa a’ bhrobhsair. Leis nach eil na teisteanasan sin air an toirt seachad bho ùghdarrasan teisteanais anns a bheil earbsa poblach, feumaidh tu rangachd CA a sgaoileadh le làimh chun a h-uile teachdaiche deireannach.

Tha DPI (sgrùdadh SSL) a’ dol an-aghaidh gràin cryptography, ach tha companaidhean ga bhuileachadh
Teachdaireachd rabhaidh airson teisteanas fèin-shoidhnichte ann an Chrome. Stòr: BadSSL.com

Air coimpiutairean Windows, faodaidh tu Active Directory agus Poileasaidhean Buidhne a chleachdadh, ach airson innealan gluasadach tha am modh-obrach nas toinnte.

Bidh an suidheachadh eadhon nas toinnte ma dh’ fheumas tu taic a thoirt do theisteanasan freumh eile ann an àrainneachd chorporra, mar eisimpleir, bho Microsoft, no stèidhichte air OpenSSL. A bharrachd air dìon agus riaghladh iuchraichean prìobhaideach gus nach tig gin de na h-iuchraichean gu crìch gun dùil.

An roghainn as fheàrr: teisteanas freumh prìobhaideach, sònraichte bho CA treas-phàrtaidh

Mura h-eil e tarraingeach a bhith a’ riaghladh iomadh freumhan no teisteanasan fèin-soidhnichte, tha roghainn eile ann: a bhith an urra ri CA treas-phàrtaidh. Anns a 'chùis seo, thèid teisteanasan a thoirt seachad bho prìobhaideach CA a tha ceangailte ann an sreath earbsa ri CA freumhaichte prìobhaideach a chaidh a chruthachadh gu sònraichte airson a’ chompanaidh.

Tha DPI (sgrùdadh SSL) a’ dol an-aghaidh gràin cryptography, ach tha companaidhean ga bhuileachadh
Ailtireachd nas sìmplidhe airson teisteanasan freumhan teachdaiche sònraichte

Tha an stèidheachadh seo a 'cur às do chuid de na duilgheadasan a chaidh ainmeachadh na bu tràithe: co-dhiù tha e a' lùghdachadh an àireamh de freumhan a dh'fheumar a riaghladh. An seo faodaidh tu dìreach aon ùghdarras bunaiteach prìobhaideach a chleachdadh airson a h-uile feum PKI a-staigh, le àireamh sam bith de CAan eadar-mheadhanach. Mar eisimpleir, tha an diagram gu h-àrd a’ sealltainn rangachd ioma-ìre far a bheil aon de na CAan eadar-mheadhanach air a chleachdadh airson dearbhadh / dì-chrioptachadh SSL agus am fear eile air a chleachdadh airson coimpiutairean a-staigh (uchdan-uchd, frithealaichean, deasg, msaa).

Anns an dealbhadh seo, chan eil feum air aoigheachd a thoirt do CA air a h-uile neach-dèiligidh oir tha an CA àrd-ìre air a chumail le GlobalSign, a bhios a 'fuasgladh prìomh dhìon prìobhaideach agus cùisean crìochnachaidh.

Is e buannachd eile den dòigh-obrach seo an comas ùghdarras sgrùdaidh SSL a chùl-ghairm airson adhbhar sam bith. An àite sin, tha fear ùr air a chruthachadh gu sìmplidh, a tha ceangailte ris a 'bhun-stèidh phrìobhaideach agad, agus faodaidh tu a chleachdadh sa bhad.

A dh ’aindeoin a’ chonnspaid gu lèir, tha iomairtean a ’sìor fhàs a’ cur an gnìomh sgrùdadh trafaic SSL mar phàirt den bhun-structar PKI a-staigh no prìobhaideach aca. Tha cleachdaidhean eile airson PKI prìobhaideach a’ toirt a-steach toirt a-mach teisteanasan airson dearbhadh inneal no neach-cleachdaidh, SSL airson frithealaichean a-staigh, agus diofar rèiteachaidhean nach eil ceadaichte ann an teisteanasan earbsa poblach mar a dh’ fheumar le Fòram CA / Brabhsair.

Tha brobhsairean a’ sabaid air ais

Bu chòir a thoirt fa-near gu bheil luchd-leasachaidh brobhsair a’ feuchainn ri cuir an aghaidh a’ ghluasaid seo agus luchd-cleachdaidh deireannach a dhìon bho MiTM. Mar eisimpleir, beagan làithean air ais Mozilla rinn co-dhùnadh Dèan comas air protocol DoH (DNS-over-HTTPS) gu bunaiteach ann an aon de na h-ath dhreachan brabhsair ann am Firefox. Bidh protocol DoH a ’falach ceistean DNS bhon t-siostam DPI, a’ dèanamh sgrùdadh SSL duilich.

Mu phlanaichean coltach ris 10 Sultain, 2019 ainmeachadh Google airson brabhsair chrome.

Tha DPI (sgrùdadh SSL) a’ dol an-aghaidh gràin cryptography, ach tha companaidhean ga bhuileachadh

Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. Soidhnig a-steach, mas e do thoil e.

A bheil thu a’ smaoineachadh gu bheil còir aig companaidh sgrùdadh a dhèanamh air trafaic SSL a luchd-obrach?

  • Tha, le an cead

  • Chan e, tha e mì-laghail agus/no mì-bheusach a bhith ag iarraidh a leithid de chead

Bhòt 122 neach-cleachdaidh. Sheall 15 neach-cleachdaidh.

Source: www.habr.com

Cuir beachd ann