kaulahao hilinai. CC BY-SA 4.0
ʻO ka nānā ʻana i nā kaʻa SSL (SSL/TLS decryption, SSL a i ʻole DPI analysis) ke lilo nei i kumuhana wela nui o ke kūkākūkā ma ka ʻoihana hui. ʻO ka manaʻo o ka decrypting traffic me he mea lā e kūʻē i ka manaʻo o ka cryptography. Eia nō naʻe, he ʻoiaʻiʻo ka ʻoiaʻiʻo: ʻoi aku ka nui o nā ʻoihana e hoʻohana ana i nā ʻenehana DPI, e wehewehe ana i kēia ma o ka pono e nānā i nā ʻike no ka malware, leak data, etc.
ʻAe, inā mākou e ʻae i ka ʻoiaʻiʻo e pono ke hoʻokō ʻia kēlā ʻenehana, a laila pono mākou e noʻonoʻo i nā ala e hana ai ma ke ala palekana a maikaʻi loa. Mai hilinaʻi i kēlā mau palapala hōʻoia, no ka laʻana, i hāʻawi ʻia e ka mea hoʻolako ʻōnaehana DPI iā ʻoe.
Aia kekahi ʻaoʻao o ka hoʻokō ʻaʻole i ʻike nā kānaka a pau. ʻO kaʻoiaʻiʻo, nui ka poʻe i kāhāhā i ko lākou lohe ʻana. He mana hōʻoia pilikino kēia (CA). Hoʻopuka ia i nā palapala hōʻoia e hoʻokaʻawale a hoʻopili hou i nā kaʻa.
Ma kahi o ka hilinaʻi ʻana i nā palapala hōʻoia i hoʻopaʻa inoa ʻia a i ʻole nā palapala mai nā polokalamu DPI, hiki iā ʻoe ke hoʻohana i kahi CA i hoʻolaʻa ʻia mai kahi mana palapala ʻaoʻao ʻekolu e like me GlobalSign. Akā ʻo ka mea mua, e hana mākou i kahi hiʻohiʻona o ka pilikia ponoʻī.
He aha ka SSL inspection a no ke aha i hoʻohana ʻia ai?
Ke neʻe nei nā pūnaewele lehulehu i HTTPS. No ka laʻana, e like me , i ka hoʻomaka ʻana o Kepakemapa 2019, ua hiki i ka 83% ka māhele o nā kaʻa i hoʻopili ʻia ma Rūsia.
ʻO ka mea pōʻino, ke hoʻohana nui ʻia nei ka hoʻopili ʻana i nā kaʻa e ka poʻe hoʻouka kaua, ʻoiai ʻo Let's Encrypt e hāʻawi i nā tausani o nā palapala SSL manuahi ma ke ʻano automated. No laila, hoʻohana ʻia ʻo HTTPS ma nā wahi āpau - a ua pau ka padlock i ka pahu helu browser ma ke ʻano he hōʻailona hilinaʻi o ka palekana.
Hoʻolaha nā mea hana o DPI i kā lākou huahana mai kēia mau kūlana. Hoʻopili ʻia lākou ma waena o nā mea hoʻohana hope (ʻo ia hoʻi kāu poʻe limahana e ʻimi nei i ka pūnaewele) a me ka Pūnaewele, e kānana ana i nā kaʻa ʻino. Nui nā huahana like ʻole ma ka mākeke i kēia lā, akā like nā kaʻina hana. Hele ka hele ʻana o HTTPS i kahi mea nānā kahi i hoʻopaʻa ʻia a nānā ʻia no ka malware.
Ke pau ka hōʻoia ʻana, hana ka mea hana i kahi hui SSL hou me ka mea kūʻai hope e hoʻokaʻawale a hoʻopili hou i ka ʻike.
Pehea ka hana decryption/re-encryption
I mea e hiki ai i ka mea nānā SSL ke hoʻokaʻawale a hoʻopili hou i nā ʻeke ma mua o ka hoʻouna ʻana iā lākou i nā mea hoʻohana hope, pono e hiki iā ia ke hoʻopuka i nā palapala SSL ma ka lele. 'O ia ho'i, pono ke kau 'ia kahi palapala CA.
He mea nui i ka hui (a i ʻole ka mea-i-ka-waena) i hilinaʻi ʻia kēia mau palapala SSL e nā polokalamu kele pūnaewele (ʻo ia hoʻi, mai hoʻomaka i nā leka hoʻolaha weliweli e like me ka mea ma lalo). No laila, pono ke kaulahao CA (a i ʻole hierarchy) ma ka hale kūʻai hilinaʻi o ka polokalamu kele pūnaewele. No ka mea, ʻaʻole i hoʻopuka ʻia kēia mau palapala mai nā luna palapala hilinaʻi lehulehu, pono ʻoe e puʻuna lima lima i ka hierarchy CA i nā mea kūʻai hope a pau.
ʻO ka ʻōlelo aʻo no ka palapala hoʻopaʻa inoa ponoʻī ma Chrome. Puna:
Ma nā kamepiula Windows, hiki iā ʻoe ke hoʻohana i ka Active Directory a me Group Policies, akā no nā polokalamu kelepona ʻoi aku ka paʻakikī.
ʻOi aku ka paʻakikī o ke kūlana inā pono ʻoe e kākoʻo i nā palapala kumu ʻē aʻe i loko o kahi ʻoihana hui, no ka laʻana, mai Microsoft, a i ʻole ma OpenSSL. Hoʻohui ʻia ka pale a me ka hoʻokele ʻana i nā kī pilikino i ʻole e pau i ka wā i manaʻo ʻole ʻia kekahi o nā kī.
ʻO ka koho maikaʻi loa: pilikino, palapala aʻa i hoʻolaʻa ʻia mai kahi ʻaoʻao ʻekolu o CA
Inā ʻaʻole ʻoluʻolu ka hoʻokele ʻana i nā aʻa he nui a i ʻole nā palapala hōʻoia ponoʻī, aia kekahi koho ʻē aʻe: e hilinaʻi ana i kahi CA ʻaoʻao ʻekolu. I kēia hihia, hoʻopuka ʻia nā palapala hōʻoia mai pilikino he CA i hoʻopili ʻia i loko o ke kaulahao hilinaʻi i kahi kumu hoʻolaʻa pilikino CA i hoʻokumu ʻia no ka hui.
Hoʻolālā maʻalahi no nā palapala aʻa mea kūʻai aku
Hoʻopau kēia hoʻonohonoho i kekahi o nā pilikia i ʻōlelo ʻia ma mua: ma ka liʻiliʻi e hōʻemi i ka nui o nā aʻa e pono e mālama ʻia. Ma ʻaneʻi hiki iā ʻoe ke hoʻohana i hoʻokahi mana kumu pilikino no nā pono PKI kūloko, me kekahi helu o nā CA waena. No ka laʻana, hōʻike ka kiʻi ma luna i kahi hierarchy multi-level kahi e hoʻohana ʻia ai kekahi o nā CA waena no ka hōʻoia SSL / decryption a hoʻohana ʻia kekahi no nā kamepiula kūloko (laptops, servers, desktops, etc.).
Ma kēia hoʻolālā, ʻaʻohe pono e hoʻokipa i kahi CA ma nā mea kūʻai aku a pau no ka mea mālama ʻia ka CA kiʻekiʻe e GlobalSign, kahi e hoʻonā ai i ka pale kī pilikino a me nā pilikia pau.
ʻO kekahi pono o kēia ala ʻo ia ka hiki ke hoʻopau i ka mana nānā SSL no kekahi kumu. Akā, ua hana wale ʻia kahi mea hou, i hoʻopaʻa ʻia i kāu kumu pilikino kumu, a hiki iā ʻoe ke hoʻohana koke.
ʻOiai nā hoʻopaʻapaʻa āpau, ke hoʻokō nui nei nā ʻoihana i ka nānā ʻana i nā kaʻa SSL ma ke ʻano he ʻāpana o kā lākou ʻoihana PKI kūloko a pilikino paha. ʻO nā mea hoʻohana ʻē aʻe no ka PKI pilikino e pili ana i ka hoʻopuka ʻana i nā palapala hōʻoia no ka mea hoʻohana a i ʻole ka hōʻoia ʻana o ka mea hoʻohana, SSL no nā kikowaena kūloko, a me nā ʻano hoʻonohonoho like ʻole i ʻae ʻia i nā palapala hilinaʻi lehulehu e like me ke koi ʻia e ka CA/Browser Forum.
Ke hakakā nei nā mea hoʻokele
Pono e hoʻomaopopo ʻia e hoʻāʻo nei nā mea hoʻomohala polokalamu e kūʻē i kēia ʻano a pale i nā mea hoʻohana hope mai MiTM. No ka laʻana, i kekahi mau lā i hala aku nei ʻo Mozilla E hoʻā i ka protocol DoH (DNS-over-HTTPS) ma ka paʻamau ma kekahi o nā mana polokalamu kele pūnaewele hou ma Firefox. Huna ka protocol DoH i nā nīnau DNS mai ka ʻōnaehana DPI, me ka paʻakikī o ka nānā ʻana iā SSL.
E pili ana i nā hoʻolālā like September 10, 2019 Google no ka polokalamu kele pūnaewele Chrome.
Hiki i nā mea hoʻohana i hoʻopaʻa inoa ʻia ke komo i ka noiʻi. , e 'oluʻolu.
Manaʻo ʻoe he kuleana ko kahi hui e nānā i ka holo ʻana o SSL o kāna mau limahana?
-
ʻAe, me ko lākou ʻae
-
ʻAʻole, ʻaʻole kūpono ke noi ʻana i ia ʻae a/a i ʻole ke kānāwai
122 mea hoʻohana i koho. Ua hōʻole nā mea hoʻohana 15.
Source: www.habr.com