Lanac povjerenja. CC BY-SA 4.0
Inspekcija SSL prometa (SSL/TLS dešifriranje, SSL ili DPI analiza) postaje sve vruća tema rasprave u korporativnom sektoru. Čini se da ideja dešifriranja prometa proturječi samom konceptu kriptografije. Međutim, činjenica je činjenica: sve više i više tvrtki koristi DPI tehnologije, objašnjavajući to potrebom provjere sadržaja za zlonamjerni softver, curenje podataka itd.
Pa, ako prihvatimo činjenicu da takvu tehnologiju treba implementirati, onda bismo trebali barem razmotriti načine da to učinimo na najsigurniji mogući način kojim se najbolje upravlja. Barem se nemojte oslanjati na one certifikate, na primjer, koje vam daje dobavljač DPI sustava.
Postoji jedan aspekt implementacije za koji ne znaju svi. Zapravo, mnogi ljudi su stvarno iznenađeni kada čuju za to. Ovo je privatno tijelo za izdavanje certifikata (CA). Generira certifikate za dešifriranje i ponovno šifriranje prometa.
Umjesto da se oslanjate na samopotpisane certifikate ili certifikate iz DPI uređaja, možete koristiti namjenski CA iz tijela za izdavanje certifikata treće strane, kao što je GlobalSign. Ali prvo, napravimo mali pregled samog problema.
Što je SSL inspekcija i zašto se koristi?
Sve više javnih web stranica prelazi na HTTPS. Na primjer, prema , početkom rujna 2019. udio šifriranog prometa u Rusiji dosegnuo je 83%.
Nažalost, napadači sve više koriste enkripciju prometa, pogotovo otkad Let's Encrypt distribuira tisuće besplatnih SSL certifikata na automatiziran način. Stoga se HTTPS koristi posvuda - a lokot u adresnoj traci preglednika prestao je služiti kao pouzdan pokazatelj sigurnosti.
S ovih pozicija proizvođači DPI rješenja promoviraju svoje proizvode. Ugrađeni su između krajnjih korisnika (tj. vaših zaposlenika koji pregledavaju web) i interneta, filtrirajući zlonamjerni promet. Danas postoji niz takvih proizvoda na tržištu, ali procesi su u biti isti. HTTPS promet prolazi kroz uređaj za inspekciju gdje se dešifrira i provjerava na zlonamjerni softver.
Nakon što je provjera dovršena, uređaj stvara novu SSL sesiju s krajnjim klijentom za dekriptiranje i ponovno šifriranje sadržaja.
Kako funkcionira proces dešifriranja/ponovnog šifriranja
Kako bi uređaj za SSL inspekciju mogao dešifrirati i ponovno šifrirati pakete prije nego što ih pošalje krajnjim korisnicima, mora moći izdavati SSL certifikate u hodu. To znači da mora imati instaliran CA certifikat.
Za tvrtku (ili bilo koga u sredini) važno je da preglednici vjeruju tim SSL certifikatima (tj. da ne pokreću zastrašujuće poruke upozorenja poput ove u nastavku). Stoga CA lanac (ili hijerarhija) mora biti u pohrani povjerenja preglednika. Budući da te certifikate ne izdaju javno ovlaštena tijela za izdavanje certifikata, morate ručno distribuirati CA hijerarhiju svim krajnjim klijentima.
Poruka upozorenja za samopotpisani certifikat u Chromeu. Izvor:
Na Windows računalima možete koristiti Active Directory i Group Policies, ali za mobilne uređaje postupak je kompliciraniji.
Situacija postaje još kompliciranija ako trebate podržati druge korijenske certifikate u korporativnom okruženju, na primjer, od Microsofta ili na temelju OpenSSL-a. Plus zaštita i upravljanje privatnim ključevima tako da nijedan od ključeva ne istekne neočekivano.
Najbolja opcija: privatni, namjenski korijenski certifikat treće strane CA
Ako upravljanje višestrukim korijenskim ili samopotpisanim certifikatima nije privlačno, postoji još jedna opcija: oslanjanje na CA treće strane. U tom slučaju potvrde se izdaju iz privatna CA koji je u lancu povjerenja povezan s namjenskim, privatnim root CA stvorenim posebno za tvrtku.
Pojednostavljena arhitektura za namjenske klijentske korijenske certifikate
Ova postavka uklanja neke od ranije spomenutih problema: barem smanjuje broj korijena kojima je potrebno upravljati. Ovdje možete koristiti samo jedno privatno korijensko ovlaštenje za sve interne PKI potrebe, s bilo kojim brojem srednjih CA-ova. Na primjer, gornji dijagram prikazuje hijerarhiju na više razina gdje se jedan od posrednih CA-ova koristi za SSL provjeru/dešifriranje, a drugi se koristi za interna računala (prijenosna računala, poslužitelji, stolna računala itd.).
U ovom dizajnu nema potrebe za hostiranjem CA na svim klijentima jer CA najviše razine hostira GlobalSign, što rješava probleme zaštite privatnog ključa i isteka.
Još jedna prednost ovog pristupa je mogućnost opoziva ovlaštenja za SSL inspekciju iz bilo kojeg razloga. Umjesto toga, jednostavno se kreira novi, koji je vezan za vaš izvorni privatni root, i možete ga odmah koristiti.
Unatoč svim kontroverzama, poduzeća sve više provode inspekciju SSL prometa kao dio svoje interne ili privatne PKI infrastrukture. Druge upotrebe privatnog PKI-ja uključuju izdavanje certifikata za autentifikaciju uređaja ili korisnika, SSL za interne poslužitelje i razne konfiguracije koje nisu dopuštene u javnim pouzdanim certifikatima prema zahtjevima CA/Browser Foruma.
Preglednici uzvraćaju udarac
Treba napomenuti da se programeri preglednika pokušavaju suprotstaviti ovom trendu i zaštititi krajnje korisnike od MiTM-a. Na primjer, prije nekoliko dana Mozilla Omogućite DoH (DNS-over-HTTPS) protokol prema zadanim postavkama u jednoj od sljedećih verzija preglednika u Firefoxu. Protokol DoH skriva DNS upite od DPI sustava, što otežava SSL inspekciju.
O sličnim planovima 10. rujna 2019 Google za preglednik Chrome.
U anketi mogu sudjelovati samo registrirani korisnici. , molim.
Mislite li da tvrtka ima pravo provjeravati SSL promet svojih zaposlenika?
-
Da, uz njihov pristanak
-
Ne, traženje takvog pristanka je nezakonito i/ili neetično
Glasovalo je 122 korisnika. Suzdržano je bilo 15 korisnika.
Izvor: www.habr.com