Chèn konfyans. CC BY-SA 4.0
Enspeksyon trafik SSL (SSL/TLS dechifrement, SSL oswa DPI analiz) ap vin tounen yon sijè de pli zan pli cho nan diskisyon nan sektè antrepriz la. Lide a nan dechifre trafik sanble kontredi konsèp la anpil nan kriptografik. Sepandan, reyalite a se yon reyalite: pi plis ak plis konpayi yo ap itilize teknoloji DPI, eksplike sa a pa bezwen nan tcheke kontni pou malveyan, fwit done, elatriye.
Oke, si nou aksepte lefèt ke teknoloji sa yo bezwen aplike, Lè sa a, nou ta dwe omwen konsidere fason yo fè li nan fason ki pi an sekirite ak pi byen jere posib. Omwen pa konte sou sètifika sa yo, pou egzanp, ke founisè a sistèm DPI ba ou.
Gen yon aspè nan aplikasyon ke pa tout moun konnen sou. An reyalite, anpil moun vrèman sezi lè yo tande pale de sa. Sa a se yon otorite sètifikasyon prive (CA). Li jenere sètifika pou dechifre ak re-ankripte trafik.
Olye pou w konte sou sètifika ki siyen pwòp tèt ou oswa sètifika ki soti nan aparèy DPI, ou ka itilize yon CA devwe ki soti nan yon otorite sètifika twazyèm pati tankou GlobalSign. Men, anvan, ann fè yon ti apèsi sou pwoblèm nan tèt li.
Ki sa ki se enspeksyon SSL ak poukisa li itilize?
Plis ak plis sit entènèt piblik yo ap deplase nan HTTPS. Pou egzanp, dapre , nan kòmansman mwa septanm 2019, pati nan trafik chiffres nan Larisi te rive nan 83%.
Malerezman, atakè yo ap itilize de pli zan pli cryptage trafik, espesyalman depi Let's Encrypt distribye dè milye de sètifika SSL gratis nan yon fason otomatik. Kidonk, HTTPS yo itilize toupatou - ak kadna a nan ba adrès navigatè a sispann sèvi kòm yon endikatè serye nan sekirite.
Konpayi fabrikasyon solisyon DPI ankouraje pwodwi yo nan pozisyon sa yo. Yo entegre ant itilizatè final yo (sa vle di anplwaye ou yo k ap navige sou entènèt la) ak entènèt la, filtraj soti move trafik. Gen yon kantite pwodwi sa yo sou mache a jodi a, men pwosesis yo esansyèlman menm. Trafik HTTPS pase nan yon aparèy enspeksyon kote li dechifre epi tcheke pou malveyan.
Yon fwa verifikasyon an fini, aparèy la kreye yon nouvo sesyon SSL ak kliyan final la pou dechifre ak re-ankripte kontni an.
Ki jan pwosesis dechifre/re-chifreman travay
Pou aparèy enspeksyon SSL la kapab dechifre ak re-ankripte pake yo anvan yo voye yo bay itilizatè final yo, li dwe kapab bay sètifika SSL sou vole. Sa vle di ke li dwe gen yon sètifika CA enstale.
Li enpòtan pou konpayi an (oswa nenpòt moun ki nan mitan an) ke sètifika SSL sa yo fè konfyans pa navigatè (sa vle di, pa deklanche mesaj avètisman pè tankou sa ki anba a). Se poutèt sa chèn CA a (oswa yerachi) dwe nan magazen konfyans navigatè a. Paske sètifika sa yo pa soti nan otorite sètifika yo fè konfyans piblikman, ou dwe manyèlman distribye yerachi CA a bay tout kliyan final yo.
Mesaj avètisman pou sètifika oto-siyen nan Chrome. Sous:
Sou òdinatè Windows, ou ka itilize Active Directory ak Group Policies, men pou aparèy mobil pwosedi a pi konplike.
Sitiyasyon an vin pi konplike toujou si ou bezwen sipòte lòt sètifika rasin nan yon anviwònman antrepriz, pou egzanp, soti nan Microsoft, oswa ki baze sou OpenSSL. Plis pwoteksyon ak jesyon kle prive pou nenpòt nan kle yo pa ekspire san atann.
Pi bon opsyon: prive, sètifika rasin dedye ki soti nan yon twazyèm pati CA
Si jere plizyè rasin oswa sètifika pwòp tèt ou siyen pa atire, gen yon lòt opsyon: konte sou yon CA twazyèm pati. Nan ka sa a, sètifika yo bay soti nan prive yon CA ki lye nan yon chèn konfyans nan yon CA rasin dedye, prive ki te kreye espesyalman pou konpayi an.
Achitekti senplifye pou sètifika rasin kliyan dedye
Konfigirasyon sa a elimine kèk nan pwoblèm yo mansyone pi bonè: omwen li diminye kantite rasin ki bezwen jere. Isit la ou ka itilize yon sèl otorite rasin prive pou tout bezwen PKI entèn yo, ak nenpòt ki kantite CA entèmedyè. Pou egzanp, dyagram ki anwo a montre yon yerachi milti-nivo kote youn nan CA entèmedyè yo itilize pou verifikasyon/dekripte SSL ak lòt la yo itilize pou òdinatè entèn (laptops, serveurs, biwo, elatriye).
Nan konsepsyon sa a, pa gen okenn nesesite pou òganize yon CA sou tout kliyan paske se GlobalSign ki akomode CA nivo siperyè, ki rezoud pwoblèm pwoteksyon kle prive ak ekspirasyon.
Yon lòt avantaj nan apwòch sa a se kapasite pou revoke otorite enspeksyon SSL la pou nenpòt ki rezon. Olye de sa, yon nouvo se tou senpleman kreye, ki se mare nan rasin orijinal prive ou a, epi ou ka itilize li imedyatman.
Malgre tout konfli yo, antrepriz yo ap aplike de pli zan pli enspeksyon trafik SSL kòm yon pati nan enfrastrikti PKI entèn oswa prive yo. Lòt itilizasyon pou PKI prive gen ladan emèt sètifika pou aparèy oswa otantifikasyon itilizatè, SSL pou sèvè entèn yo, ak divès kalite konfigirasyon ki pa pèmèt nan sètifika piblik ou fè konfyans jan CA/Browser Forum egzije sa.
Navigatè yo ap goumen
Li ta dwe remake ke devlopè navigatè yo ap eseye kontrekare tandans sa a ak pwoteje itilizatè fen yo soti nan MiTM. Pou egzanp, kèk jou de sa Mozilla Aktive pwotokòl DoH (DNS-over-HTTPS) pa default nan youn nan pwochen vèsyon navigatè yo nan Firefox. Pwotokòl DoH kache demann DNS nan sistèm DPI a, sa ki fè enspeksyon SSL difisil.
Konsènan plan ki sanble 10 septanm 2019 Google pou navigatè Chrome.
Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la. , tanpri.
Èske w panse yon konpayi gen dwa enspekte trafik SSL anplwaye li yo?
-
Wi, avèk konsantman yo
-
Non, mande konsantman sa a se ilegal ak/oswa san etik
122 itilizatè yo te vote. 15 itilizatè te absteni.
Sous: www.habr.com