Rantai kepercayaan. CC BY-SA 4.0
Inspeksi lalu lintas SSL (dekripsi SSL/TLS, analisis SSL atau DPI) menjadi topik diskusi yang semakin hangat di sektor korporasi. Gagasan mendekripsi lalu lintas tampaknya bertentangan dengan konsep kriptografi. Namun, faktanya adalah: semakin banyak perusahaan yang menggunakan teknologi DPI, hal ini dijelaskan oleh kebutuhan untuk memeriksa konten dari malware, kebocoran data, dll.
Nah, jika kita menerima kenyataan bahwa teknologi seperti itu perlu diterapkan, setidaknya kita harus mempertimbangkan cara untuk melakukannya dengan cara yang paling aman dan terkelola sebaik mungkin. Setidaknya jangan bergantung pada sertifikat tersebut, misalnya, yang diberikan oleh pemasok sistem DPI kepada Anda.
Ada satu aspek implementasi yang tidak diketahui semua orang. Faktanya, banyak orang yang sangat terkejut ketika mendengarnya. Ini adalah otoritas sertifikasi swasta (CA). Ini menghasilkan sertifikat untuk mendekripsi dan mengenkripsi ulang lalu lintas.
Daripada mengandalkan sertifikat yang ditandatangani sendiri atau sertifikat dari perangkat DPI, Anda dapat menggunakan CA khusus dari otoritas sertifikat pihak ketiga seperti GlobalSign. Namun pertama-tama, mari kita lakukan sedikit gambaran mengenai permasalahan itu sendiri.
Apa itu inspeksi SSL dan mengapa digunakan?
Semakin banyak situs publik yang beralih ke HTTPS. Misalnya menurut , pada awal September 2019, pangsa lalu lintas terenkripsi di Rusia mencapai 83%.
Sayangnya, enkripsi lalu lintas semakin banyak digunakan oleh penyerang, terutama sejak Let's Encrypt mendistribusikan ribuan sertifikat SSL gratis secara otomatis. Oleh karena itu, HTTPS digunakan di mana-mana - dan gembok di bilah alamat browser tidak lagi berfungsi sebagai indikator keamanan yang dapat diandalkan.
Produsen solusi DPI mempromosikan produk mereka dari posisi ini. Mereka tertanam di antara pengguna akhir (yaitu karyawan Anda yang menjelajahi web) dan Internet, menyaring lalu lintas berbahaya. Ada sejumlah produk serupa di pasaran saat ini, namun prosesnya pada dasarnya sama. Lalu lintas HTTPS melewati perangkat inspeksi yang kemudian didekripsi dan diperiksa apakah ada malware.
Setelah verifikasi selesai, perangkat membuat sesi SSL baru dengan klien akhir untuk mendekripsi dan mengenkripsi ulang konten.
Cara kerja proses dekripsi/enkripsi ulang
Agar alat inspeksi SSL dapat mendekripsi dan mengenkripsi ulang paket sebelum mengirimkannya ke pengguna akhir, alat tersebut harus dapat menerbitkan sertifikat SSL dengan cepat. Artinya, sertifikat CA harus diinstal.
Penting bagi perusahaan (atau siapa pun yang berada di tengah-tengah) bahwa sertifikat SSL ini dipercaya oleh browser (yaitu, jangan memicu pesan peringatan menakutkan seperti di bawah). Oleh karena itu rantai CA (atau hierarki) harus berada di penyimpanan kepercayaan browser. Karena sertifikat ini tidak diterbitkan dari otoritas sertifikat yang dipercaya secara publik, Anda harus mendistribusikan hierarki CA secara manual ke semua klien akhir.
Pesan peringatan untuk sertifikat yang ditandatangani sendiri di Chrome. Sumber:
Pada komputer Windows, Anda dapat menggunakan Direktori Aktif dan Kebijakan Grup, namun untuk perangkat seluler, prosedurnya lebih rumit.
Situasinya menjadi lebih rumit jika Anda perlu mendukung sertifikat root lain di lingkungan perusahaan, misalnya dari Microsoft, atau berdasarkan OpenSSL. Ditambah lagi perlindungan dan pengelolaan kunci privat sehingga salah satu kunci tidak kedaluwarsa secara tidak terduga.
Opsi terbaik: sertifikat root pribadi dan khusus dari CA pihak ketiga
Jika mengelola beberapa akar atau sertifikat yang ditandatangani sendiri tidak menarik, ada opsi lain: mengandalkan CA pihak ketiga. Dalam hal ini, sertifikat dikeluarkan dari pribadi CA yang terhubung dalam rantai kepercayaan dengan CA root privat khusus yang dibuat khusus untuk perusahaan.
Arsitektur yang disederhanakan untuk sertifikat akar klien khusus
Pengaturan ini menghilangkan beberapa masalah yang disebutkan sebelumnya: setidaknya mengurangi jumlah root yang perlu dikelola. Di sini Anda hanya dapat menggunakan satu otoritas root privat untuk semua kebutuhan internal PKI, dengan sejumlah CA perantara. Misalnya, diagram di atas menunjukkan hierarki multi-level di mana salah satu CA perantara digunakan untuk verifikasi/dekripsi SSL dan yang lainnya digunakan untuk komputer internal (laptop, server, desktop, dll.).
Dalam desain ini, tidak perlu menghosting CA di semua klien karena CA tingkat atas dihosting oleh GlobalSign, yang memecahkan masalah perlindungan kunci pribadi dan kedaluwarsa.
Keuntungan lain dari pendekatan ini adalah kemampuan untuk mencabut otoritas inspeksi SSL karena alasan apa pun. Sebaliknya, yang baru dibuat, yang diikat ke root pribadi asli Anda, dan Anda dapat segera menggunakannya.
Terlepas dari semua kontroversi tersebut, semakin banyak perusahaan yang menerapkan inspeksi lalu lintas SSL sebagai bagian dari infrastruktur PKI internal atau swasta mereka. Kegunaan lain untuk PKI pribadi termasuk penerbitan sertifikat untuk otentikasi perangkat atau pengguna, SSL untuk server internal, dan berbagai konfigurasi yang tidak diizinkan dalam sertifikat tepercaya publik seperti yang disyaratkan oleh CA/Forum Browser.
Browser melawan
Perlu dicatat bahwa pengembang browser berusaha melawan tren ini dan melindungi pengguna akhir dari MiTM. Misalnya saja beberapa hari yang lalu Mozilla Aktifkan protokol DoH (DNS-over-HTTPS) secara default di salah satu versi browser berikutnya di Firefox. Protokol DoH menyembunyikan permintaan DNS dari sistem DPI, sehingga mempersulit pemeriksaan SSL.
Tentang rencana serupa 10 September 2019 Google untuk peramban Chrome.
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Menurut Anda, apakah perusahaan berhak memeriksa lalu lintas SSL karyawannya?
-
Ya, dengan persetujuan mereka
-
Tidak, meminta persetujuan tersebut adalah ilegal dan/atau tidak etis
122 pengguna memilih. 15 pengguna abstain.
Sumber: www.habr.com