
Catena di fiducia. CC BY-SA 4.0
L'ispezione del traffico SSL (decifratura SSL/TLS, analisi SSL o DPI) sta diventando un argomento sempre più caldo nel settore aziendale. L'idea di decifrare il traffico sembra contraddire il concetto stesso di crittografia. Tuttavia, è un dato di fatto: un numero crescente di aziende utilizza tecnologie DPI, giustificando questa scelta con la necessità di controllare il contenuto alla ricerca di malware, fughe di dati, ecc.
Bene, se accettiamo come dato di fatto che sia necessario implementare tale tecnologia, allora dovremmo almeno considerare i modi per farlo nel modo più sicuro e gestito possibile. Dovremmo almeno non fare affidamento su quei certificati, ad esempio, che fornisce il fornitore del sistema DPI.
C'è un aspetto dell'implementazione di cui non tutti sono a conoscenza. In effetti, molti rimangono davvero sorpresi quando ne sentono parlare. Questo è il centro di certificazione privato (CA). Genera certificati per la decifratura e la ri-critto del traffico.
Invece di fare affidamento su certificati autofirmati o certificati provenienti da dispositivi DPI, puoi utilizzare un CA dedicato di un'autorità di certificazione di terze parti, come GlobalSign. Ma prima facciamo una breve panoramica del problema stesso.
Che cos'è l'ispezione SSL e perché viene utilizzata?
Sempre più siti web pubblici stanno passando a HTTPS. Ad esempio, secondo , all'inizio di settembre 2019, la quota di traffico crittografato in Russia ha raggiunto l'83%.
Sfortunatamente, anche i criminali informatici utilizzano sempre più la crittografia del traffico, specialmente considerando che Let’s Encrypt distribuisce migliaia di certificati SSL gratuiti in modo automatizzato. Pertanto, HTTPS viene utilizzato ovunque — e l'icona del lucchetto nella barra degli indirizzi del browser ha smesso di essere un indicatore affidabile di sicurezza.
Da queste posizioni, i produttori di soluzioni DPI promuovono i loro prodotti. Queste soluzioni si inseriscono tra gli utenti finali (cioè i vostri dipendenti che navigano sul web) e Internet, filtrando il traffico dannoso. Oggi ci sono diversi prodotti sul mercato, ma i processi sono essenzialmente simili. Il traffico HTTPS passa attraverso un dispositivo di controllo, dove viene decrittato e verificato per identificare eventuali malware.
Al termine della verifica, il dispositivo crea una nuova sessione SSL con il cliente finale per decrittare e ri-crittografare il contenuto.
Come funziona il processo di decrittazione/ri-crittografia
Per consentire al dispositivo di ispezione SSL di decrittare e ri-crittografare i pacchetti prima di inviarli agli utenti finali, deve essere in grado di emettere certificati SSL al volo. Ciò significa che deve essere installato un certificato CA su di esso.
Per un'azienda (o per un'altra persona coinvolta), è fondamentale che i certificati SSL siano considerati affidabili nei browser (ossia, non causino messaggi di avviso inquietanti come quello riportato di seguito). Pertanto, la catena CA (o gerarchia) deve trovarsi nel repository di fiducia del browser. Poiché questi certificati non sono emessi da autorità di certificazione pubbliche riconosciute, è necessario trasferire manualmente la gerarchia CA a tutti i clienti finali.

Messaggio di avviso per un certificato autofirmato in Chrome. Fonte:
Nei computer Windows, si possono utilizzare Active Directory e le politiche di gruppo, ma per i dispositivi mobili la procedura è più complessa.
La situazione si complica ulteriormente se è necessario gestire altri certificati radice in un ambiente aziendale, ad esempio da Microsoft o basati su OpenSSL. Inoltre, la protezione e la gestione delle chiavi private sono cruciali, affinché nessuna di queste chiavi scada inaspettatamente.
La soluzione migliore è un certificato radice privato e dedicato da una CA esterna.
Se la gestione di più radici o dei certificati autofirmati non è attraente, esiste anche un'altra opzione: affidarsi a un'autorità di certificazione esterna. In questo caso, i certificati sono rilasciati da un'autorità di certificazione privata che è collegata nella catena di fiducia a una radice dedicata e privata, creata appositamente per l'azienda.
Architettura semplificata per certificati radice dedicati per i clienti
Questa configurazione elimina alcuni dei problemi menzionati in precedenza: riduce quantomeno il numero di radici da gestire. Qui si può utilizzare un'unica radice privata per tutte le necessità interne della PKI con qualsiasi numero di autorità di certificazione intermedie. Ad esempio, nel diagramma sopra è mostrata una gerarchia multilivello, in cui una delle autorità di certificazione intermedie è utilizzata per la verifica/decriptazione SSL, mentre un'altra è destinata a computer interni (laptop, server, desktop, ecc.).
In questo schema non è necessario posizionare il CA su tutti i client, poiché il CA di livello superiore è ospitato da GlobalSign, il che risolve i problemi di protezione della chiave privata e di scadenza.
Un altro vantaggio di questo approccio è la possibilità di revocare un certificato SSL di ispezione per qualsiasi motivo. Al suo posto, se ne crea semplicemente uno nuovo, legato al tuo root privato originale, e può essere utilizzato immediatamente.
Nonostante tutte le controversie, le aziende stanno sempre più implementando l'ispezione SSL del traffico come parte dell'infrastruttura PKI interna o privata. Altre opzioni per l'uso della PKI privata includono l'emissione di certificati per l'autenticazione di dispositivi o utenti, SSL per server interni, così come varie configurazioni che non sono consentite nei certificati pubblici di fiducia secondo i requisiti del CA/Browser Forum.
I browser resistono
Va notato che gli sviluppatori di browser stanno cercando di opporsi a questa tendenza e proteggere gli utenti finali dai MiTM. Ad esempio, pochi giorni fa Mozilla attivare di default il protocollo DoH (DNS-over-HTTPS) in una delle seguenti versioni del browser Firefox. Il protocollo DoH nasconde le richieste DNS dagli sistemi DPI, rendendo più difficile l'ispezione SSL.
Riguardo a piani simili del 10 settembre 2019 la società Google per il browser Chrome.
Solo gli utenti registrati possono partecipare al sondaggio. , per favore.
Cosa ne pensate, la società ha il diritto di ispezionare il traffico SSL dei propri dipendenti?
Sì, con il loro consenso
No, chiedere tale consenso è illegale e/o non etico
Hanno votato 122 utenti. 15 utenti si sono astenuti.
Fonte: habr.com
