ನಂಬಿಕೆಯ ಸರಪಳಿ. CC BY-SA 4.0
SSL ಸಂಚಾರ ತಪಾಸಣೆ (SSL/TLS ಡೀಕ್ರಿಪ್ಶನ್, SSL ಅಥವಾ DPI ವಿಶ್ಲೇಷಣೆ) ಕಾರ್ಪೊರೇಟ್ ವಲಯದಲ್ಲಿ ಹೆಚ್ಚು ಚರ್ಚೆಯ ವಿಷಯವಾಗಿದೆ. ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುವ ಕಲ್ಪನೆಯು ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯ ಪರಿಕಲ್ಪನೆಗೆ ವಿರುದ್ಧವಾಗಿದೆ. ಆದಾಗ್ಯೂ, ಸತ್ಯವು ಸತ್ಯವಾಗಿದೆ: ಹೆಚ್ಚು ಹೆಚ್ಚು ಕಂಪನಿಗಳು DPI ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಬಳಸುತ್ತಿವೆ, ಮಾಲ್ವೇರ್, ಡೇಟಾ ಸೋರಿಕೆಗಳು ಇತ್ಯಾದಿಗಳಿಗಾಗಿ ವಿಷಯವನ್ನು ಪರಿಶೀಲಿಸುವ ಅಗತ್ಯದಿಂದ ಇದನ್ನು ವಿವರಿಸುತ್ತದೆ.
ಒಳ್ಳೆಯದು, ಅಂತಹ ತಂತ್ರಜ್ಞಾನವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬೇಕಾಗಿದೆ ಎಂಬ ಅಂಶವನ್ನು ನಾವು ಒಪ್ಪಿಕೊಂಡರೆ, ಅದನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಸುರಕ್ಷಿತ ಮತ್ತು ಉತ್ತಮವಾಗಿ ನಿರ್ವಹಿಸುವ ರೀತಿಯಲ್ಲಿ ಮಾಡುವ ಮಾರ್ಗಗಳನ್ನು ನಾವು ಪರಿಗಣಿಸಬೇಕು. ಕನಿಷ್ಠ ಆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಅವಲಂಬಿಸಬೇಡಿ, ಉದಾಹರಣೆಗೆ, ಡಿಪಿಐ ಸಿಸ್ಟಮ್ ಪೂರೈಕೆದಾರರು ನಿಮಗೆ ನೀಡುತ್ತಾರೆ.
ಎಲ್ಲರಿಗೂ ತಿಳಿದಿಲ್ಲದ ಅನುಷ್ಠಾನದ ಒಂದು ಅಂಶವಿದೆ. ವಾಸ್ತವವಾಗಿ, ಅನೇಕ ಜನರು ಅದರ ಬಗ್ಗೆ ಕೇಳಿದಾಗ ನಿಜವಾಗಿಯೂ ಆಶ್ಚರ್ಯಪಡುತ್ತಾರೆ. ಇದು ಖಾಸಗಿ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರ (ಸಿಎ). ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ಮರು-ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಇದು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ.
DPI ಸಾಧನಗಳಿಂದ ಸ್ವಯಂ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರಗಳು ಅಥವಾ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಅವಲಂಬಿಸಿರುವ ಬದಲು, ನೀವು GlobalSign ನಂತಹ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಪ್ರಮಾಣಪತ್ರ ಪ್ರಾಧಿಕಾರದಿಂದ ಮೀಸಲಾದ CA ಅನ್ನು ಬಳಸಬಹುದು. ಆದರೆ ಮೊದಲು, ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಸ್ವಲ್ಪ ಅವಲೋಕನ ಮಾಡೋಣ.
SSL ತಪಾಸಣೆ ಎಂದರೇನು ಮತ್ತು ಅದನ್ನು ಏಕೆ ಬಳಸಲಾಗುತ್ತದೆ?
ಹೆಚ್ಚು ಹೆಚ್ಚು ಸಾರ್ವಜನಿಕ ವೆಬ್ಸೈಟ್ಗಳು HTTPS ಗೆ ಚಲಿಸುತ್ತಿವೆ. ಉದಾಹರಣೆಗೆ, ಪ್ರಕಾರ , ಸೆಪ್ಟೆಂಬರ್ 2019 ರ ಆರಂಭದಲ್ಲಿ, ರಷ್ಯಾದಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ದಟ್ಟಣೆಯ ಪಾಲು 83% ತಲುಪಿದೆ.
ದುರದೃಷ್ಟವಶಾತ್, ಟ್ರಾಫಿಕ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಆಕ್ರಮಣಕಾರರು ಹೆಚ್ಚಾಗಿ ಬಳಸುತ್ತಿದ್ದಾರೆ, ವಿಶೇಷವಾಗಿ ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಸಾವಿರಾರು ಉಚಿತ SSL ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತ ರೀತಿಯಲ್ಲಿ ವಿತರಿಸುವುದರಿಂದ. ಹೀಗಾಗಿ, HTTPS ಅನ್ನು ಎಲ್ಲೆಡೆ ಬಳಸಲಾಗುತ್ತದೆ - ಮತ್ತು ಬ್ರೌಸರ್ ವಿಳಾಸ ಪಟ್ಟಿಯಲ್ಲಿರುವ ಪ್ಯಾಡ್ಲಾಕ್ ಭದ್ರತೆಯ ವಿಶ್ವಾಸಾರ್ಹ ಸೂಚಕವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದನ್ನು ನಿಲ್ಲಿಸಿದೆ.
DPI ಪರಿಹಾರಗಳ ತಯಾರಕರು ಈ ಸ್ಥಾನಗಳಿಂದ ತಮ್ಮ ಉತ್ಪನ್ನಗಳನ್ನು ಪ್ರಚಾರ ಮಾಡುತ್ತಾರೆ. ಅವುಗಳನ್ನು ಅಂತಿಮ ಬಳಕೆದಾರರು (ಅಂದರೆ ವೆಬ್ ಬ್ರೌಸ್ ಮಾಡುತ್ತಿರುವ ನಿಮ್ಮ ಉದ್ಯೋಗಿಗಳು) ಮತ್ತು ಇಂಟರ್ನೆಟ್ ನಡುವೆ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದೆ, ದುರುದ್ದೇಶಪೂರಿತ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲಾಗುತ್ತದೆ. ಇಂದು ಮಾರುಕಟ್ಟೆಯಲ್ಲಿ ಅಂತಹ ಹಲವಾರು ಉತ್ಪನ್ನಗಳು ಇವೆ, ಆದರೆ ಪ್ರಕ್ರಿಯೆಗಳು ಮೂಲಭೂತವಾಗಿ ಒಂದೇ ಆಗಿರುತ್ತವೆ. HTTPS ದಟ್ಟಣೆಯು ತಪಾಸಣೆ ಸಾಧನದ ಮೂಲಕ ಹಾದುಹೋಗುತ್ತದೆ, ಅಲ್ಲಿ ಅದನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಮಾಲ್ವೇರ್ಗಾಗಿ ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ.
ಪರಿಶೀಲನೆ ಪೂರ್ಣಗೊಂಡ ನಂತರ, ವಿಷಯವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ಮರು-ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಸಾಧನವು ಅಂತಿಮ ಕ್ಲೈಂಟ್ನೊಂದಿಗೆ ಹೊಸ SSL ಸೆಶನ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ.
ಡೀಕ್ರಿಪ್ಶನ್/ಮರು-ಎನ್ಕ್ರಿಪ್ಶನ್ ಪ್ರಕ್ರಿಯೆಯು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ
ಅಂತಿಮ ಬಳಕೆದಾರರಿಗೆ ಕಳುಹಿಸುವ ಮೊದಲು ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ಮರು-ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು SSL ತಪಾಸಣೆ ಸಾಧನಕ್ಕಾಗಿ, ಅದು ಹಾರಾಡುತ್ತ SSL ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಇದರರ್ಥ ಇದು CA ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ಥಾಪಿಸಿರಬೇಕು.
ಈ SSL ಪ್ರಮಾಣಪತ್ರಗಳು ಬ್ರೌಸರ್ಗಳಿಂದ ವಿಶ್ವಾಸಾರ್ಹವಾಗಿರುವುದು ಕಂಪನಿಗೆ (ಅಥವಾ ಮಧ್ಯದಲ್ಲಿರುವವರು) ಮುಖ್ಯವಾಗಿದೆ (ಅಂದರೆ, ಕೆಳಗಿನಂತೆ ಭಯಾನಕ ಎಚ್ಚರಿಕೆ ಸಂದೇಶಗಳನ್ನು ಪ್ರಚೋದಿಸಬೇಡಿ). ಆದ್ದರಿಂದ CA ಸರಣಿ (ಅಥವಾ ಕ್ರಮಾನುಗತ) ಬ್ರೌಸರ್ನ ಟ್ರಸ್ಟ್ ಸ್ಟೋರ್ನಲ್ಲಿರಬೇಕು. ಈ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸಾರ್ವಜನಿಕವಾಗಿ ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರ ಅಧಿಕಾರಿಗಳಿಂದ ನೀಡಲಾಗಿಲ್ಲವಾದ್ದರಿಂದ, ನೀವು ಎಲ್ಲಾ ಅಂತಿಮ ಕ್ಲೈಂಟ್ಗಳಿಗೆ CA ಶ್ರೇಣಿಯನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ವಿತರಿಸಬೇಕು.
Chrome ನಲ್ಲಿ ಸ್ವಯಂ ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಕ್ಕಾಗಿ ಎಚ್ಚರಿಕೆ ಸಂದೇಶ. ಮೂಲ:
ವಿಂಡೋಸ್ ಕಂಪ್ಯೂಟರ್ಗಳಲ್ಲಿ, ನೀವು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಮತ್ತು ಗುಂಪು ನೀತಿಗಳನ್ನು ಬಳಸಬಹುದು, ಆದರೆ ಮೊಬೈಲ್ ಸಾಧನಗಳಿಗೆ ಕಾರ್ಯವಿಧಾನವು ಹೆಚ್ಚು ಜಟಿಲವಾಗಿದೆ.
ನೀವು ಕಾರ್ಪೊರೇಟ್ ಪರಿಸರದಲ್ಲಿ ಇತರ ಮೂಲ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬೆಂಬಲಿಸಬೇಕಾದರೆ ಪರಿಸ್ಥಿತಿಯು ಇನ್ನಷ್ಟು ಜಟಿಲವಾಗುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, Microsoft ನಿಂದ, ಅಥವಾ OpenSSL ಆಧರಿಸಿ. ಜೊತೆಗೆ ಖಾಸಗಿ ಕೀಗಳ ರಕ್ಷಣೆ ಮತ್ತು ನಿರ್ವಹಣೆ ಇದರಿಂದ ಯಾವುದೇ ಕೀಗಳು ಅನಿರೀಕ್ಷಿತವಾಗಿ ಅವಧಿ ಮೀರುವುದಿಲ್ಲ.
ಉತ್ತಮ ಆಯ್ಕೆ: ಮೂರನೇ ವ್ಯಕ್ತಿಯ CA ನಿಂದ ಖಾಸಗಿ, ಮೀಸಲಾದ ಮೂಲ ಪ್ರಮಾಣಪತ್ರ
ಬಹು ಮೂಲಗಳು ಅಥವಾ ಸ್ವಯಂ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು ಆಕರ್ಷಕವಾಗಿಲ್ಲದಿದ್ದರೆ, ಇನ್ನೊಂದು ಆಯ್ಕೆ ಇದೆ: ಮೂರನೇ ವ್ಯಕ್ತಿಯ CA ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡಲಾಗುತ್ತದೆ ಖಾಸಗಿ ಕಂಪನಿಗಾಗಿ ನಿರ್ದಿಷ್ಟವಾಗಿ ರಚಿಸಲಾದ ಮೀಸಲಾದ, ಖಾಸಗಿ ರೂಟ್ CA ಗೆ ನಂಬಿಕೆಯ ಸರಪಳಿಯಲ್ಲಿ ಲಿಂಕ್ ಮಾಡಲಾದ CA.
ಮೀಸಲಾದ ಕ್ಲೈಂಟ್ ಮೂಲ ಪ್ರಮಾಣಪತ್ರಗಳಿಗಾಗಿ ಸರಳೀಕೃತ ಆರ್ಕಿಟೆಕ್ಚರ್
ಈ ಸೆಟಪ್ ಮೊದಲೇ ತಿಳಿಸಲಾದ ಕೆಲವು ಸಮಸ್ಯೆಗಳನ್ನು ನಿವಾರಿಸುತ್ತದೆ: ಕನಿಷ್ಠ ಇದು ನಿರ್ವಹಿಸಬೇಕಾದ ಬೇರುಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ. ಇಲ್ಲಿ ನೀವು ಯಾವುದೇ ಸಂಖ್ಯೆಯ ಮಧ್ಯಂತರ CAಗಳೊಂದಿಗೆ ಎಲ್ಲಾ ಆಂತರಿಕ PKI ಅಗತ್ಯಗಳಿಗಾಗಿ ಕೇವಲ ಒಂದು ಖಾಸಗಿ ಮೂಲ ಅಧಿಕಾರವನ್ನು ಬಳಸಬಹುದು. ಉದಾಹರಣೆಗೆ, ಮೇಲಿನ ರೇಖಾಚಿತ್ರವು ಬಹು-ಹಂತದ ಕ್ರಮಾನುಗತವನ್ನು ತೋರಿಸುತ್ತದೆ, ಅಲ್ಲಿ ಮಧ್ಯಂತರ CA ಗಳಲ್ಲಿ ಒಂದನ್ನು SSL ಪರಿಶೀಲನೆ/ಡಿಕ್ರಿಪ್ಶನ್ಗಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಮತ್ತು ಇನ್ನೊಂದನ್ನು ಆಂತರಿಕ ಕಂಪ್ಯೂಟರ್ಗಳಿಗೆ (ಲ್ಯಾಪ್ಟಾಪ್ಗಳು, ಸರ್ವರ್ಗಳು, ಡೆಸ್ಕ್ಟಾಪ್ಗಳು, ಇತ್ಯಾದಿ) ಬಳಸಲಾಗುತ್ತದೆ.
ಈ ವಿನ್ಯಾಸದಲ್ಲಿ, ಎಲ್ಲಾ ಕ್ಲೈಂಟ್ಗಳಲ್ಲಿ CA ಅನ್ನು ಹೋಸ್ಟ್ ಮಾಡುವ ಅಗತ್ಯವಿಲ್ಲ ಏಕೆಂದರೆ ಉನ್ನತ ಮಟ್ಟದ CA ಅನ್ನು GlobalSign ನಿಂದ ಹೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ, ಇದು ಖಾಸಗಿ ಕೀ ರಕ್ಷಣೆ ಮತ್ತು ಮುಕ್ತಾಯ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸುತ್ತದೆ.
ಈ ವಿಧಾನದ ಮತ್ತೊಂದು ಪ್ರಯೋಜನವೆಂದರೆ ಯಾವುದೇ ಕಾರಣಕ್ಕಾಗಿ SSL ತಪಾಸಣೆ ಅಧಿಕಾರವನ್ನು ಹಿಂತೆಗೆದುಕೊಳ್ಳುವ ಸಾಮರ್ಥ್ಯ. ಬದಲಾಗಿ, ಹೊಸದನ್ನು ಸರಳವಾಗಿ ರಚಿಸಲಾಗಿದೆ, ಅದನ್ನು ನಿಮ್ಮ ಮೂಲ ಖಾಸಗಿ ಮೂಲಕ್ಕೆ ಜೋಡಿಸಲಾಗಿದೆ ಮತ್ತು ನೀವು ಅದನ್ನು ತಕ್ಷಣವೇ ಬಳಸಬಹುದು.
ಎಲ್ಲಾ ವಿವಾದಗಳ ಹೊರತಾಗಿಯೂ, ಉದ್ಯಮಗಳು ತಮ್ಮ ಆಂತರಿಕ ಅಥವಾ ಖಾಸಗಿ PKI ಮೂಲಸೌಕರ್ಯದ ಭಾಗವಾಗಿ SSL ಸಂಚಾರ ತಪಾಸಣೆಯನ್ನು ಹೆಚ್ಚು ಅನುಷ್ಠಾನಗೊಳಿಸುತ್ತಿವೆ. ಖಾಸಗಿ PKI ಗಾಗಿ ಇತರ ಬಳಕೆಗಳು ಸಾಧನ ಅಥವಾ ಬಳಕೆದಾರ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುವುದು, ಆಂತರಿಕ ಸರ್ವರ್ಗಳಿಗಾಗಿ SSL, ಮತ್ತು CA/ಬ್ರೌಸರ್ ಫೋರಮ್ನಿಂದ ಅಗತ್ಯವಿರುವಂತೆ ಸಾರ್ವಜನಿಕ ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ ಅನುಮತಿಸದ ವಿವಿಧ ಕಾನ್ಫಿಗರೇಶನ್ಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಬ್ರೌಸರ್ಗಳು ಮತ್ತೆ ಹೋರಾಡುತ್ತಿವೆ
ಬ್ರೌಸರ್ ಡೆವಲಪರ್ಗಳು ಈ ಪ್ರವೃತ್ತಿಯನ್ನು ಎದುರಿಸಲು ಮತ್ತು ಅಂತಿಮ ಬಳಕೆದಾರರನ್ನು MiTM ನಿಂದ ರಕ್ಷಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದಾರೆ ಎಂದು ಗಮನಿಸಬೇಕು. ಉದಾಹರಣೆಗೆ, ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಮೊಜಿಲ್ಲಾ Firefox ನಲ್ಲಿನ ಮುಂದಿನ ಬ್ರೌಸರ್ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಡೀಫಾಲ್ಟ್ ಆಗಿ DoH (DNS-over-HTTPS) ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ. DoH ಪ್ರೋಟೋಕಾಲ್ DPI ಸಿಸ್ಟಮ್ನಿಂದ DNS ಪ್ರಶ್ನೆಗಳನ್ನು ಮರೆಮಾಡುತ್ತದೆ, SSL ತಪಾಸಣೆಯನ್ನು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ.
ಇದೇ ರೀತಿಯ ಯೋಜನೆಗಳ ಬಗ್ಗೆ ಸೆಪ್ಟೆಂಬರ್ 10, 2019 Chrome ಬ್ರೌಸರ್ಗಾಗಿ Google.
ನೋಂದಾಯಿತ ಬಳಕೆದಾರರು ಮಾತ್ರ ಸಮೀಕ್ಷೆಯಲ್ಲಿ ಭಾಗವಹಿಸಬಹುದು. , ದಯವಿಟ್ಟು.
ಕಂಪನಿಯು ತನ್ನ ಉದ್ಯೋಗಿಗಳ SSL ದಟ್ಟಣೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ಹಕ್ಕನ್ನು ಹೊಂದಿದೆ ಎಂದು ನೀವು ಭಾವಿಸುತ್ತೀರಾ?
-
ಹೌದು, ಅವರ ಒಪ್ಪಿಗೆಯೊಂದಿಗೆ
-
ಇಲ್ಲ, ಅಂತಹ ಒಪ್ಪಿಗೆಯನ್ನು ಕೇಳುವುದು ಕಾನೂನುಬಾಹಿರ ಮತ್ತು/ಅಥವಾ ಅನೈತಿಕವಾಗಿದೆ
122 ಬಳಕೆದಾರರು ಮತ ಹಾಕಿದ್ದಾರೆ. 15 ಬಳಕೆದಾರರು ದೂರ ಉಳಿದಿದ್ದಾರೆ.
ಮೂಲ: www.habr.com