Zincîra pêbaweriyê. CC BY-SA 4.0
Kontrolkirina seyrûsefera SSL (deşîfrekirina SSL / TLS, analîza SSL an DPI) di sektora pargîdanî de her ku diçe mijarek nîqaşê ya germtir dibe. Fikra deşîfrekirina seyrûseferê dixuye ku berevajî têgeha şîfrekirinê ye. Lêbelê, rastiyek rastiyek e: her ku diçe bêtir pargîdanî teknolojiyên DPI-ê bikar tînin, vê yekê bi hewcedariya kontrolkirina naverokê ji bo malware, danûstendinên daneyan, hwd vedibêjin.
Welê, heke em vê rastiyê qebûl bikin ku pêdivî ye ku teknolojiyek weha were sepandin, wê hingê divê em bi kêmanî rêyên ku wê bi awayê herî ewledar û bi rêkûpêk gengaz pêk bînin bifikirin. Bi kêmanî pişta xwe nedin wan sertîfîkayan, mînakî, ku dabînkerê pergala DPI dide we.
Aliyek pêkanînê heye ku her kes pê nizane. Bi rastî, gelek kes dema ku ew li ser vê yekê dibihîzin bi rastî şaş dimînin. Ev dezgehek pejirandina taybet (CA) ye. Ew sertîfîkayan çêdike da ku seyrûseferê veşêre û ji nû ve şîfre bike.
Li şûna ku hûn xwe bispêrin sertîfîkayên xwe-îmzakirî an sertîfîkayên ji cîhazên DPI-yê, hûn dikarin CA-ya taybetî ya ji rayedarek sertîfîkayê ya sêyemîn wekî GlobalSign bikar bînin. Lê pêşî, em nihêrînek piçûk li ser pirsgirêkê bixwe bikin.
Kontrolkirina SSL çi ye û çima tê bikar anîn?
Zêdetir malperên giştî ber bi HTTPS ve diçin. Ji bo nimûne, li gorî , di destpêka Îlona 2019 de, para seyrûsefera şîfrekirî ya li Rûsyayê gihîşt 83%.
Mixabin, şîfrekirina seyrûseferê her ku diçe ji hêla êrîşkaran ve tê bikar anîn, nemaze ji ber ku Let's Encrypt bi hezaran sertîfîkayên SSL-ya belaş bi rengek otomatîkî belav dike. Bi vî rengî, HTTPS li her deverê tête bikar anîn - û kilît di barika navnîşana gerokê de wekî nîşanek pêbawer a ewlehiyê rawestiyaye.
Hilberînerên çareseriyên DPI hilberên xwe ji van pozîsyonan derdixin pêş. Ew di navbera bikarhênerên dawîn de (ango xebatkarên we yên ku li tevneyê digerin) û Înternetê têne veguheztin, seyrûsefera xerab fîlter dikin. Îro li sûkê gelek hilberên weha hene, lê pêvajo bi bingehîn yek in. Trafîka HTTPS di nav amûrek vekolînê re derbas dibe ku tê deşîfrekirin û ji bo malware tê kontrol kirin.
Piştî ku verastkirin qediya, cîhaz bi muwekîlê paşîn re danişînek SSL-ya nû diafirîne da ku naverokê ji nû ve şîfre bike û şîfre bike.
Pêvajoya deşîfrekirin / şîfrekirinê çawa dixebite
Ji bo ku amûra teftîşa SSL-ê berî ku ew ji bikarhênerên dawîn re bişîne deşîfre bike û ji nû ve şîfre bike, pêdivî ye ku ew bikaribe sertîfîkayên SSL-ê di firînê de bide. Ev tê vê wateyê ku divê ew sertîfîkayek CA-yê sazkirî be.
Ji bo pargîdanî (an jî yê-di-navîn) girîng e ku van sertîfîkayên SSL-ê ji hêla gerokan ve têne pêbawer kirin (ango, peyamên hişyariya tirsnak ên mîna ya jêrîn dernexin). Ji ber vê yekê zincîra CA (an hiyerarşiya) divê di dikana pêbaweriya gerokê de be. Ji ber ku ev sertîfîka ji rayedarên sertîfîkayên pêbawer ên gelemperî nayên derxistin, divê hûn bi destan hiyerarşiya CA li hemî xerîdarên paşîn belav bikin.
Peyama hişyariyê ya ji bo sertîfîkaya xwe-îmzakirî li Chrome. Kanî:
Li ser komputerên Windows-ê, hûn dikarin Polîtîkayên Pelrêça Active û Komê bikar bînin, lê ji bo cîhazên mobîl prosedur tevlihevtir e.
Ger hewce be ku hûn di hawîrdorek pargîdanî de, mînakî, ji Microsoft-ê, an li ser bingeha OpenSSL-ê, piştgirî bidin sertîfîkayên din ên root, rewş hîn tevlihevtir dibe. Zêdeyî parastin û rêvebirina bişkojkên taybet da ku yek ji mifteyê ji nişka ve neqede.
Vebijarka çêtirîn: sertîfîkaya root ya taybet, veqetandî ji partiya sêyemîn CA
Ger birêvebirina gelek rehên an sertîfîkayên xwe-îmzakirî ne balkêş e, vebijarkek din jî heye: xwe dispêre CA-ya sêyemîn. Di vê rewşê de, sertîfîkayên ji taybet CA-ya ku di zincîreyek pêbaweriyê de bi CA-ya root-a taybetî, ya taybetî ve hatî çêkirin ve girêdayî ye ku bi taybetî ji bo pargîdaniyê hatî afirandin.
Mîmariya hêsankirî ji bo sertîfîkayên root xerîdar ên diyarkirî
Ev sazûman hin pirsgirêkên ku berê hatine behs kirin ji holê radike: bi kêmanî ew jimara rûkên ku divê werin rêvebirin kêm dike. Li vir hûn dikarin ji bo hemî hewcedariyên PKI-ya hundurîn, bi her jimareyek CA-yên navîn, tenê yek desthilatdariyek root taybet bikar bînin. Mînakî, diyagrama jorîn hiyerarşiyek pir-ast nîşan dide ku yek ji CA-yên navîn ji bo verastkirin/deşîfrekirina SSL-ê û ya din ji bo komputerên hundurîn (laptop, server, sermaseyên, hwd.) tê bikar anîn.
Di vê sêwiranê de, ne hewce ye ku CA li ser hemî xerîdar were mêvandar kirin ji ber ku CA-ya asta jorîn ji hêla GlobalSign ve tê mêvandar kirin, ku pirsgirêkên parastina mifteya taybet û bidawîbûnê çareser dike.
Feydeyek din a vê nêzîkatiyê jêhatîbûna betalkirina desthilatdariya teftîşa SSL ji ber her sedemek e. Di şûna wê de, yek nû bi hêsanî tê afirandin, ku bi koka xweya taybet a orjînal ve girêdayî ye, û hûn dikarin wê tavilê bikar bînin.
Tevî hemî nakokiyan, pargîdanî her ku diçe çavdêriya seyrûsefera SSL-ê wekî beşek ji binesaziya xwe ya navxweyî an taybet a PKI-yê zêde dikin. Bikaranîna din ên ji bo PKI-ya taybet di nav de derxistina sertîfîkayên ji bo erêkirina cîhaz an bikarhêner, SSL ji bo serverên hundurîn, û veavakirinên cihêreng ên ku di sertîfîkayên pêbawer ên gelemperî de wekî ku ji hêla Foruma CA/Browser ve tê xwestin ne destûr nayên girtin.
Gerok li ber xwe didin
Divê were zanîn ku pêşdebirên gerokê hewl didin ku li hember vê meylê bisekinin û bikarhênerên dawîn ji MiTM biparêzin. Mînakî, çend roj berê Mozilla Protokola DoH (DNS-ser-HTTPS) ji hêla xwerû ve di yek ji guhertoyên geroka paşîn ên Firefox-ê de çalak bike. Protokola DoH pirsên DNS-ê ji pergala DPI vedişêre, ku teftîşa SSL-ê dijwar dike.
Di derbarê planên wekhev de 10ê Îlona 2019an Google ji bo geroka Chrome.
Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. ji kerema xwe.
Ma hûn difikirin ku pargîdaniyek maf heye ku seyrûsefera SSL ya karmendên xwe vekolîne?
-
Belê, bi razîbûna wan
-
Na, daxwazkirina razîbûna weha neqanûnî û/an ne exlaqî ye
122 bikarhêneran deng dan. 15 bikarhêner jî betal bûn.
Source: www.habr.com