Ишеним чынжырчасы. CC BY-SA 4.0
SSL трафикти текшерүү (SSL/TLS чечмелөө, SSL же DPI анализи) корпоративдик сектордо барган сайын кызуу талкууланган темага айланууда. Трафикти чечмелөө идеясы криптографиянын концепциясына карама-каршы келет окшойт. Бирок, бул чындык: барган сайын көбүрөөк компаниялар DPI технологияларын колдонуп жатышат, муну мазмунду зыяндуу программаларга, маалыматтардын агып кетишине жана башкаларга текшерүү зарылчылыгы менен түшүндүрүшөт.
Ооба, эгерде биз мындай технологияны ишке ашыруу керек экенин кабыл алсак, анда биз жок дегенде аны эң коопсуз жана эң жакшы башкарылган жол менен жасоонун жолдорун карап чыгышыбыз керек. Жок дегенде ошол сертификаттарга ишенбеңиз, мисалы, DPI тутумунун камсыздоочусу сизге берет.
Ишке ашыруунун баары эле биле бербеген бир жагы бар. Чынында, бул тууралуу укканда көптөр таң калышат. Бул жеке тастыктоочу орган (CA). Ал трафикти чечмелөө жана кайра шифрлөө үчүн сертификаттарды жаратат.
Өз алдынча кол коюлган сертификаттарга же DPI түзмөктөрүнүн тастыктамаларына таянуунун ордуна, GlobalSign сыяктуу үчүнчү тараптын тастыктама органынын атайын CA колдоно аласыз. Бирок, адегенде, маселенин өзүнө бир аз сереп салалы.
SSL текшерүү деген эмне жана ал эмне үчүн колдонулат?
Барган сайын көбүрөөк коомдук веб-сайттар HTTPSге өтүүдө. Мисалы, ылайык , 2019-жылдын сентябрынын башында Россияда шифрленген трафиктин үлүшү 83% га жеткен.
Тилекке каршы, трафиктин шифрлөөсү чабуулчулар тарабынан көбүрөөк колдонулуп жатат, айрыкча Let's Encrypt миңдеген акысыз SSL сертификаттарын автоматташтырылган түрдө тараткандыктан. Ошентип, HTTPS бардык жерде колдонулат - жана браузердин дарек тилкесиндеги кулпу коопсуздуктун ишенимдүү көрсөткүчү катары кызмат кылууну токтотту.
DPI чечимдеринин өндүрүүчүлөрү өз өнүмдөрүн ушул позициялардан жылдырышат. Алар зыяндуу трафикти чыпкалап, акыркы колдонуучулар (мисалы, интернетти карап жаткан кызматкерлер) менен Интернеттин ортосунда камтылган. Бүгүнкү күндө рынокто мындай буюмдардын бир нечеси бар, бирок процесстер негизинен бирдей. HTTPS трафиги текшерүү аппараты аркылуу өтөт, анда ал шифрленген жана кесепеттүү программанын бар-жоктугу текшерилет.
Текшерүү аяктагандан кийин, түзмөк мазмунду чечмелөө жана кайра шифрлөө үчүн акыркы кардар менен жаңы SSL сеансын түзөт.
Шифрлөө/кайра шифрлөө процесси кантип иштейт
SSL текшерүү аппараты пакеттерди акыркы колдонуучуларга жөнөтүүдөн мурун шифрди чечип, кайра шифрлеп алышы үчүн, ал SSL сертификаттарын тез арада бере алышы керек. Бул анын CA сертификаты орнотулган болушу керек дегенди билдирет.
Компания үчүн (же ортодогу ким болбосун) бул SSL сертификаттары браузерлер тарабынан ишенимдүү болушу маанилүү (б.а., төмөндөгүдөй коркунучтуу эскертүү билдирүүлөрүн чыгарбаңыз). Ошондуктан CA чынжыр (же иерархия) браузердин ишеним дүкөнүндө болушу керек. Бул тастыктамалар жалпыга ишенимдүү тастыктама органдарынан берилбегендиктен, сиз CA иерархиясын бардык акыркы кардарларга кол менен таратышыңыз керек.
Chrome'до өз алдынча кол коюлган тастыктама үчүн эскертүү билдирүүсү. Булак:
Windows компьютерлеринде Active Directory жана Group Policies колдоно аласыз, бирок мобилдик түзмөктөр үчүн процедура татаалыраак.
Корпоративдик чөйрөдө, мисалы, Microsoft же OpenSSL негизинде башка түпкү сертификаттарды колдоо керек болсо, кырдаал ого бетер татаалдашат. Андан тышкары, купуя ачкычтарды коргоо жана башкаруу, андыктан ар бир ачкычтын мөөнөтү күтүлбөгөн жерден бүтпөйт.
Эң жакшы вариант: үчүнчү тараптын CAдан жеке, атайын түпкү сертификаты
Эгер бир нече тамырларды же өз алдынча кол коюлган тастыктамаларды башкаруу жагымдуу болбосо, дагы бир вариант бар: үчүнчү тараптын CAсына таянуу. Бул учурда, сертификаттар берилет жеке компания үчүн атайын түзүлгөн атайын, жеке түпкү CA менен ишеним чынжырында байланышкан CA.
Арналган кардар түпкү сертификаттары үчүн жөнөкөйлөштүрүлгөн архитектура
Бул орнотуу мурда айтылган кээ бир көйгөйлөрдү жок кылат: жок дегенде, бул башкаруу керек тамырлардын санын азайтат. Бул жерде сиз бардык ички PKI муктаждыктары үчүн бир гана жеке түпкү ыйгарым укуктарды, каалаган сандагы аралык CA менен колдоно аласыз. Мисалы, жогорудагы диаграмма көп деңгээлдүү иерархияны көрсөтөт, мында ортодогу CAлардын бири SSL текшерүү/шифрлөө үчүн колдонулат, ал эми экинчиси ички компьютерлер үчүн (ноутбуктар, серверлер, рабочий компьютерлер ж.б.) колдонулат.
Бул дизайнда бардык кардарларга СА жайгаштыруунун кереги жок, анткени жогорку деңгээлдеги CA жеке ачкычтарды коргоо жана мөөнөтү бүтүү маселелерин чечүүчү GlobalSign тарабынан жайгаштырылат.
Бул ыкманын дагы бир артыкчылыгы - кандайдыр бир себептерден улам SSL текшерүү органын жокко чыгаруу мүмкүнчүлүгү. Анын ордуна, сиздин баштапкы жеке тамырыңызга байланган жаңысы түзүлөт жана аны дароо колдоно аласыз.
Бардык карама-каршылыктарга карабастан, ишканалар ички же жеке PKI инфраструктурасынын бир бөлүгү катары SSL жол текшерүүсүн көбүрөөк ишке ашырып жатышат. Жеке PKI үчүн башка максаттарга түзмөктүн же колдонуучунун аутентификациясы үчүн сертификаттарды берүү, ички серверлер үчүн SSL жана CA/Browser Forum талап кылгандай коомдук ишенимдүү сертификаттарда уруксат берилбеген ар кандай конфигурациялар кирет.
Браузерлер каршы күрөшүп жатышат
Белгилей кетсек, браузерди иштеп чыгуучулар бул тенденцияга каршы турууга жана акыркы колдонуучуларды MiTMден коргоого аракет кылып жатышат. Мисалы, бир нече күн мурун Mozilla Firefox'тун кийинки серепчи версияларынын биринде демейки боюнча DoH (DNS-over-HTTPS) протоколун иштетиңиз. DoH протоколу DPI системасынан DNS сурамдарын жашырып, SSL текшерүүсүн кыйындатат.
Окшош пландар жөнүндө 10-сентябрь, 2019-ж Chrome браузери үчүн Google.
Сурамжылоого катталган колдонуучулар гана катыша алышат. , өтүнөмүн.
Сиздин оюңузча, компания өз кызматкерлеринин SSL трафигин текшерүүгө укугу барбы?
-
Ооба, алардын макулдугу менен
-
Жок, мындай макулдукту суроо мыйзамсыз жана/же этикага туура келбейт
122 колдонуучу добуш берди. 15 колдонуучу добуш берүүдөн баш тартты.
Source: www.habr.com