Catena Fiduciae. CC BY-SA 4.0
Inspectio commeatus SSL (decryptio SSL/TLS, analysis SSL, vel DPI) fit res magis magisque popularis in mundo negotiorum. Idea commeatus decryptandi ipsi notioni cryptographiae contradicere videtur. Attamen, res manet: plures ac plures societates technologias DPI utuntur, necessitatem argumentantes ut contenta ad programmata maligna, effusiones datorum, et cetera perscrutentur.
Bene, si concedimus talem technologiam adhibendam esse, saltem modos id quam tutissime et optime administrate faciendi considerare debemus. Saltem, non debemus confidendum esse testimoniis, exempli gratia, a provisore systematis DPI provisis.
Est una pars implementationis quam non omnes norunt. Immo, multi vere mirantur cum de ea audiunt. Haec est auctoritas certificatoria privata (CA). Certificata generat ad negotiationem decryptandam et recryptandam.
Pro fiducia in certificatis auto-signatis vel certificatis ex machinis DPI, CA dedicata ab CA tertiae partis, ut GlobalSign, uti potes. Sed primum, rem breviter inspiciamus.
Quid est inspectio SSL et cur adhibetur?
Plures ac plures situs interretiales publici ad HTTPS transeunt. Exempli gratia, Initio Septembris anni 2019, pars commeatus encryptati in Russia ad 83% pervenit.
Infeliciter, encryptio commeatus a piratis magis magisque adhibetur, praesertim cum Let's Encrypt milia certificatorum SSL gratuitorum automatice distribuit. Proinde, HTTPS ubique adhibetur, et sera in vecte inscriptionum navigatoris non iam est index securitatis fidus.
Haec est ratio quam venditores solutionum DPI adhibent. Inter utentes finales (id est, operarios tuos interreti navigantes) et interrete disponuntur, commeatum noxium excludentes. Plura talia producta in foro hodie exstant, sed processus fere idem sunt. Commeatus HTTPS per instrumentum inspectionis transit, ubi decryptatur et pro programmatibus malignis examinatur.
Postquam verificatione perfecta est, instrumentum novam sessionem SSL cum cliente finali creat ad contenta decifranda et denuo cifranda.
Quomodo processus decryptionis/reencryptionis operatur?
Ut instrumentum inspectionis SSL fasciculos decryptare et recryptare possit antequam eos ad usores finales mittat, certificata SSL ex tempore edere posse debet. Hoc significat certificatum CA institutum habere debere.
Interest societati (vel alteri intermediario) ut haec certificata SSL a navigatoribus interretialibus fidantur (id est, ne nuntios admonitionis terribiles sicut infra positos evocent). Ergo, catena (vel hierarchia) CA in repositorio fiduciae navigatoris esse debet. Cum haec certificata non a CA publice fidis edantur, hierarchia CA omnibus clientibus finalibus manu distribui debet.
Nuntius admonitionis de certificato autosignato in Chrome. Fons:
На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.
Res etiam magis implicata fit cum alia certificata principalia in ambitu societatis sustinentur, ut ea a Microsoft facta vel ea quae in OpenSSL fundantur. Praeterea, necesse est claves privatas protegere et administrare ne exspiratio improvisa fiat.
Optima Optio: Diploma radicis privatum et dedicatum ab auctoritate tertia (CA)
Si administratio plurium radicum vel certificatorum autosignatorum non iucunda est, alia optio est: fiducia in auctoritatem auctoritatis tertiae partis. Hoc in casu, certificata ex... privatus Auctoritas certificationis quae per catenam fiduciae cum auctoritate certificationis dedicata, privata, specialiter pro societate creata, coniuncta est.
Architectura simplificata pro certificatis radicis clientium dedicatis
Haec dispositio nonnulla problemata antea commemorata eliminat: saltem numerum radicum quae administrandae sunt minuit. Hic, una auctoritas radicis privata ad omnes necessitates internas PKI adhiberi potest, cum quolibet numero CA intermediarum. Exempli gratia, diagramma supra hierarchiam multi-gradualem ostendit in qua una CA intermedia ad verificationem/decryptionem SSL adhibetur, et alia ad computatra interna (computatra portatilia, servientes, computatra fixa, etc.).
Hoc consilium necessitatem CA in omnibus clientibus habendi tollit, quia CA summi gradus a GlobalSign hospitatur, quod quaestiones securitatis et expirationis clavis privatae solvit.
Aliud commodum huius modi est facultas revocandi auctoritatem inspectionis SSL quacumque de causa. Nova simpliciter in eius loco creatur, cum radice privata originali coniungitur, et statim adhiberi potest.
Quamvis tanta controversia orta sit, societates inspectionem negotiationis SSL magis magisque adhibent, sive in structura sua interna sive privata PKI. Alii usus PKI privatae includunt emissionem certificatorum ad authenticationem machinarum vel usorum, SSL pro servitoribus internis, et varias configurationes non permissas in certificatis publice fidis, ut a Foro CA/Navigatorum requiritur.
Navigatra resistunt
Notandum est fabricatores navigatrorum interretialium hanc modam impedire et usores finales a MiTM protegere conari. Exempli gratia, paucis diebus ante, Mozilla... Protocollum DoH (DNS-over-HTTPS) in una ex proximis versionibus navigatoris Firefox per default activa. Protocollum DoH petitiones DNS a systemate DPI celat, inspectionem SSL difficiliorem reddens.
De similibus consiliis die X Septembris, anno MMXIX Google pro navigatro Chrome.
Tantum usores descripserunt in aliquet participare possunt. Te gratissimum esse.
Putasne societatem ius habere ad negotiationem SSL operariorum suorum inspiciendam?
Ita, cum consensu eorum
Non, tale consensum petere illicitum et/vel iniquum est.
122 utentes censuerunt. 15 Utentes abstinuerunt.
Source: www.habr.com
