Catena fidei. CC BY-SA 4.0
SSL inspectio negotiationis (SSL/TLS decryptionis, analyseos SSL vel DPI) in dies magis magisque calidus disputandi locus fit in sectore corporato. Idea decrypting mercaturae notioni cryptographiae contradicere videtur. Hoc tamen factum est: magis magisque societates DPI technologiae utuntur, hoc explicantes necessitatem reprimendi contentus pro malware, notitia libero, etc.
Bene, si accipimus quod talis technicae artis necessitas implenda est, tunc saltem considerare debemus vias ad id faciendum tutissimo ac bene administrato modo posse. Saltem noli his libellis fidere, exempli gratia, quod ratio elit DPI tibi dat.
Una est ratio exsecutionis quam non omnes sciunt. Nam multi admirantur cum hoc audiunt. Haec est auctoritas privata certificatio (CA). Testimonium generat minutum ac rursus encrypt negotiationis.
Loco freti sui signati testimoniales seu testimoniales ex DPI machinis, dedicato CA ex tertia factione certificarii auctoritate uti potes ut Global Sign. Sed primum faciamus ipsum problema paulo inspectione.
Quid est SSL inspectionem et cur usus est?
Plures ac magis publicae paginae ad HTTPS movent. Verbi gratia, secundum ineunte Septembri MMXIX, portio encrypted negotiationis in Russia LXXXIII% pervenit.
Infeliciter, negotiatio encryption magis magisque ab oppugnatoribus adhibetur, praesertim cum Let's Encrypt milia libellorum liberorum SSL modo automated distribuat. Ita, HTTPS ubique adhibetur - et caudex in vecte electronici desiit pro certo securitatis indicator.
Manufacturers solutionum DPI res suas ex his positionibus promovent. Infixae sunt inter finem utentium (i.e. operarum tuarum pascentium interretialem) et interreti, eliquare negotium malignum. Plures talium productorum in foro hodie sunt, sed processus essentialiter idem est. HTTPS negotiatio per inspectionem machinam transit ubi decrypta et pro malware sedata est.
Cum verificationis perfecta est, machina novum sessionem SSL creat cum fine clientis ad minutum et re-encrypt contentum.
Quomodo decryption / re-encryption processus operatur
Ut inspectionem instrumenti ad minutum et re-encryptarum fasciculorum antequam mitteret eos ad finem utentium mittere, debet SSL libellos in musca edicere. Hoc significat quod libellum CA habere debet inauguratum.
Gravis est societas (vel quicumque-in-medium) has testimonium SSL ab navigatoribus creditum (i.e., non felis FORMIDULOSUS nuntiis monitis ut infra). Ergo CA catena (vel hierarchia) debet esse in thesauro fiduciae navigatoris. Quia hae testimoniales ab auctoritatibus certificati publice creditae non sunt editae, debetis manuale CA hierarchiam ad omnes clientes fines distribuere.
Monitum nuntium de certificatorio in Chrome auto-signato. Source:
In Windows computers, Directorium activum Ordinariorum coetus uti potes, sed pro mobilibus machinis agendi ratio magis implicata est.
Res magis magisque implicata fit si alios libellos radices in ambitu corporato, exempli gratia, Microsoft vel in OpenSSL fundatas, sustinere debes. Plus tutela et administratio clavium privatorum ita ut quaelibet clavium ex improviso non exspiret.
Optio optima: privata radix dedicata certificatorium tertiae partis CA
Si plures radices agere vel testimoniales auto-signatas non appellat, alia est optio: fretus in tertia factione CA. Hoc in casu, testimoniales eduntur privatus a CA, quae in catena fidei dedicatae iungitur, radix privata CA specialiter pro societate creata est.
Simplicior architectura pro clientis radix testimoniales dedicated
Haec propositio nonnullas difficultates antea commemoratas eliminat: saltem numerum radicum minuit quae tractanda sunt. Hic uti potes una tantum auctoritate privata radix omnium internorum PKI necessariorum, cum quolibet numero intermediorum CAS. Exempli gratia, tabula supra ostendit Hierarchiam multi-aequalem ubi una mediarum CAs pro SSL verificationis/decryptionis ponitur et altera pro computatoribus internis (laptops, servientes, desktops, etc.).
In hoc consilio, non opus est omnibus clientibus in CA hospitari, quia summum-gradum CA per GlobalSign hosted est, quod privatum clavem tutelam et exitum tutelam solvit.
Alius utilitas huius accessionis est facultas inspectionem SSL revocandi auctoritatem quacumque de causa. Sed nova simpliciter creata est, quae origini privatae origini tuae alligata est, eoque statim uti potes.
Quamvis tota controversia, inceptis magis magisque ad inspectionem negotiationis SSL exsequendam, sicut pars infrastructurae eorum internae vel privatae PKI. Alios usus privatorum PKI includunt edentes libellos de fabrica vel usuario authenticas, SSL pro ministris internis, et varias figurationes quae in publicis testimoniis creditis non admittuntur secundum CA/Browser Forum.
Browsers repugnantem
Notandum est tincidunt navigatores huic trendo niti et finem users ab MiTM tueri. Exempli gratia, ante paucos dies Mozilla Admitte DoH (DNS-super-HTTPS) protocollum per defaltam in una e proximis versionibus navigatoris in Firefox. Protocollum DoH celat DNS quaesitum ex systemate DPI, inspectionem difficilem faciens SSL.
De similibus consiliis September X, MMXIX Google pro navigatro Chrome.
Tantum usores descripserunt in aliquet participare possunt. Te gratissimum esse.
Putasne societatis ius esse inspiciendi SSL negotiationem conductorum suorum?
-
Ita, consentientibus
-
Non, petens talis consensus illicitus est et/vel flagitiis
122 utentes censuerunt. 15 Utentes abstinuerunt.
Source: www.habr.com