Kette vu Vertrauen. CC BY-SA 4.0
SSL Traffic Inspektioun (SSL / TLS Entschlësselung, SSL oder DPI Analyse) gëtt en ëmmer méi waarmt Thema vun der Diskussioun am Firmensecteur. D'Iddi vum Traffic ze entschlësselen schéngt dem ganz Konzept vu Kryptografie widdersprécht. Wéi och ëmmer, de Fakt ass e Fakt: ëmmer méi Firmen benotzen DPI Technologien, erkläert dëst duerch d'Noutwennegkeet fir Inhalter fir Malware, Datenleckungen, etc.
Gutt, wa mir d'Tatsaach akzeptéieren datt esou Technologie muss ëmgesat ginn, da sollte mir op d'mannst Weeër iwwerleeën fir et op déi sécherst a gutt geréiert Manéier méiglech ze maachen. Vertrau op d'mannst net op dës Certificaten, zum Beispill, datt den DPI System Fournisseur Iech gëtt.
Et gëtt een Aspekt vun der Implementatioun déi net jidderee weess. Tatsächlech si vill Leit wierklech iwwerrascht wann se doriwwer héieren. Dëst ass eng privat Zertifizéierungsautoritéit (CA). Et generéiert Certificaten fir de Traffic ze entschlësselen an nei ze verschlësselen.
Amplaz op selbst ënnerschriwwenen Zertifikater oder Zertifikater vun DPI-Geräter ze vertrauen, kënnt Dir en dedizéierten CA vun enger Drëtt Partei Zertifika Autoritéit wéi GlobalSign benotzen. Awer als éischt, loosst eis e klengen Iwwerbléck iwwer de Problem selwer maachen.
Wat ass SSL Inspektioun a firwat gëtt se benotzt?
Méi a méi ëffentlech Websäite plënneren op HTTPS. Zum Beispill, laut
Leider gëtt Verkéiersverschlësselung ëmmer méi vun Ugräifer benotzt, besonnesch well Let's Encrypt Dausende vu gratis SSL Certificaten op eng automatiséiert Manéier verdeelt. Also gëtt HTTPS iwwerall benotzt - an de Padlock an der Adressbar vum Browser huet opgehalen als zouverlässeg Sécherheetsindikator ze déngen.
Hiersteller vun DPI Léisungen förderen hir Produkter aus dëse Positiounen. Si sinn agebonnen tëscht Endbenotzer (dh Är Mataarbechter déi um Internet surfen) an dem Internet, a filteren béiswëlleg Traffic. Et ginn eng Zuel vun esou Produkter haut um Maart, awer d'Prozesser sinn am Fong d'selwecht. HTTPS Traffic passéiert duerch en Inspektiounsapparat wou et entschlësselt a fir Malware gepréift gëtt.
Wann d'Verifizéierung fäerdeg ass, erstellt den Apparat eng nei SSL Sessioun mam Endclient fir den Inhalt z'entschlësselen an nei ze verschlësselen.
Wéi den Entschlësselungs- / Neiverschlësselungsprozess funktionnéiert
Fir datt den SSL Inspektiounsapparat Päckchen entschlësselt an nei verschlësselt ier se un d'Endbenotzer schéckt, muss et fäeg sinn SSL Zertifikater op der Flucht auszeginn. Dëst bedeit datt et e CA Zertifikat installéiert muss hunn.
Et ass wichteg fir d'Firma (oder wien och ëmmer an der Mëtt) datt dës SSL Zertifikater vu Browser vertraut ginn (dh keng grujeleg Warnungsmeldungen ausléisen wéi déi hei ënnen). Dofir muss d'CA Kette (oder Hierarchie) am Vertrauensgeschäft vum Browser sinn. Well dës Certificaten net vun ëffentlech zouverléissege Zertifikatautoritéiten ausgestallt ginn, musst Dir d'CA Hierarchie manuell un all Ennclienten verdeelen.
Warnungsmeldung fir selbst ënnerschriwwenen Zertifika am Chrome. Quell:
Op Windows Computeren kënnt Dir Active Directory a Group Policies benotzen, awer fir mobilen Apparater ass d'Prozedur méi komplizéiert.
D'Situatioun gëtt nach méi komplizéiert wann Dir aner Rootzertifikater an engem Firmenëmfeld ënnerstëtzen musst, zum Beispill vu Microsoft, oder baséiert op OpenSSL. Plus de Schutz a Gestioun vu privaten Schlësselen, sou datt keng vun de Schlësselen net onerwaart oflafen.
Beschte Optioun: privat, engagéierten Root Zertifikat vun engem drëtte Partei CA
Wann d'Gestioun vu multiple Wuerzelen oder selbst ënnerschriwwenen Certificaten net attraktiv ass, gëtt et eng aner Optioun: Vertrauen op en Drëtt Partei CA. An dësem Fall sinn Certificaten ausgestallt aus privat engem CA deen an enger Kette vu Vertrauen verbonnen ass mat engem engagéierten, private Root CA speziell fir d'Firma erstallt.
Vereinfacht Architektur fir engagéierten Client Root Zertifikater
Dëse Setup eliminéiert e puer vun de virdru genannte Probleemer: op d'mannst reduzéiert et d'Zuel vun de Wuerzelen déi musse geréiert ginn. Hei kënnt Dir just eng privat Root Autoritéit fir all intern PKI Bedierfnesser benotzen, mat all Zuel vun Zwëschen CAs. Zum Beispill weist de uewe genannte Diagramm eng Multi-Level Hierarchie wou ee vun den Zwëschen CAs fir SSL Verifizéierung / Entschlësselung benotzt gëtt an deen aneren fir intern Computeren (Laptops, Server, Desktops, etc.) benotzt gëtt.
An dësem Design ass et net néideg fir e CA op all Clienten ze hosten, well den Top-Level CA vun GlobalSign gehost gëtt, wat private Schlësselschutz an Verfallsprobleemer léist.
En anere Virdeel vun dëser Approche ass d'Fäegkeet d'SSL Inspektiounsautoritéit aus irgend engem Grond zréckzezéien. Amplaz gëtt en neien einfach erstallt, deen un Är ursprénglech privater Root gebonnen ass, an Dir kënnt se direkt benotzen.
Trotz all Kontrovers implementéieren d'Entreprisen ëmmer méi SSL Traffic Inspektioun als Deel vun hirer interner oder privater PKI Infrastruktur. Aner Utilisatioune fir privat PKI enthalen d'Ausstellung vun Certificaten fir Apparat oder Benotzer Authentifikatioun, SSL fir intern Serveren, a verschidde Konfiguratiounen, déi net erlaabt sinn an ëffentleche vertrauenswürdege Certificaten wéi néideg vum CA/Browser Forum.
Browser kämpfen zréck
Et sollt bemierkt datt d'Browser Entwéckler probéieren dësen Trend ze entgéintwierken an Endbenutzer vu MiTM ze schützen. Zum Beispill, virun e puer Deeg Mozilla
Iwwer ähnlech Pläng September 10, 2019
Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen.
Denkt Dir datt eng Firma d'Recht huet den SSL Traffic vu senge Mataarbechter ze kontrolléieren?
-
Jo, mat hirer Zoustëmmung
-
Nee, esou Zoustëmmung froen ass illegal an/oder onethesch
122 Benotzer hunn gestëmmt. 15 Benotzer hu sech enthalen.
Source: will.com