Pasitikėjimo grandinė. CC BY-SA 4.0
SSL srauto tikrinimas (SSL/TLS iššifravimas, SSL arba DPI analizė) tampa vis karšta diskusijų tema įmonių sektoriuje. Atrodo, kad srauto iššifravimo idėja prieštarauja pačiai kriptografijos koncepcijai. Tačiau faktas yra faktas: vis daugiau įmonių naudoja DPI technologijas, paaiškindamos tai būtinybe tikrinti, ar turinyje nėra kenkėjiškų programų, duomenų nutekėjimo ir pan.
Na, o jei sutiksime su tuo, kad tokią technologiją reikia diegti, tai bent jau reikėtų pagalvoti apie būdus, kaip tai padaryti kuo saugiau ir geriausiai valdomu būdu. Bent jau nepasikliaukite tais sertifikatais, pavyzdžiui, kuriuos jums suteikia DPI sistemos tiekėjas.
Yra vienas įgyvendinimo aspektas, apie kurį ne visi žino. Tiesą sakant, daugelis žmonių tikrai nustemba apie tai išgirdę. Tai privati sertifikavimo institucija (CA). Jis generuoja sertifikatus srautui iššifruoti ir iš naujo užšifruoti.
Užuot pasikliavę savarankiškai pasirašytais sertifikatais arba sertifikatais iš DPI įrenginių, galite naudoti specialią CA iš trečiosios šalies sertifikatų institucijos, pvz., GlobalSign. Tačiau pirmiausia šiek tiek apžvelgsime pačią problemą.
Kas yra SSL tikrinimas ir kodėl jis naudojamas?
Vis daugiau viešųjų svetainių pereina prie HTTPS. Pavyzdžiui, pagal , 2019 metų rugsėjo pradžioje šifruoto srauto dalis Rusijoje siekė 83 proc.
Deja, užpuolikai vis dažniau naudoja srauto šifravimą, juolab kad Let's Encrypt automatizuotai platina tūkstančius nemokamų SSL sertifikatų. Taigi, HTTPS naudojamas visur – o spynelė naršyklės adreso juostoje nustojo veikti kaip patikimas saugumo indikatorius.
DPI sprendimų gamintojai reklamuoja savo gaminius iš šių pozicijų. Jie yra įterpti tarp galutinių vartotojų (t. y. jūsų darbuotojų, naršančių žiniatinklyje) ir interneto, filtruojant kenkėjišką srautą. Šiandien rinkoje yra nemažai tokių gaminių, tačiau procesai iš esmės yra vienodi. HTTPS srautas praeina per tikrinimo įrenginį, kuriame jis iššifruojamas ir patikrinama, ar nėra kenkėjiškų programų.
Kai patvirtinimas baigtas, įrenginys sukuria naują SSL seansą su galutiniu klientu, kad iššifruotų ir iš naujo užšifruotų turinį.
Kaip veikia iššifravimo / pakartotinio šifravimo procesas
Kad SSL tikrinimo įrenginys iššifruotų ir iš naujo užšifruotų paketus prieš siųsdamas juos galutiniams vartotojams, jis turi turėti galimybę skrydžio metu išduoti SSL sertifikatus. Tai reiškia, kad jame turi būti įdiegtas CA sertifikatas.
Įmonei (arba bet kuriam kitam asmeniui) svarbu, kad naršyklės pasitikėtų šiais SSL sertifikatais (t. y. nesuaktyvintų baisių įspėjamųjų pranešimų, kaip nurodyta toliau). Todėl CA grandinė (arba hierarchija) turi būti naršyklės patikimumo saugykloje. Kadangi šie sertifikatai nėra išduoti iš viešai patikimų sertifikatų institucijų, turite rankiniu būdu paskirstyti CA hierarchiją visiems galutiniams klientams.
Įspėjimo pranešimas apie savarankiškai pasirašytą sertifikatą naršyklėje „Chrome“. Šaltinis:
„Windows“ kompiuteriuose galite naudoti „Active Directory“ ir „Group Policy“, tačiau mobiliuosiuose įrenginiuose procedūra yra sudėtingesnė.
Situacija tampa dar sudėtingesnė, jei reikia palaikyti kitus šakninius sertifikatus įmonės aplinkoje, pavyzdžiui, iš „Microsoft“ arba „OpenSSL“. Be to, privačių raktų apsauga ir valdymas, kad nė vienas raktas netikėtai nenutrūktų.
Geriausias pasirinkimas: privatus, skirtas šakninis sertifikatas iš trečiosios šalies CA
Jei kelių šaknų arba savarankiškai pasirašytų sertifikatų tvarkymas nėra patrauklus, yra kita galimybė: pasikliauti trečiosios šalies CA. Tokiu atveju sertifikatai išduodami nuo privatus CA, kuri yra susieta pasitikėjimo grandine su tam skirta privačia šaknine CA, sukurta specialiai įmonei.
Supaprastinta dedikuotų kliento šakninių sertifikatų architektūra
Ši sąranka pašalina kai kurias anksčiau minėtas problemas: bent jau sumažina šaknų, kurias reikia valdyti, skaičių. Čia galite naudoti tik vieną privačią šakninę teisę visiems vidiniams PKI poreikiams su bet kokiu tarpinių CA skaičiumi. Pavyzdžiui, aukščiau pateiktoje diagramoje pavaizduota kelių lygių hierarchija, kai viena iš tarpinių CA naudojama SSL patvirtinimui / iššifravimui, o kita naudojama vidiniams kompiuteriams (nešiojamiesiems kompiuteriams, serveriams, staliniams kompiuteriams ir kt.).
Taikant šį dizainą, nereikia priglobti visų klientų CA, nes aukščiausio lygio CA priegloba yra „GlobalSign“, kuri išsprendžia privataus rakto apsaugos ir galiojimo pabaigos problemas.
Kitas šio metodo privalumas yra galimybė dėl bet kokios priežasties atšaukti SSL tikrinimo instituciją. Vietoj to, tiesiog sukuriamas naujas, susietas su jūsų pradine privačia šaknimi, ir jūs galite nedelsdami ją naudoti.
Nepaisant visų prieštaravimų, įmonės vis dažniau diegia SSL srauto tikrinimą kaip savo vidinės ar privačios PKI infrastruktūros dalį. Kiti privataus PKI naudojimo būdai yra įrenginio arba vartotojo autentifikavimo sertifikatų išdavimas, vidinių serverių SSL ir įvairios konfigūracijos, kurios neleidžiamos viešuosiuose patikimuose sertifikatuose, kaip reikalauja CA / naršyklės forumas.
Naršyklės kovoja
Reikėtų pažymėti, kad naršyklių kūrėjai stengiasi atremti šią tendenciją ir apsaugoti galutinius vartotojus nuo MiTM. Pavyzdžiui, prieš kelias dienas „Mozilla“. Įgalinkite DoH (DNS-over-HTTPS) protokolą pagal numatytuosius nustatymus vienoje iš kitų „Firefox“ naršyklės versijų. DoH protokolas slepia DNS užklausas iš DPI sistemos, todėl SSL tikrinimas tampa sudėtingas.
Apie panašius planus 10 rugsėjo 2019 d „Google“, skirta „Chrome“ naršyklei.
Apklausoje gali dalyvauti tik registruoti vartotojai. , Prašau.
Kaip manote, ar įmonė turi teisę tikrinti savo darbuotojų SSL srautą?
-
Taip, su jų sutikimu
-
Ne, prašyti tokio sutikimo yra neteisėta ir (arba) neetiška
Balsavo 122 vartotojai. 15 vartotojų susilaikė.
Šaltinis: www.habr.com