Rojo fitokisana. CC BY-SA 4.0
Ny fanaraha-maso ny fifamoivoizana SSL (SSL/TLS decryption, SSL na DPI analysis) dia lasa lohahevitra mafana kokoa amin'ny resaka eo amin'ny sehatry ny orinasa. Toa mifanohitra amin'ny foto-kevitry ny kriptografika mihitsy ny hevitra momba ny famongorana ny fifamoivoizana. Na izany aza, zava-misy ny zava-misy: mihamaro ny orinasa mampiasa teknolojia DPI, manazava izany amin'ny alΓ lan'ny filΓ na manamarina ny votoaty momba ny malware, ny fivoahana data, sns.
Eny ary, raha manaiky ny zava-misy isika fa tsy maintsy ampiharina ny teknolojia toy izany, dia tokony handinika farafaharatsiny ny fomba hanaovana izany amin'ny fomba azo antoka indrindra sy tsara tantana. Farafaharatsiny, aza miantehitra amin'ireo fanamarinana ireo, ohatra, izay omen'ny mpamatsy rafitra DPI anao.
Misy lafiny iray aminβny fampiharana izay tsy fantatry ny rehetra. Raha ny marina dia maro ny olona no gaga rehefa mandre izany. Izy io dia fahefana fanamarinana tsy miankina (CA). Mamokatra mari-pankasitrahana izy io mba hamadika sy hamerenana indray ny fifamoivoizana.
Raha tokony hiantehitra amin'ny mari-pankasitrahana nosoniavin'ny tena na mari-pankasitrahana avy amin'ny fitaovana DPI ianao, dia azonao atao ny mampiasa CA natokana ho an'ny fahefana fanamarinana avy amin'ny antoko fahatelo toy ny GlobalSign. Fa aloha, andeha isika hanao topimaso kely momba ny olana.
Inona no atao hoe fanaraha-maso SSL ary nahoana izany no ampiasaina?
Mihabetsaka ny tranokalam-bahoaka mifindra mankany amin'ny HTTPS. Ohatra, araka ny , tamin'ny fiandohan'ny volana septambra 2019, nahatratra 83% ny ampahany amin'ny fifamoivoizana an-tsokosoko any Rosia.
Mampalahelo fa mihamaro ny fampiasan'ny mpanafika ny fanafenana fifamoivoizana, indrindra fa ny Let's Encrypt dia mizara mari-pankasitrahana SSL maimaim-poana an'arivony amin'ny fomba mandeha ho azy. Noho izany, ny HTTPS dia ampiasaina na aiza na aiza - ary ny padlock ao amin'ny bara adiresy navigateur dia nitsahatra tsy niasa ho famantarana azo antoka momba ny fiarovana.
Ny mpanamboatra vahaolana DPI dia mampiroborobo ny vokatra avy amin'ireo toerana ireo. Izy ireo dia tafiditra eo amin'ny mpampiasa farany (izany hoe ny mpiasanao mijery ny tranonkala) sy ny Internet, manivana ny fifamoivoizana ratsy. Betsaka ny vokatra toy izany eny an-tsena amin'izao fotoana izao, saingy ny dingana dia mitovy amin'ny ankapobeny. Ny fifamoivoizana HTTPS dia mandalo amin'ny fitaovana fanaraha-maso iray izay amboarina sy voamarin'ny malware.
Rehefa vita ny fanamarinana dia mamorona fivoriana SSL vaovao miaraka amin'ny mpanjifa farany ny fitaovana mba hamadika sy hamerenana ny atiny.
Ny fomba fiasan'ny fizotry ny decryption/re-encryption
Mba hahafahan'ny fitaovana fanaraha-maso SSL hamadika sy hamerenana indray ny fonosana alohan'ny handefasana azy ireo amin'ny mpampiasa farany, dia tsy maintsy afaka mamoaka mari-pankasitrahana SSL amin'ny lalitra izy. Midika izany fa tsy maintsy manana taratasy fanamarinana CA napetraka.
Zava-dehibe ho an'ny orinasa (na na iza na iza-eo afovoany) fa ireo mari-pankasitrahana SSL ireo dia atokisan'ny navigateur (izany hoe, aza manetsika hafatra fampitandremana mampatahotra toy ny etsy ambany). Noho izany, ny rojo CA (na ambaratonga) dia tsy maintsy ao amin'ny fivarotana fitokisana amin'ny navigateur. Satria tsy navoakan'ny tompon'andraikitra certificat atokisan'ny besinimaro ireo fanamarinana ireo, dia tsy maintsy zarainao amin'ny tanana ny ambaratongan'ny CA amin'ny mpanjifa farany rehetra.
Hafatra fampitandremana ho an'ny fanamarinana nosoniavin'ny tena ao amin'ny Chrome. Loharano:
Amin'ny solosaina Windows, azonao atao ny mampiasa Active Directory sy Group Policies, fa ho an'ny fitaovana finday dia sarotra kokoa ny fomba fiasa.
Vao mainka sarotra kokoa ny toe-javatra raha toa ka mila manohana ny mari-pamantarana faka hafa ao amin'ny tontolon'ny orinasa ianao, ohatra, avy amin'ny Microsoft, na miorina amin'ny OpenSSL. Miampy ny fiarovana sy ny fitantanana ny lakile privΓ© mba tsy ho lany andro tsy ampoizina ny fanalahidy rehetra.
Safidy tsara indrindra: mari-pankasitrahana faka tsy miankina, voatokana avy amin'ny CA antoko fahatelo
Raha toa ka tsy mahasarika ny fitantanana faka maro na fanamarinana nosoniavin'ny tena dia misy safidy hafa: miantehitra amin'ny CA an'ny antoko fahatelo. Amin'ity tranga ity, ny taratasy fanamarinana avy amin'ny manokana CA izay mifamatotra amin'ny rojo fitokisana amin'ny fakany manokana, tsy miankina CA noforonina manokana ho an'ny orinasa.
Architecture notsorina ho an'ny certificat root client natokana
Ity fametrahana ity dia manafoana ny sasany amin'ireo olana voalaza teo aloha: farafaharatsiny dia mampihena ny isan'ny fakany tokony hokarakaraina. Eto ianao dia afaka mampiasa fahefana faka tsy miankina iray ho an'ny filan'ny PKI anatiny rehetra, miaraka amin'ireo CA mpanelanelana. Ohatra, ny kisary etsy ambony dia mampiseho ambaratonga maromaro izay misy ny iray amin'ireo CA mpanelanelana ampiasaina amin'ny fanamarinana SSL / decryption ary ny iray hafa dia ampiasaina amin'ny solosaina anatiny (laptop, server, desktop, sns.).
Amin'ity famolavolana ity, tsy ilaina ny mampiantrano CA amin'ny mpanjifa rehetra satria ny CA ambony indrindra dia ampiantranoin'ny GlobalSign, izay mamaha ny olana momba ny fiarovana sy ny lany daty manokana.
Ny tombony hafa amin'ity fomba ity dia ny fahafahana manafoana ny fahefana mpanara-maso SSL na inona na inona antony. Fa kosa, misy vaovao noforonina fotsiny, izay mifamatotra amin'ny fakanao manokana tany am-boalohany, ary azonao ampiasaina avy hatrany.
Na eo aza ny resabe rehetra, ny orinasa dia mihamitombo hatrany ny fampiharana ny fanaraha-maso ny fifamoivoizana SSL ho ampahany amin'ny fotodrafitrasa PKI anatiny na manokana. Ny fampiasana hafa ho an'ny PKI tsy miankina dia ahitana ny famoahana mari-pankasitrahana ho an'ny fitaovana na fanamarinan'ny mpampiasa, SSL ho an'ny lohamilina anatiny, ary ny fanamafisam-peo isan-karazany izay tsy azo atao amin'ny fanamarinana atokisana ho an'ny daholobe araka izay takian'ny CA/Browser Forum.
Miady amin'ny navigateur
Marihina fa miezaka manohitra an'io fironana io ny mpamorona navigateur ary miaro ireo mpampiasa farany amin'ny MiTM. Ohatra, andro vitsivitsy lasa izay Mozilla Alefaso ny protocole DoH (DNS-over-HTTPS) amin'ny alΓ lan'ny default amin'ny iray amin'ireo dikan-tranonkala manaraka ao amin'ny Firefox. Ny protocole DoH dia manafina ny fangatahana DNS amin'ny rafitra DPI, manasarotra ny fisafoana SSL.
Momba ny drafitra mitovy amin'izany 10 septambra 2019 Google ho an'ny navigateur Chrome.
Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. Please.
Heverinao ve fa manan-jo hijery ny fifamoivoizana SSL ataon'ny mpiasany ny orinasa iray?
-
Eny, miaraka amin'ny faneken'izy ireo
-
Tsia, tsy ara-dalΓ na sy/na tsy ara-dalΓ na ny fangatahana fanekena toy izany
Mpampiasa 122 no nifidy. Mpampiasa 15 no nifady.
Source: www.habr.com