Итгэлийн гинж. CC BY-SA 4.0
SSL замын хөдөлгөөний шалгалт (SSL/TLS код тайлах, SSL эсвэл DPI шинжилгээ) нь корпорацийн салбарт улам бүр халуун ярианы сэдэв болж байна. Траффикийг тайлах санаа нь криптографийн тухай ойлголттой зөрчилдөж байх шиг байна. Гэсэн хэдий ч баримт бол баримт юм: улам олон компаниуд DPI технологийг ашиглаж байгаа бөгөөд үүнийг агуулгыг хортой программ хангамж, мэдээлэл алдагдсан гэх мэт шалгах шаардлагатай гэж тайлбарлаж байна.
Хэрэв бид ийм технологийг хэрэгжүүлэх шаардлагатай гэдгийг хүлээн зөвшөөрч байгаа бол үүнийг хамгийн аюулгүй, хамгийн сайн менежменттэй хийх арга замыг ядаж бодох хэрэгтэй. Наад зах нь DPI системийн нийлүүлэгчийн өгдөг эдгээр гэрчилгээнд бүү найд.
Хэрэгжилтийн нэг тал бий бөгөөд үүнийг хүн бүр мэддэггүй. Ер нь олон хүн энэ тухай сонсоод үнэхээр гайхдаг. Энэ бол хувийн гэрчилгээжүүлэх байгууллага (CA). Энэ нь траффикийн кодыг тайлж, дахин шифрлэх гэрчилгээг үүсгэдэг.
Өөрөө гарын үсэг зурсан гэрчилгээ эсвэл DPI төхөөрөмжүүдийн гэрчилгээнд найдахын оронд GlobalSign зэрэг гуравдагч талын гэрчилгээжүүлэлтийн байгууллагаас тусгайлан зориулсан CA ашиглаж болно. Гэхдээ эхлээд асуудлынхаа талаар бага зэрэг тоймлон үзье.
SSL шалгалт гэж юу вэ, яагаад үүнийг ашигладаг вэ?
Илүү олон нийтийн вэбсайтууд HTTPS руу шилжиж байна. Жишээлбэл, дагуу , 2019 оны 83-р сарын эхээр ОХУ-д шифрлэгдсэн траффикийн эзлэх хувь XNUMX%-д хүрсэн байна.
Харамсалтай нь, "Let's Encrypt" нь мянга мянган үнэгүй SSL сертификатуудыг автоматаар тарааснаас хойш халдагчид траффикийн шифрлэлтийг улам ихээр ашиглаж байна. Тиймээс HTTPS-ийг хаа сайгүй ашигладаг бөгөөд хөтчийн хаягийн талбар дахь цоож нь аюулгүй байдлын найдвартай үзүүлэлт болж ажиллахаа больсон.
DPI шийдлийн үйлдвэрлэгчид эдгээр байр сууринаас бүтээгдэхүүнээ сурталчилдаг. Эдгээр нь эцсийн хэрэглэгчид (жишээ нь вэб хуудсыг үзэж буй танай ажилтнууд) болон интернетийн хооронд суулгаж, хортой урсгалыг шүүдэг. Өнөөдөр зах зээл дээр ийм олон төрлийн бүтээгдэхүүн байдаг боловч үйл явц нь үндсэндээ ижил байдаг. HTTPS траффик нь хяналтын төхөөрөмжөөр дамждаг бөгөөд үүнийг тайлж, хортой програм байгаа эсэхийг шалгадаг.
Баталгаажуулж дууссаны дараа төхөөрөмж нь контентыг тайлж дахин шифрлэхийн тулд эцсийн үйлчлүүлэгчтэй шинэ SSL сесс үүсгэдэг.
Шифрийг тайлах/дахин шифрлэх процесс хэрхэн ажилладаг
SSL хяналтын төхөөрөмж нь пакетуудыг эцсийн хэрэглэгчдэд илгээхээсээ өмнө шифрлэж, дахин шифрлэхийн тулд SSL гэрчилгээг шууд гаргах боломжтой байх ёстой. Энэ нь CA гэрчилгээ суулгасан байх ёстой гэсэн үг юм.
Компанийн хувьд (эсвэл дунд нь хэн ч байсан) эдгээр SSL сертификатууд нь хөтчүүдээр найдвартай байх нь чухал юм (өөрөөр хэлбэл доорх шиг аймшигтай анхааруулах мессежийг бүү өдөөх). Тиймээс CA сүлжээ (эсвэл шатлал) нь хөтчийн итгэмжлэгдсэн дэлгүүрт байх ёстой. Эдгээр гэрчилгээг олон нийтэд итгэмжлэгдсэн гэрчилгээний байгууллагаас олгоогүй тул та CA шатлалыг бүх эцсийн үйлчлүүлэгчдэд гараар тараах ёстой.
Chrome дахь өөрөө гарын үсэг зурсан гэрчилгээний анхааруулах мессеж. Эх сурвалж:
Windows компьютер дээр та Active Directory болон Group Policies ашиглаж болно, гэхдээ хөдөлгөөнт төхөөрөмжүүдийн хувьд процедур нь илүү төвөгтэй байдаг.
Хэрэв та корпорацийн орчинд, жишээлбэл, Microsoft-оос эсвэл OpenSSL дээр суурилсан бусад эх гэрчилгээг дэмжих шаардлагатай бол нөхцөл байдал бүр ч төвөгтэй болно. Дээрээс нь хувийн түлхүүрүүдийн хамгаалалт, менежментийн ачаар аль нэг түлхүүрийн хугацаа гэнэт дуусахгүй.
Хамгийн сайн сонголт: гуравдагч талын CA-аас хувийн, зориулалтын эх гэрчилгээ
Хэрэв олон үндэс эсвэл өөрөө гарын үсэг зурсан гэрчилгээг удирдах нь сонирхол татахуйц биш бол өөр нэг сонголт бий: гуравдагч талын CA-д найдах. Энэ тохиолдолд гэрчилгээг хэнээс олгодог хувийн Тус компанид тусгайлан үүсгэсэн тусгайлан зориулсан, хувийн эх CA-тай итгэлцлийн гинжин хэлхээнд холбогдсон CA.
Зориулалтын үйлчлүүлэгчийн үндсэн гэрчилгээнд зориулсан хялбаршуулсан архитектур
Энэ тохиргоо нь өмнө дурдсан зарим асуудлуудыг арилгадаг: наад зах нь энэ нь зохицуулах шаардлагатай үндэс тоог бууруулдаг. Энд та ямар ч тооны завсрын CA-тай бүх дотоод PKI хэрэгцээнд зориулж зөвхөн нэг хувийн эх эрхийг ашиглаж болно. Жишээлбэл, дээрх диаграм нь олон түвшний шатлалыг харуулж байгаа бөгөөд завсрын CA-уудын нэг нь SSL баталгаажуулалт/шифр тайлахад, нөгөө нь дотоод компьютерт (зөөврийн компьютер, сервер, ширээний компьютер гэх мэт) ашиглагддаг.
Энэхүү загварт CA-г бүх үйлчлүүлэгчид байршуулах шаардлагагүй, учир нь дээд түвшний CA нь хувийн түлхүүрийн хамгаалалт болон хугацаа дуусах асуудлыг шийддэг GlobalSign-д байрладаг.
Энэ аргын өөр нэг давуу тал нь SSL шалгалтын эрх мэдлийг ямар ч шалтгаанаар хүчингүй болгох чадвар юм. Үүний оронд таны анхны хувийн язгууртай холбогдсон шинийг үүсгэсэн бөгөөд та үүнийг шууд ашиглах боломжтой.
Бүх маргаантай байсан ч аж ахуйн нэгжүүд өөрсдийн дотоод болон хувийн PKI дэд бүтцийн нэг хэсэг болгон SSL замын хяналт шалгалтыг улам бүр хэрэгжүүлж байна. Хувийн PKI-ийн бусад хэрэглээнд төхөөрөмж эсвэл хэрэглэгчийн баталгаажуулалтын гэрчилгээ олгох, дотоод серверт зориулсан SSL, CA/Browser форумын шаардсан олон нийтийн итгэмжлэгдсэн гэрчилгээнд зөвшөөрөгдөөгүй янз бүрийн тохиргоо орно.
Хөтөчүүд эсэргүүцэж байна
Хөтөч хөгжүүлэгчид энэ чиг хандлагыг эсэргүүцэж, эцсийн хэрэглэгчдийг MiTM-ээс хамгаалахыг хичээж байгааг тэмдэглэх нь зүйтэй. Жишээлбэл, хэдхэн хоногийн өмнө Mozilla Firefox-н дараагийн хөтчийн хувилбаруудын аль нэгэнд DoH (DNS-over-HTTPS) протоколыг анхдагчаар идэвхжүүлнэ үү. DoH протокол нь DPI системээс DNS асуулгыг нууж, SSL шалгалтыг хэцүү болгодог.
Үүнтэй төстэй төлөвлөгөөний тухай 10 оны 2019-р сарын XNUMX Chrome хөтөчийн Google.
Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. , гуйя.
Компани нь ажилчдынхаа SSL урсгалыг шалгах эрхтэй гэж та бодож байна уу?
-
Тийм ээ, тэдний зөвшөөрлөөр
-
Үгүй, ийм зөвшөөрөл хүсэх нь хууль бус ба/эсвэл ёс зүйгүй юм
122 хэрэглэгч санал өгсөн. 15 хэрэглэгч түдгэлзсэн.
Эх сурвалж: www.habr.com