डीपीआय (एसएसएल तपासणी) क्रिप्टोग्राफीच्या विरूद्ध आहे, परंतु कंपन्या त्याची अंमलबजावणी करत आहेत

विश्वासाची साखळी. CC BY-SA 4.0 यानपास

कॉर्पोरेट क्षेत्रात SSL वाहतूक तपासणी (SSL/TLS डिक्रिप्शन, SSL किंवा DPI विश्लेषण) हा चर्चेचा विषय बनत आहे. ट्रॅफिक डिक्रिप्ट करण्याची कल्पना क्रिप्टोग्राफीच्या अगदी कल्पनेच्या विरोधाभासी दिसते. तथापि, वस्तुस्थिती ही वस्तुस्थिती आहे: अधिकाधिक कंपन्या डीपीआय तंत्रज्ञान वापरत आहेत, मालवेअर, डेटा लीक इत्यादींसाठी सामग्री तपासण्याची आवश्यकता याद्वारे स्पष्ट करतात.

ठीक आहे, जर आपण हे सत्य स्वीकारले की अशा तंत्रज्ञानाची अंमलबजावणी करणे आवश्यक आहे, तर आपण ते शक्य तितक्या सुरक्षित आणि सर्वात चांगल्या प्रकारे व्यवस्थापित करण्याच्या मार्गांचा विचार केला पाहिजे. किमान त्या प्रमाणपत्रांवर अवलंबून राहू नका, उदाहरणार्थ, DPI सिस्टम पुरवठादार तुम्हाला देतो.

अंमलबजावणीचा एक पैलू आहे ज्याबद्दल सर्वांनाच माहिती नाही. खरं तर, जेव्हा ते याबद्दल ऐकतात तेव्हा बरेच लोक आश्चर्यचकित होतात. हे खाजगी प्रमाणन प्राधिकरण (CA) आहे. हे ट्रॅफिक डिक्रिप्ट आणि री-एनक्रिप्ट करण्यासाठी प्रमाणपत्रे व्युत्पन्न करते.

स्वयं-स्वाक्षरी केलेल्या प्रमाणपत्रांवर किंवा DPI डिव्हाइसेसवरील प्रमाणपत्रांवर अवलंबून राहण्याऐवजी, तुम्ही ग्लोबलसाइन सारख्या तृतीय-पक्ष प्रमाणपत्र प्राधिकरणाकडून समर्पित CA वापरू शकता. परंतु प्रथम, समस्येचे स्वतःचे थोडे विहंगावलोकन करूया.

SSL तपासणी म्हणजे काय आणि ते का वापरले जाते?

अधिकाधिक सार्वजनिक वेबसाइट HTTPS वर जात आहेत. उदाहरणार्थ, त्यानुसार Chrome आकडेवारी, सप्टेंबर 2019 च्या सुरूवातीस, रशियामधील एनक्रिप्टेड रहदारीचा वाटा 83% पर्यंत पोहोचला.

दुर्दैवाने, ट्रॅफिक एन्क्रिप्शनचा वापर हल्लेखोरांद्वारे वाढत्या प्रमाणात होत आहे, विशेषत: लेट्स एन्क्रिप्ट हजारो विनामूल्य SSL प्रमाणपत्रे स्वयंचलित पद्धतीने वितरीत करत असल्याने. अशा प्रकारे, HTTPS सर्वत्र वापरले जाते - आणि ब्राउझर अॅड्रेस बारमधील पॅडलॉक सुरक्षिततेचे विश्वसनीय सूचक म्हणून काम करणे थांबवले आहे.

डीपीआय सोल्यूशन्सचे उत्पादक या पदांवरून त्यांच्या उत्पादनांचा प्रचार करतात. ते अंतिम वापरकर्ते (म्हणजे वेब ब्राउझ करणारे तुमचे कर्मचारी) आणि इंटरनेट दरम्यान एम्बेड केलेले आहेत, दुर्भावनापूर्ण रहदारी फिल्टर करतात. आज बाजारात अशी अनेक उत्पादने आहेत, परंतु प्रक्रिया मूलत: सारख्याच आहेत. HTTPS ट्रॅफिक एका तपासणी उपकरणातून जातो जेथे ते डिक्रिप्ट केले जाते आणि मालवेअरसाठी तपासले जाते.

पडताळणी पूर्ण झाल्यावर, डिव्हाइस अंतिम क्लायंटसह सामग्री डिक्रिप्ट आणि पुन्हा-एनक्रिप्ट करण्यासाठी नवीन SSL सत्र तयार करते.

डिक्रिप्शन/री-एनक्रिप्शन प्रक्रिया कशी कार्य करते

अंतिम वापरकर्त्यांना पॅकेट पाठवण्यापूर्वी SSL तपासणी उपकरणे डिक्रिप्ट आणि री-एनक्रिप्ट करण्यासाठी, ते फ्लायवर SSL प्रमाणपत्रे जारी करण्यास सक्षम असणे आवश्यक आहे. याचा अर्थ CA प्रमाणपत्र स्थापित केलेले असणे आवश्यक आहे.

कंपनीसाठी (किंवा मध्यभागी असलेल्या) हे SSL प्रमाणपत्रे ब्राउझरद्वारे विश्वसनीय आहेत हे महत्त्वाचे आहे (म्हणजे, खाली दिलेल्या सारखे भयानक चेतावणी संदेश ट्रिगर करू नका). म्हणून CA चेन (किंवा पदानुक्रम) ब्राउझरच्या ट्रस्ट स्टोअरमध्ये असणे आवश्यक आहे. ही प्रमाणपत्रे सार्वजनिकरित्या विश्वसनीय प्रमाणपत्र प्राधिकरणांकडून जारी केली जात नसल्यामुळे, तुम्ही सर्व अंतिम क्लायंटना CA पदानुक्रम व्यक्तिचलितपणे वितरित करणे आवश्यक आहे.

Chrome मध्ये स्व-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी चेतावणी संदेश. स्रोत: BadSSL.com

Windows संगणकांवर, आपण सक्रिय निर्देशिका आणि गट धोरणे वापरू शकता, परंतु मोबाइल डिव्हाइससाठी प्रक्रिया अधिक क्लिष्ट आहे.

जर तुम्हाला कॉर्पोरेट वातावरणात, उदाहरणार्थ, Microsoft कडून किंवा OpenSSL वर आधारित इतर रूट प्रमाणपत्रांना समर्थन देण्याची आवश्यकता असेल तर परिस्थिती आणखी गुंतागुंतीची बनते. तसेच खाजगी की चे संरक्षण आणि व्यवस्थापन जेणेकरून कोणतीही की अनपेक्षितपणे कालबाह्य होणार नाही.

सर्वोत्तम पर्याय: तृतीय पक्ष CA कडून खाजगी, समर्पित रूट प्रमाणपत्र

एकाधिक रूट्स किंवा स्व-स्वाक्षरी केलेली प्रमाणपत्रे व्यवस्थापित करणे आकर्षक नसल्यास, दुसरा पर्याय आहे: तृतीय-पक्ष CA वर अवलंबून राहणे. या प्रकरणात, पासून प्रमाणपत्र जारी केले जातात खाजगी एक CA जो कंपनीसाठी खास तयार केलेल्या समर्पित, खाजगी रूट CA शी विश्वासाच्या साखळीत जोडलेला आहे.

समर्पित क्लायंट रूट प्रमाणपत्रांसाठी सरलीकृत आर्किटेक्चर

हे सेटअप आधी नमूद केलेल्या काही समस्या दूर करते: कमीतकमी ते व्यवस्थापित करणे आवश्यक असलेल्या मुळांची संख्या कमी करते. येथे तुम्ही कोणत्याही इंटरमीडिएट CA सह सर्व अंतर्गत PKI गरजांसाठी फक्त एक खाजगी रूट अधिकार वापरू शकता. उदाहरणार्थ, वरील आकृती बहु-स्तरीय पदानुक्रम दर्शविते जेथे मध्यवर्ती CAs पैकी एक SSL पडताळणी/डिक्रिप्शनसाठी वापरला जातो आणि दुसरा अंतर्गत संगणकांसाठी (लॅपटॉप, सर्व्हर, डेस्कटॉप इ.) वापरला जातो.

या डिझाइनमध्ये, सर्व क्लायंटवर CA होस्ट करण्याची आवश्यकता नाही कारण उच्च-स्तरीय CA ग्लोबलसाइनद्वारे होस्ट केले जाते, जे खाजगी की संरक्षण आणि कालबाह्य समस्यांचे निराकरण करते.

या दृष्टिकोनाचा आणखी एक फायदा म्हणजे कोणत्याही कारणास्तव SSL तपासणी प्राधिकरण रद्द करण्याची क्षमता. त्याऐवजी, एक नवीन तयार केले जाते, जे तुमच्या मूळ खाजगी मुळाशी जोडलेले असते आणि तुम्ही ते लगेच वापरू शकता.

सर्व विवाद असूनही, एंटरप्राइझ त्यांच्या अंतर्गत किंवा खाजगी PKI पायाभूत सुविधांचा भाग म्हणून SSL रहदारी तपासणी वाढवत आहेत. खाजगी PKI साठी इतर वापरांमध्ये डिव्हाइस किंवा वापरकर्ता प्रमाणीकरण, अंतर्गत सर्व्हरसाठी SSL आणि CA/ब्राउझर फोरमद्वारे आवश्यक असलेल्या सार्वजनिक विश्वसनीय प्रमाणपत्रांमध्ये परवानगी नसलेल्या विविध कॉन्फिगरेशनसाठी प्रमाणपत्रे जारी करणे समाविष्ट आहे.

ब्राउझर परत लढत आहेत

हे लक्षात घ्यावे की ब्राउझर डेव्हलपर या ट्रेंडचा प्रतिकार करण्याचा आणि अंतिम वापरकर्त्यांना MiTM पासून संरक्षण करण्याचा प्रयत्न करीत आहेत. उदाहरणार्थ, काही दिवसांपूर्वी Mozilla निर्णय घेतला Firefox मधील पुढील ब्राउझर आवृत्तींपैकी एकामध्ये डीफॉल्टनुसार DoH (DNS-over-HTTPS) प्रोटोकॉल सक्षम करा. DoH प्रोटोकॉल DPI सिस्टीममधून DNS क्वेरी लपवते, ज्यामुळे SSL तपासणी कठीण होते.

10 सप्टेंबर 2019 रोजी तत्सम योजनांबद्दल घोषणा केली Chrome ब्राउझरसाठी Google.

केवळ नोंदणीकृत वापरकर्तेच सर्वेक्षणात भाग घेऊ शकतात. साइन इन करा, आपले स्वागत आहे.

तुम्हाला असे वाटते का की कंपनीला तिच्या कर्मचाऱ्यांच्या SSL रहदारीची तपासणी करण्याचा अधिकार आहे?

• होय, त्यांच्या संमतीने

• नाही, अशी संमती मागणे बेकायदेशीर आणि/किंवा अनैतिक आहे

122 वापरकर्त्यांनी मतदान केले. 15 वापरकर्ते दूर राहिले.

स्त्रोत: www.habr.com