Rantaian amanah. CC BY-SA 4.0
Pemeriksaan trafik SSL (penyahsulitan SSL/TLS, analisis SSL atau DPI) menjadi topik perbincangan yang semakin hangat dalam sektor korporat. Idea menyahsulit lalu lintas nampaknya bercanggah dengan konsep kriptografi. Walau bagaimanapun, hakikatnya adalah fakta: semakin banyak syarikat menggunakan teknologi DPI, menjelaskannya dengan keperluan untuk menyemak kandungan untuk perisian hasad, kebocoran data, dll.
Nah, jika kita menerima hakikat bahawa teknologi sedemikian perlu dilaksanakan, maka kita harus sekurang-kurangnya mempertimbangkan cara untuk melakukannya dengan cara yang paling selamat dan paling terurus yang mungkin. Sekurang-kurangnya jangan bergantung pada sijil tersebut, sebagai contoh, yang pembekal sistem DPI berikan kepada anda.
Terdapat satu aspek pelaksanaan yang tidak semua orang tahu. Malah, ramai yang terkejut apabila mendengarnya. Ini ialah pihak berkuasa pensijilan swasta (CA). Ia menjana sijil untuk menyahsulit dan menyulitkan semula trafik.
Daripada bergantung pada sijil atau sijil yang ditandatangani sendiri daripada peranti DPI, anda boleh menggunakan CA khusus daripada pihak berkuasa sijil pihak ketiga seperti GlobalSign. Tetapi pertama, mari kita buat sedikit gambaran tentang masalah itu sendiri.
Apakah pemeriksaan SSL dan mengapa ia digunakan?
Semakin banyak tapak web awam beralih ke HTTPS. Sebagai contoh, menurut , pada awal September 2019, bahagian trafik yang disulitkan di Rusia mencapai 83%.
Malangnya, penyulitan trafik semakin digunakan oleh penyerang, terutamanya sejak Let's Encrypt mengedarkan beribu-ribu sijil SSL percuma secara automatik. Oleh itu, HTTPS digunakan di mana-mana - dan gembok dalam bar alamat penyemak imbas telah tidak lagi berfungsi sebagai penunjuk keselamatan yang boleh dipercayai.
Pengeluar penyelesaian DPI mempromosikan produk mereka dari kedudukan ini. Ia dibenamkan antara pengguna akhir (iaitu pekerja anda menyemak imbas web) dan Internet, menapis trafik berniat jahat. Terdapat beberapa produk sedemikian di pasaran hari ini, tetapi prosesnya pada asasnya sama. Trafik HTTPS melalui peranti pemeriksaan di mana ia dinyahsulit dan diperiksa untuk perisian hasad.
Setelah pengesahan selesai, peranti mencipta sesi SSL baharu dengan pelanggan akhir untuk menyahsulit dan menyulitkan semula kandungan.
Bagaimana proses penyahsulitan/penyulitan semula berfungsi
Untuk membolehkan alat pemeriksaan SSL menyahsulit dan menyulitkan semula paket sebelum menghantarnya kepada pengguna akhir, ia mesti boleh mengeluarkan sijil SSL dengan segera. Ini bermakna bahawa ia mesti mempunyai sijil CA dipasang.
Adalah penting bagi syarikat (atau sesiapa sahaja di tengah-tengah) bahawa sijil SSL ini dipercayai oleh penyemak imbas (iaitu, jangan mencetuskan mesej amaran yang menakutkan seperti yang di bawah). Oleh itu rantaian CA (atau hierarki) mesti berada dalam stor amanah penyemak imbas. Oleh kerana sijil ini tidak dikeluarkan daripada pihak berkuasa sijil yang dipercayai awam, anda mesti mengedarkan hierarki CA secara manual kepada semua pelanggan akhir.
Mesej amaran untuk sijil yang ditandatangani sendiri dalam Chrome. Sumber:
Pada komputer Windows, anda boleh menggunakan Direktori Aktif dan Dasar Kumpulan, tetapi untuk peranti mudah alih prosedurnya lebih rumit.
Keadaan menjadi lebih rumit jika anda perlu menyokong sijil akar lain dalam persekitaran korporat, contohnya, daripada Microsoft, atau berdasarkan OpenSSL. Ditambah dengan perlindungan dan pengurusan kunci persendirian supaya mana-mana kunci tidak luput secara tiba-tiba.
Pilihan terbaik: peribadi, sijil akar khusus daripada CA pihak ketiga
Jika mengurus berbilang akar atau sijil yang ditandatangani sendiri tidak menarik, terdapat pilihan lain: bergantung pada CA pihak ketiga. Dalam kes ini, sijil dikeluarkan daripada persendirian CA yang dipautkan dalam rantaian amanah kepada CA akar persendirian khusus yang dibuat khusus untuk syarikat itu.
Seni bina ringkas untuk sijil akar pelanggan khusus
Persediaan ini menghapuskan beberapa masalah yang dinyatakan sebelum ini: sekurang-kurangnya ia mengurangkan bilangan akar yang perlu diuruskan. Di sini anda boleh menggunakan hanya satu kuasa akar persendirian untuk semua keperluan PKI dalaman, dengan sebarang bilangan CA perantaraan. Sebagai contoh, rajah di atas menunjukkan hierarki berbilang peringkat di mana salah satu CA perantaraan digunakan untuk pengesahan/penyahsulitan SSL dan satu lagi digunakan untuk komputer dalaman (komputer riba, pelayan, desktop, dll.).
Dalam reka bentuk ini, tidak perlu mengehoskan CA pada semua pelanggan kerana CA peringkat teratas dihoskan oleh GlobalSign, yang menyelesaikan isu perlindungan dan tamat tempoh kunci persendirian.
Satu lagi kelebihan pendekatan ini ialah keupayaan untuk membatalkan pihak berkuasa pemeriksaan SSL atas sebarang sebab. Sebaliknya, yang baharu hanya dibuat, yang terikat pada akar persendirian asal anda, dan anda boleh menggunakannya serta-merta.
Di sebalik semua kontroversi, perusahaan semakin melaksanakan pemeriksaan trafik SSL sebagai sebahagian daripada infrastruktur PKI dalaman atau persendirian mereka. Kegunaan lain untuk PKI persendirian termasuk mengeluarkan sijil untuk pengesahan peranti atau pengguna, SSL untuk pelayan dalaman dan pelbagai konfigurasi yang tidak dibenarkan dalam sijil dipercayai awam seperti yang diperlukan oleh Forum CA/Pelayar.
Pelayar melawan
Perlu diingatkan bahawa pembangun penyemak imbas cuba menentang trend ini dan melindungi pengguna akhir daripada MiTM. Contohnya, beberapa hari lalu Mozilla Dayakan protokol DoH (DNS-over-HTTPS) secara lalai dalam salah satu versi penyemak imbas seterusnya dalam Firefox. Protokol DoH menyembunyikan pertanyaan DNS daripada sistem DPI, menyukarkan pemeriksaan SSL.
Mengenai rancangan serupa 10 September 2019 Google untuk penyemak imbas Chrome.
Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. , Sama-sama.
Adakah anda fikir syarikat mempunyai hak untuk memeriksa trafik SSL pekerjanya?
-
Ya, dengan persetujuan mereka
-
Tidak, meminta persetujuan sedemikian adalah menyalahi undang-undang dan/atau tidak beretika
122 pengguna telah mengundi. 15 pengguna berpantang.
Sumber: www.habr.com