DPI (SSL စစ်ဆေးခြင်း) သည် cryptography ၏ အစေ့အဆန်များကို ဆန့်ကျင်သော်လည်း ကုမ္ပဏီများက ၎င်းကို အကောင်အထည်ဖော်နေပါသည်။

ယုံကြည်မှုကွင်းဆက်။ CC BY-SA 4.0 Yanpas

SSL အသွားအလာစစ်ဆေးခြင်း (SSL/TLS ကုဒ်ဝှက်ခြင်း၊ SSL သို့မဟုတ် DPI ခွဲခြမ်းစိတ်ဖြာခြင်း) သည် ကော်ပိုရိတ်ကဏ္ဍတွင် ဆွေးနွေးမှု၏ ပိုပူပြင်းသော အကြောင်းအရာတစ်ခု ဖြစ်လာနေသည်။ အသွားအလာကို ကုဒ်ဝှက်ခြင်း၏ အယူအဆသည် cryptography သဘောတရားနှင့် ဆန့်ကျင်နေပုံရသည်။ သို့သော်၊ အမှန်မှာ အမှန်ဖြစ်သည်- ကုမ္ပဏီများသည် မဲလ်ဝဲ၊ ဒေတာပေါက်ကြားမှုများ၊ စသည်တို့အတွက် အကြောင်းအရာများကို စစ်ဆေးရန် လိုအပ်သဖြင့် ၎င်းကို ရှင်းပြထားသည့် ကုမ္ပဏီများသည် DPI နည်းပညာများကို ပိုများလာစေသည်။

ကောင်းပြီ၊ ထိုသို့သောနည်းပညာကို အကောင်အထည်ဖော်ရန် လိုအပ်သည်ဟူသောအချက်ကို ကျွန်ုပ်တို့လက်ခံပါက၊ ဖြစ်နိုင်သမျှ အလုံခြုံဆုံးနှင့် အကောင်းမွန်ဆုံး စီမံခန့်ခွဲနိုင်သည့် နည်းလမ်းများကို အနည်းဆုံး စဉ်းစားသင့်ပါသည်။ ဥပမာအားဖြင့်၊ DPI စနစ် ပေးသွင်းသူက သင့်အား ပေးသည့် အဆိုပါ လက်မှတ်များကို အနည်းဆုံး အားမကိုးပါနှင့်။

အကောင်အထည်ဖော်မှုမှာ လူတိုင်းမသိနိုင်တဲ့ ကဏ္ဍတစ်ခုရှိပါတယ်။ တကယ်တော့ လူတော်တော်များများက အဲဒီအကြောင်းကို ကြားလိုက်ရရင် တကယ်ကို အံ့သြသွားကြပါတယ်။ ၎င်းသည် ပုဂ္ဂလိက အသိအမှတ်ပြု အာဏာပိုင် (CA) ဖြစ်သည်။ ၎င်းသည် အသွားအလာကို စာဝှက်နှင့် ပြန်လည်ကုဒ်ဝှက်ရန် လက်မှတ်များကို ထုတ်ပေးသည်။

DPI စက်များမှ ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်များ သို့မဟုတ် လက်မှတ်များကို အားကိုးမည့်အစား၊ GlobalSign ကဲ့သို့သော ပြင်ပအဖွဲ့အစည်း အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်ထံမှ သီးသန့် CA ကို သင်သုံးနိုင်သည်။ ဒါပေမယ့် ပထမဦးစွာ၊ ပြဿနာရဲ့ ခြုံငုံသုံးသပ်ချက်ကို နည်းနည်းလုပ်ကြည့်ရအောင်။

SSL စစ်ဆေးခြင်းဆိုတာ ဘာလဲ၊ ဘာကြောင့် အသုံးပြုတာလဲ။

အများသူငှာ ဝဘ်ဆိုဒ်များသည် HTTPS သို့ ပြောင်းရွှေ့လာသည်နှင့်အမျှ ပိုများလာပါသည်။ ဥပမာအားဖြင့်၊ Chrome စာရင်းဇယား2019 ခုနှစ် စက်တင်ဘာလအစတွင်၊ ရုရှားတွင် ကုဒ်ဝှက်ထားသော အသွားအလာဝေစုသည် 83% သို့ရောက်ရှိခဲ့သည်။

ကံမကောင်းစွာဖြင့်၊ အထူးသဖြင့် Let's Encrypt သည် အခမဲ့ SSL လက်မှတ်များကို အလိုအလျောက်စနစ်ဖြင့် ထောင်ပေါင်းများစွာသော အခမဲ့ SSL လက်မှတ်များကို ဖြန့်ဝေပေးသောကြောင့် တိုက်ခိုက်သူများသည် လမ်းကြောင်းကုဒ်ဝှက်ခြင်းကို ပိုမိုအသုံးပြုလာပါသည်။ ထို့ကြောင့် HTTPS ကို နေရာတိုင်းတွင် အသုံးပြုသည် - နှင့် ဘရောက်ဆာလိပ်စာဘားရှိ သော့ခလောက်သည် လုံခြုံရေးအတွက် ယုံကြည်စိတ်ချရသော ညွှန်ပြချက်တစ်ခုအဖြစ် အသုံးမပြုတော့ပါ။

DPI ဖြေရှင်းချက်ထုတ်လုပ်သူများသည် ၎င်းတို့၏ထုတ်ကုန်များကို ဤရာထူးများမှ မြှင့်တင်ကြသည်။ ၎င်းတို့သည် အဆုံးအသုံးပြုသူများ (ဆိုလိုသည်မှာ ဝဘ်ကိုရှာဖွေနေသည့် သင့်ဝန်ထမ်းများ) နှင့် အင်တာနက်ကြားတွင် မြှုပ်နှံထားပြီး အန္တရာယ်ရှိသော လမ်းကြောင်းများကို စစ်ထုတ်ပါသည်။ ယနေ့စျေးကွက်တွင်ထိုကဲ့သို့သောထုတ်ကုန်အများအပြားရှိပါတယ်, ဒါပေမယ့်လုပ်ငန်းစဉ်များအခြေခံအားဖြင့်အတူတူပင်ဖြစ်ကြသည်။ HTTPS လမ်းကြောင်းသည် ၎င်းကို ကုဒ်ဝှက်ပြီး မဲလ်ဝဲအတွက် စစ်ဆေးထားသည့် စစ်ဆေးရေးစက်မှတဆင့် ဖြတ်သန်းသည်။

အတည်ပြုခြင်းပြီးသည်နှင့်၊ စက်ပစ္စည်းသည် အကြောင်းအရာကို ကုဒ်ဝှက်ပြီး ပြန်လည်ကုဒ်ဝှက်ရန်အတွက် အဆုံးဖောက်သည်ဖြင့် SSL စက်ရှင်အသစ်ကို ဖန်တီးပေးပါသည်။

ကုဒ်ဝှက်ခြင်း/ပြန်လည် ကုဒ်ဝှက်ခြင်း လုပ်ငန်းစဉ် မည်သို့ အလုပ်လုပ်သည်

SSL စစ်ဆေးရေးကိရိယာသည် ၎င်းတို့ကို သုံးစွဲသူများထံ မပို့မီ ပက်ကေ့ဂျ်များကို စာဝှက်နှင့် ပြန်လည်ကုဒ်ဝှက်ရန်အတွက် SSL လက်မှတ်များကို အမြန်ထုတ်နိုင်ရပါမည်။ ဆိုလိုသည်မှာ ၎င်းတွင် CA လက်မှတ်တစ်ခု ထည့်သွင်းထားရပါမည်။

ဤ SSL လက်မှတ်များကို ဘရောက်ဆာများက ယုံကြည်သည် (ဥပမာ၊ အောက်ဖော်ပြပါကဲ့သို့ ကြောက်စရာကောင်းသော သတိပေးစာများကို မစတင်ပါနှင့်) ကုမ္ပဏီ (သို့မဟုတ်) အလယ်အလတ်ရှိ မည်သူမဆိုအတွက် အရေးကြီးပါသည်။ ထို့ကြောင့် CA ကွင်းဆက် (သို့မဟုတ် အထက်တန်းအဆင့်) သည် ဘရောက်ဆာ၏ ယုံကြည်စိတ်ချရသောစတိုးတွင် ရှိနေရပါမည်။ ဤလက်မှတ်များကို အများသူငှာ ယုံကြည်ရသော လက်မှတ်အာဏာပိုင်များထံမှ ထုတ်ပေးခြင်းမဟုတ်သောကြောင့်၊ သင်သည် CA ၏ အထက်တန်းအဆင့်ကို အဆုံးဖောက်သည်များအားလုံးထံ ကိုယ်တိုင်ဖြန့်ဝေရပါမည်။

Chrome တွင် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်အတွက် သတိပေးစာ။ အရင်းအမြစ်- BadSSL.com

Windows ကွန်ပျူတာများတွင် Active Directory နှင့် Group Policies များကို သုံးနိုင်သော်လည်း မိုဘိုင်းလ်စက်ပစ္စည်းများအတွက် လုပ်ထုံးလုပ်နည်းမှာ ပိုမိုရှုပ်ထွေးပါသည်။

ဥပမာ၊ Microsoft မှ သို့မဟုတ် OpenSSL ကိုအခြေခံ၍ ကော်ပိုရိတ်ပတ်ဝန်းကျင်တွင် အခြားသော root လက်မှတ်များကို ပံ့ပိုးပေးလိုလျှင် အခြေအနေသည် ပိုမိုရှုပ်ထွေးလာပါသည်။ ထို့အပြင် သော့များ မမျှော်လင့်ဘဲ သက်တမ်းမကုန်စေရန် သီးသန့်သော့များ၏ အကာအကွယ်နှင့် စီမံခန့်ခွဲမှု။

အကောင်းဆုံးရွေးချယ်မှု- ပြင်ပအဖွဲ့အစည်း CA မှ သီးသန့်၊ အထူးသီးသန့် အရင်းလက်မှတ်

အမြစ်များစွာကို စီမံခန့်ခွဲခြင်း သို့မဟုတ် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်များကို ဆွဲဆောင်မှု မရှိပါက၊ အခြားရွေးချယ်စရာတစ်ခု ရှိပါသည်- ပြင်ပအဖွဲ့အစည်း CA ကို အားကိုးပါ။ ယင်းကိစ္စရပ်မှ လက်မှတ်များ ထုတ်ပေးသည်။ သီးသန့် ကုမ္ပဏီအတွက် အထူးဖန်တီးထားသော သီးသန့် သီးသန့် root CA နှင့် ယုံကြည်မှုကွင်းဆက်တွင် ချိတ်ဆက်ထားသည့် CA တစ်ခု။

သီးသန့် client root လက်မှတ်များအတွက် ရိုးရှင်းသော တည်ဆောက်မှု

ဤစနစ်ထည့်သွင်းမှုသည် အစောပိုင်းတွင်ဖော်ပြထားသည့် ပြဿနာအချို့ကို ဖယ်ရှားပေးသည်- အနည်းဆုံး ၎င်းသည် စီမံခန့်ခွဲရန် လိုအပ်သည့် အမြစ်အရေအတွက်ကို လျှော့ချပေးသည်။ ဤနေရာတွင် သင်သည် အလယ်အလတ် CA အရေအတွက်နှင့် ပြည်တွင်း PKI လိုအပ်ချက်အားလုံးအတွက် ကိုယ်ပိုင် root လုပ်ပိုင်ခွင့်တစ်ခုသာ အသုံးပြုနိုင်သည်။ ဥပမာအားဖြင့်၊ အထက်ဖော်ပြပါ ပုံကြမ်းသည် အလယ်အလတ် CA များထဲမှ တစ်ခုကို SSL အတည်ပြုခြင်း/စာဝှက်ခြင်းအတွက် အသုံးပြုပြီး အခြားတစ်ခုကို စက်တွင်းကွန်ပျူတာများ (လက်ပ်တော့များ၊ ဆာဗာများ၊ ဒက်စတော့များ စသည်ဖြင့်) အသုံးပြုသည့် အဆင့်များစွာသော အထက်တန်းအဆင့်ကို ပြသထားသည်။

ဤဒီဇိုင်းတွင်၊ ထိပ်တန်းအဆင့် CA ကို သီးသန့်သော့ကာကွယ်ရေးနှင့် သက်တမ်းကုန်ဆုံးမှုပြဿနာများကို ဖြေရှင်းပေးသည့် ထိပ်တန်း CA ကို GlobalSign မှ လက်ခံဆောင်ရွက်ပေးသောကြောင့် ဤဒီဇိုင်းတွင် CA ကို လက်ခံဆောင်ရွက်ပေးရန် မလိုအပ်ပါ။

ဤချဉ်းကပ်မှု၏နောက်ထပ်အားသာချက်မှာ မည်သည့်အကြောင်းကြောင့်မဆို SSL စစ်ဆေးရေးအာဏာပိုင်ကို ပြန်လည်ရုပ်သိမ်းနိုင်ခြင်းဖြစ်သည်။ ယင်းအစား၊ သင့်မူရင်းသီးသန့် root နှင့် ချိတ်ဆက်ထားသည့် အသစ်တစ်ခုကို ရိုးရှင်းစွာဖန်တီးထားပြီး ၎င်းကို သင်ချက်ချင်းအသုံးပြုနိုင်ပါသည်။

အငြင်းပွားဖွယ်ရာများရှိနေသော်လည်း၊ လုပ်ငန်းများသည် ၎င်းတို့၏အတွင်းပိုင်း သို့မဟုတ် ပုဂ္ဂလိက PKI အခြေခံအဆောက်အအုံ၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် SSL ယာဉ်အသွားအလာစစ်ဆေးခြင်းကို ပိုမိုလုပ်ဆောင်လာကြသည်။ သီးသန့် PKI အတွက် အခြားအသုံးပြုမှုများတွင် စက်ပစ္စည်း သို့မဟုတ် အသုံးပြုသူအထောက်အထားစိစစ်ခြင်းအတွက် လက်မှတ်များထုတ်ပေးခြင်း၊ စက်တွင်းဆာဗာများအတွက် SSL နှင့် CA/Browser ဖိုရမ်မှ လိုအပ်ချက်အရ အများသူငှာယုံကြည်ရသော လက်မှတ်များတွင် ခွင့်မပြုသော အမျိုးမျိုးသောဖွဲ့စည်းပုံများပါဝင်သည်။

ဘရောက်ဆာတွေက ပြန်တိုက်ခိုက်နေတယ်။

ဘရောက်ဆာဆော့ဖ်ဝဲရေးသားသူများသည် ဤလမ်းကြောင်းကို တန်ပြန်ရန်နှင့် MiTM မှ သုံးစွဲသူများကို ကာကွယ်ရန် ကြိုးစားနေကြောင်း သတိပြုသင့်သည်။ ဥပမာအားဖြင့်၊ လွန်ခဲ့သောရက်အနည်းငယ်က Mozilla ဆုံးဖြတ်ချက်တစ်ခုချခဲ့သည်။ Firefox ရှိ နောက်ဘရောက်ဆာဗားရှင်းများထဲမှ တစ်ခုတွင် ပုံမှန်အားဖြင့် DoH (DNS-over-HTTPS) ပရိုတိုကောကို ဖွင့်ပါ။ DoH ပရိုတိုကောသည် DPI စနစ်မှ DNS မေးမြန်းမှုများကို ဝှက်ထားသောကြောင့် SSL စစ်ဆေးခြင်းကို ခက်ခဲစေသည်။

အလားတူ အစီအစဉ်များ စက်တင်ဘာ 10၊ 2019 အကြောင်း ကြေငြာခဲ့သည် Chrome browser အတွက် Google

စာရင်းသွင်းအသုံးပြုသူများသာ စစ်တမ်းတွင် ပါဝင်နိုင်ပါသည်။ ဆိုင်းအင်လုပ်ခြင်း, ကျေးဇူးပြု။

ကုမ္ပဏီတစ်ခုသည် ၎င်း၏ဝန်ထမ်းများ၏ SSL အသွားအလာကို စစ်ဆေးပိုင်ခွင့်ရှိသည်ဟု သင်ထင်ပါသလား။

• ဟုတ်တယ်၊ သူတို့သဘောတူတယ်။

• မဟုတ်ပါ၊ ထိုသို့သောသဘောတူချက်ကို တောင်းဆိုခြင်းသည် တရားမဝင်၊/သို့မဟုတ် သိက္ခာမဲ့ပါသည်။

အသုံးပြုသူ 122 ဦး မဲပေးခဲ့သည်။ သုံးစွဲသူ ၁၉ ဦး ရှောင်နေခဲ့ပါတယ်။

source: www.habr.com