DPI (SSL تفتیش) د کریپټوګرافي د غلو خلاف ځي، مګر شرکتونه یې پلي کوي

د باور سلسله. CC BY-SA 4.0 یانپاس

د SSL ترافیک معاینه (SSL/TLS ډیکریپشن، SSL یا DPI تحلیل) په کارپوریټ سکټور کې د بحث مخ په زیاتیدونکي تودوخې موضوع کیږي. د ټرافیک د کوډ کولو نظر داسې ښکاري چې د کریپټوګرافي خورا مفهوم سره مخالفت کوي. په هرصورت، حقیقت یو حقیقت دی: ډیر او ډیر شرکتونه د DPI ټیکنالوژۍ کاروي، دا د مالویر، ډیټا لیکونو، او نورو لپاره د مینځپانګې چک کولو اړتیا سره تشریح کوي.

ښه، که موږ دا حقیقت ومنو چې دا ډول ټیکنالوژي پلي کولو ته اړتیا لري، نو موږ باید لږ تر لږه هغه لارې په پام کې ونیسو چې دا په خورا خوندي او خورا ښه مدیریت کې ممکن وي. لږترلږه په هغه سندونو تکیه مه کوئ، د بیلګې په توګه، د DPI سیسټم عرضه کوونکي تاسو ته درکوي.

د تطبیق یو اړخ شتون لري چې هرڅوک نه پوهیږي. په حقیقت کې، ډیری خلک واقعیا حیران دي کله چې دوی د دې په اړه اوریدلي دي. دا د شخصي تصدیق اداره (CA) ده. دا د ترافیک کوډ کولو او بیا کوډ کولو لپاره سندونه رامینځته کوي.

د دې پرځای چې د DPI وسیلو څخه پخپله لاسلیک شوي سندونو یا سندونو باندې تکیه وکړئ ، تاسو کولی شئ د دریمې ډلې سند ادارې لکه GlobalSign څخه وقف شوي CA وکاروئ. مګر لومړی، راځئ چې پخپله د ستونزې یوه لنډه کتنه وکړو.

د SSL تفتیش څه شی دی او ولې کارول کیږي؟

ډیر او ډیر عامه ویب پاڼې HTTPS ته ځي. د مثال په توګه، په وینا د کروم احصایېد سپتمبر د 2019 په پیل کې، په روسیه کې د کوډ شوي ټرافیک ونډه 83٪ ته رسیدلې.

له بده مرغه، د ټرافیک کوډ کول په زیاتیدونکي توګه د برید کونکو لخوا کارول کیږي، په ځانګړې توګه له هغه وخته چې لیټ انکرپټ په اتوماتیک ډول په زرګونو وړیا SSL سندونه توزیع کوي. په دې توګه، HTTPS هرچیرې کارول کیږي - او د براوزر په پته بار کې پیډ لاک د امنیت د باور وړ شاخص په توګه کار کول بند کړي.

د DPI حلونو جوړونکي د دې پوستونو څخه خپل محصولات هڅوي. دوی د پای کاروونکو (د بیلګې په توګه ستاسو کارمندان چې ویب لټون کوي) او انټرنیټ ترمنځ ځای پرځای شوي، ناوړه ترافیک فلټر کوي. نن ورځ په بازار کې یو شمیر داسې محصولات شتون لري، مګر پروسې په اصل کې ورته دي. د HTTPS ترافیک د تفتیش وسیلې څخه تیریږي چیرې چې دا د مالویر لپاره کوډ شوی او چیک شوی.

یوځل چې تایید بشپړ شي ، وسیله د وروستي پیرودونکي سره نوې SSL سیشن رامینځته کوي ترڅو مینځپانګه ډیکریټ او بیا کوډ کړي.

د کوډ کولو / بیا کوډ کولو پروسه څنګه کار کوي

د دې لپاره چې د SSL تفتیش وسیلې د پای کاروونکو ته لیږلو دمخه پاکټونه ډیکریپټ او بیا کوډ کړي ، دا باید وړتیا ولري چې په الوتنه کې د SSL سندونه صادر کړي. دا پدې مانا ده چې دا باید د CA سند نصب کړي.

دا د شرکت (یا هغه څوک چې په مینځ کې وي) لپاره مهم دي چې دا SSL سندونه د براوزرونو لخوا باوري دي (د مثال په توګه ، د لاندې پیغامونو په څیر ډارونکي خبرداری پیغامونه مه ګرځوئ). نو ځکه د CA سلسله (یا درجه بندي) باید د براوزر په باور پلورنځي کې وي. ځکه چې دا سندونه د عامه باور لرونکي سند چارواکو لخوا ندي صادر شوي ، تاسو باید په لاسي ډول د CA درجه بندي ټولو پای پیرودونکو ته وویشئ.

په کروم کې د ځان لاسلیک شوي سند لپاره د خبرتیا پیغام. سرچینه: BadSSL.com

په وینډوز کمپیوټرونو کې، تاسو کولی شئ د فعال لارښود او ګروپ پالیسۍ وکاروئ، مګر د ګرځنده وسیلو لپاره دا کړنلاره خورا پیچلې ده.

وضعیت نور هم پیچلی کیږي که تاسو اړتیا لرئ په کارپوریټ چاپیریال کې د نورو روټ سندونو ملاتړ وکړئ ، د مثال په توګه ، د مایکروسافټ څخه ، یا د OpenSSL پراساس. پلس د شخصي کیلي ساتنه او اداره کول ترڅو کوم کیلي په ناڅاپي ډول پای ته ونه رسیږي.

غوره اختیار: د دریمې ډلې CA څخه شخصي، وقف شوی روټ سند

که د ډیری ریښو یا ځان لاسلیک شوي سندونو اداره کول زړه نازړه نه وي ، نو بله لاره شتون لري: د دریمې ډلې CA باندې تکیه کول. په دې حالت کې، سندونه صادر شوي خصوصي یو CA چې د باور په سلسله کې د وقف شوي ، خصوصي روټ CA سره تړاو لري په ځانګړي توګه د شرکت لپاره رامینځته شوی.

د وقف شوي پیرودونکي روټ سندونو لپاره ساده جوړښت

دا ترتیب ځینې ستونزې له منځه وړي چې مخکې یادونه وشوه: لږترلږه دا د ریښو شمیر کموي چې اداره کولو ته اړتیا لري. دلته تاسو کولی شئ د ټولو داخلي PKI اړتیاو لپاره یوازې یو شخصي روټ واک وکاروئ، د هر شمیر منځنیو CAs سره. د مثال په توګه، پورتني ډیاګرام یو څو درجې درجه بندي ښیي چیرې چې یو منځمهاله CAs د SSL تصدیق / ډیکریپشن لپاره کارول کیږي او بل یې د داخلي کمپیوټرونو (لیپټاپونو، سرورونو، ډیسټاپونو، او نور) لپاره کارول کیږي.

په دې ډیزاین کې، په ټولو پیرودونکو کې د CA کوربه توب ته اړتیا نشته ځکه چې د لوړې کچې CA د GlobalSign لخوا کوربه شوی، کوم چې د خصوصي کلیدي محافظت او پای ته رسیدو مسلې حل کوي.

د دې تګلارې بله ګټه د هر دلیل لپاره د SSL تفتیش واک لغوه کولو وړتیا ده. پرځای یې ، یو نوی په ساده ډول رامینځته شوی ، کوم چې ستاسو اصلي شخصي ریښې سره تړل شوی ، او تاسو کولی شئ سمدلاسه یې وکاروئ.

د ټولو جنجالونو سره سره، تصدۍ په زیاتیدونکي توګه د دوی د داخلي یا شخصي PKI زیربنا برخې په توګه د SSL ترافیک تفتیش پلي کوي. د شخصي PKI لپاره نورې کارونې د وسیلې یا کارونکي تصدیق لپاره د سندونو صادرول ، د داخلي سرورونو لپاره SSL ، او مختلف تشکیلات شامل دي چې د CA/براوزر فورم لخوا ورته اړتیا د عامه باوري سندونو کې اجازه نه ورکول کیږي.

براوزر بیرته جګړه کوي

دا باید په پام کې ونیول شي چې د براوزر پراختیا کونکي هڅه کوي د دې رجحان سره مبارزه وکړي او د MiTM څخه د پای کاروونکو ساتنه وکړي. د مثال په توګه، څو ورځې وړاندې موزیلا پریکړه وکړه په فایرفوکس کې په یوه بل براوزر نسخه کې د ډیفالټ لخوا د DoH (DNS-over-HTTPS) پروتوکول فعال کړئ. د DoH پروتوکول د DPI سیسټم څخه د DNS پوښتنې پټوي، د SSL تفتیش ستونزمن کوي.

د ورته پلانونو په اړه د سپتمبر په 10، 2019 اعلان وکړ د کروم براوزر لپاره ګوګل.

یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. ننوزئمهرباني وکړئ

ایا تاسو فکر کوئ چې شرکت حق لري د خپلو کارمندانو SSL ترافیک معاینه کړي؟

• هو، د دوی په رضایت سره

• نه، د داسې رضایت غوښتنه غیرقانوني او/یا غیر اخلاقي ده

122 کاروونکو رایه ورکړه. 15 کاروونکي منع شوي.

سرچینه: www.habr.com