Lanț de încredere. CC BY-SA 4.0
Inspecția traficului SSL (decriptare SSL/TLS, analiză SSL sau DPI) devine un subiect de discuție din ce în ce mai fierbinte în sectorul corporativ. Ideea decriptării traficului pare să contrazică însuși conceptul de criptografie. Cu toate acestea, adevărul este un fapt: tot mai multe companii folosesc tehnologii DPI, explicând acest lucru prin necesitatea de a verifica conținutul pentru malware, scurgeri de date etc.
Ei bine, dacă acceptăm faptul că o astfel de tehnologie trebuie implementată, atunci ar trebui cel puțin să luăm în considerare modalități de a o face în cel mai sigur și mai bine gestionat mod posibil. Cel puțin nu vă bazați pe acele certificate, de exemplu, pe care vi le oferă furnizorul de sistem DPI.
Există un aspect al implementării despre care nu toată lumea știe. De fapt, mulți oameni sunt cu adevărat surprinși când aud despre asta. Aceasta este o autoritate de certificare privată (CA). Acesta generează certificate pentru a decripta și a recripta traficul.
În loc să vă bazați pe certificate autosemnate sau certificate de la dispozitivele DPI, puteți utiliza un CA dedicat de la o autoritate de certificare terță parte, cum ar fi GlobalSign. Dar mai întâi, să facem o mică imagine de ansamblu asupra problemei în sine.
Ce este inspecția SSL și de ce este utilizată?
Tot mai multe site-uri web publice trec la HTTPS. De exemplu, conform , la începutul lunii septembrie 2019, ponderea traficului criptat în Rusia a ajuns la 83%.
Din păcate, criptarea traficului este folosită din ce în ce mai mult de atacatori, mai ales că Let's Encrypt distribuie mii de certificate SSL gratuite într-un mod automat. Astfel, HTTPS este folosit peste tot - iar lacătul din bara de adrese a browserului a încetat să mai servească drept indicator de încredere al securității.
Producătorii de soluții DPI își promovează produsele din aceste poziții. Acestea sunt încorporate între utilizatorii finali (adică angajații dvs. care navighează pe web) și Internet, eliminând traficul rău intenționat. Există o serie de astfel de produse pe piață astăzi, dar procesele sunt în esență aceleași. Traficul HTTPS trece printr-un dispozitiv de inspecție unde este decriptat și verificat pentru malware.
Odată ce verificarea este finalizată, dispozitivul creează o nouă sesiune SSL cu clientul final pentru a decripta și a recripta conținutul.
Cum funcționează procesul de decriptare/recriptare
Pentru ca dispozitivul de inspecție SSL să decripteze și să recripteze pachetele înainte de a le trimite utilizatorilor finali, trebuie să poată emite certificate SSL din mers. Aceasta înseamnă că trebuie să aibă instalat un certificat CA.
Este important pentru companie (sau oricine din mijloc) ca aceste certificate SSL să fie de încredere de către browsere (adică să nu declanșeze mesaje de avertizare înfricoșătoare precum cel de mai jos). Prin urmare, lanțul CA (sau ierarhia) trebuie să fie în magazinul de încredere al browserului. Deoarece aceste certificate nu sunt emise de la autorități de certificare de încredere publică, trebuie să distribuiți manual ierarhia CA tuturor clienților finali.
Mesaj de avertizare pentru certificatul autosemnat în Chrome. Sursă:
Pe computerele Windows, puteți utiliza Active Directory și Politici de grup, dar pentru dispozitivele mobile procedura este mai complicată.
Situația devine și mai complicată dacă trebuie să susțineți alte certificate rădăcină într-un mediu corporativ, de exemplu, de la Microsoft sau bazat pe OpenSSL. Plus protecția și gestionarea cheilor private, astfel încât oricare dintre chei să nu expire pe neașteptate.
Cea mai bună opțiune: certificat rădăcină privat, dedicat de la un CA terță parte
Dacă gestionarea mai multor rădăcini sau certificate autosemnate nu este atrăgătoare, există o altă opțiune: să te bazezi pe o CA terță parte. În acest caz, certificatele sunt emise de la privat o CA care este legată într-un lanț de încredere de o CA rădăcină privată, dedicată, creat special pentru companie.
Arhitectură simplificată pentru certificate rădăcină client dedicate
Această configurare elimină unele dintre problemele menționate mai devreme: cel puțin reduce numărul de rădăcini care trebuie gestionate. Aici puteți utiliza doar o singură autoritate rădăcină privată pentru toate nevoile PKI interne, cu orice număr de CA intermediare. De exemplu, diagrama de mai sus arată o ierarhie pe mai multe niveluri în care unul dintre CA intermediare este utilizat pentru verificarea/decriptarea SSL, iar celălalt este folosit pentru computere interne (laptop-uri, servere, desktop-uri etc.).
În acest design, nu este nevoie să găzduiți un CA pe toți clienții, deoarece CA de nivel superior este găzduit de GlobalSign, care rezolvă problemele de protecție a cheii private și de expirare.
Un alt avantaj al acestei abordări este capacitatea de a revoca autoritatea de inspecție SSL din orice motiv. În schimb, se creează pur și simplu unul nou, care este legat de rădăcina dumneavoastră privată originală și îl puteți utiliza imediat.
În ciuda tuturor controverselor, întreprinderile implementează din ce în ce mai mult inspecția de trafic SSL ca parte a infrastructurii lor interne sau private PKI. Alte utilizări pentru PKI private includ emiterea de certificate pentru autentificarea dispozitivului sau a utilizatorului, SSL pentru serverele interne și diverse configurații care nu sunt permise în certificatele publice de încredere, așa cum este cerut de CA/Browser Forum.
Browserele ripostează
Trebuie remarcat faptul că dezvoltatorii de browsere încearcă să contracareze această tendință și să protejeze utilizatorii finali de MiTM. De exemplu, acum câteva zile Mozilla Activați protocolul DoH (DNS-over-HTTPS) în mod implicit într-una dintre următoarele versiuni de browser din Firefox. Protocolul DoH ascunde interogările DNS din sistemul DPI, ceea ce face dificilă inspecția SSL.
Despre planuri similare 10 septembrie 2019 Google pentru browserul Chrome.
Numai utilizatorii înregistrați pot participa la sondaj. , Vă rog.
Crezi că o companie are dreptul să inspecteze traficul SSL al angajaților săi?
-
Da, cu acordul lor
-
Nu, solicitarea unui astfel de consimțământ este ilegală și/sau lipsită de etică
Au votat 122 de utilizatori. 15 utilizatori s-au abținut.
Sursa: www.habr.com