🥇DPI (SSL انسپيڪشن) ڪرپٽوگرافي جي خلاف آهي، پر ڪمپنيون ان کي لاڳو ڪري رهيون آهن

اعتماد جو سلسلو. CC BY-SA 4.0 جي تحت، نہ تہ ٻي صورت ۾ نوٽ ڪيل آهي. يانپاس

ايس ايس ايل ٽرئفڪ انسپيڪشن (ايس ايس ايل/ٽي ايل ايس ڊيڪرپشن، ايس ايس ايل تجزيو، يا ڊي پي آءِ) ڪارپوريٽ شعبي ۾ هڪ وڌندڙ گرم موضوع بڻجي رهيو آهي. ٽرئفڪ کي ڊيڪرپٽ ڪرڻ جو خيال ڪرپٽوگرافي جي تصور جي بلڪل خلاف ورزي ڪرڻ لڳي ٿو. بهرحال، حقيقت اها رهي ٿي: وڌيڪ ۽ وڌيڪ ڪمپنيون ڊي پي آءِ ٽيڪنالاجيون استعمال ڪري رهيون آهن، مالويئر، ڊيٽا ليڪ، وغيره لاءِ مواد کي اسڪين ڪرڻ جي ضرورت جو حوالو ڏيندي.

خير، جيڪڏهن اسان ان حقيقت کي قبول ڪريون ٿا ته اهڙي ٽيڪنالاجي کي لاڳو ڪيو وڃي، ته اسان کي گهٽ ۾ گهٽ ان کي محفوظ ۽ سٺي طريقي سان منظم ڪرڻ جي طريقن تي غور ڪرڻ گهرجي. گهٽ ۾ گهٽ، اسان کي سرٽيفڪيٽن تي ڀروسو نه ڪرڻ گهرجي، مثال طور، ڊي پي آءِ سسٽم فراهم ڪندڙ پاران مهيا ڪيل.

عملدرآمد جو هڪ پهلو اهڙو آهي جنهن بابت هر ڪو نه ٿو ڄاڻي. حقيقت ۾، ڪيترائي ماڻهو ان بابت ٻڌندي واقعي حيران ٿي ويندا آهن. هي پرائيويٽ سرٽيفڪيٽ اٿارٽي (CA) آهي. اهو ٽرئفڪ کي ڊيڪرپٽنگ ۽ ٻيهر انڪرپٽ ڪرڻ لاءِ سرٽيفڪيٽ ٺاهيندو آهي.

خود دستخط ٿيل سرٽيفڪيٽن يا DPI ڊوائيسز مان سرٽيفڪيٽن تي ڀروسو ڪرڻ بدران، توهان ٽئين پارٽي CA، جهڙوڪ GlobalSign، مان هڪ وقف ٿيل CA استعمال ڪري سگهو ٿا. پر پهرين، اچو ته مسئلي تي هڪ مختصر نظر وجهون.

ايس ايس ايل انسپيڪشن ڇا آهي ۽ اهو ڇو استعمال ڪيو ويندو آهي؟

وڌيڪ ۽ وڌيڪ عوامي ويب سائيٽون HTTPS ڏانهن تبديل ٿي رهيون آهن. مثال طور، ڪروم جا انگ اکرسيپٽمبر 2019 جي شروعات ۾، روس ۾ انڪرپٽ ٿيل ٽرئفڪ جو حصو 83٪ تائين پهچي ويو.

بدقسمتي سان، حملي آورن پاران ٽرئفڪ انڪرپشن کي وڌيڪ استعمال ڪيو پيو وڃي، خاص طور تي جڏهن ته Let's Encrypt هزارين مفت SSL سرٽيفڪيٽ پاڻمرادو ورهائي ٿو. نتيجي طور، HTTPS هر هنڌ استعمال ٿئي ٿو، ۽ برائوزر ايڊريس بار ۾ تالا هاڻي هڪ قابل اعتماد سيڪيورٽي اشارو نه رهيو آهي.

هي ڊي پي آءِ حل وينڊرز پاران اختيار ڪيل طريقو آهي. اهي آخري استعمال ڪندڙن (يعني، ويب برائوزنگ ڪندڙ توهان جا ملازم) ۽ انٽرنيٽ جي وچ ۾ مقرر ڪيا ويا آهن، خراب ٽرئفڪ کي فلٽر ڪندي. اڄ مارڪيٽ ۾ ڪيتريون ئي اهڙيون شيون موجود آهن، پر عمل بنيادي طور تي ساڳيا آهن. HTTPS ٽرئفڪ هڪ انسپيڪشن ڊيوائس مان گذري ٿو، جتي ان کي ڊيڪرپٽ ڪيو ويندو آهي ۽ مالويئر لاءِ چيڪ ڪيو ويندو آهي.

هڪ ڀيرو تصديق مڪمل ٿي ويندي آهي، ڊوائيس مواد کي ڊيڪرپٽ ۽ ٻيهر انڪرپٽ ڪرڻ لاءِ اينڊ ڪلائنٽ سان هڪ نئون SSL سيشن ٺاهيندو آهي.

ڊيڪرپشن/ٻيهر انڪرپشن جو عمل ڪيئن ڪم ڪندو آهي؟

هڪ SSL انسپيڪشن ڊيوائس لاءِ پيڪٽس کي ڊيڪرپٽ ۽ ٻيهر انڪرپٽ ڪرڻ کان اڳ انهن کي آخري استعمال ڪندڙن ڏانهن موڪلڻ لاءِ، اهو لازمي طور تي SSL سرٽيفڪيٽ جاري ڪرڻ جي قابل هوندو. ان جو مطلب آهي ته ان ۾ CA سرٽيفڪيٽ نصب ٿيل هجڻ گهرجي.

هڪ ڪمپني (يا ٻئي ماڻهو-ان-دي-وچ) لاءِ اهو ضروري آهي ته اهي SSL سرٽيفڪيٽ برائوزرن طرفان قابل اعتماد هجن (يعني، هيٺ ڏنل وانگر خوفناڪ ڊيڄاريندڙ پيغامن کي متحرڪ نه ڪريو). تنهن ڪري، CA زنجير (يا درجي بندي) برائوزر جي ٽرسٽ اسٽور ۾ هجڻ گهرجي. جيئن ته اهي سرٽيفڪيٽ عوامي طور تي قابل اعتماد CAs کان جاري نه ڪيا ويا آهن، CA درجي بندي کي دستي طور تي سڀني آخري گراهڪن ۾ ورهايو وڃي.

ڪروم ۾ خود دستخط ٿيل سرٽيفڪيٽ لاءِ خبرداري وارو پيغام. ذريعو: بيڊ ايس ايس ايل. ڪام

На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.

صورتحال اڃا به وڌيڪ پيچيده ٿي ويندي آهي جڏهن ڪارپوريٽ ماحول ۾ ٻين روٽ سرٽيفڪيٽن کي سپورٽ ڪيو ويندو آهي، جهڙوڪ Microsoft جا يا OpenSSL تي ٻڌل. ان کان علاوه، ڪنهن به غير متوقع ختم ٿيڻ کي روڪڻ لاءِ خانگي ڪنجين جي حفاظت ۽ انتظام ڪرڻ جي ضرورت آهي.

بهترين آپشن: ٽئين پارٽي CA کان هڪ خانگي، وقف ٿيل روٽ سرٽيفڪيٽ

جيڪڏهن ڪيترن ئي روٽس يا خود دستخط ٿيل سرٽيفڪيٽن کي منظم ڪرڻ پرڪشش نه آهي، ته هڪ ٻيو آپشن آهي: ٽئين پارٽي CA تي ڀروسو ڪرڻ. هن صورت ۾، سرٽيفڪيٽ جاري ڪيا ويندا آهن خانگي هڪ سرٽيفڪيشن اٿارٽي جيڪا اعتماد جي زنجير ۾ هڪ وقف، خانگي روٽ سرٽيفڪيشن اٿارٽي سان ڳنڍيل آهي جيڪا خاص طور تي ڪمپني لاءِ ٺاهي وئي آهي.

وقف ٿيل ڪلائنٽ روٽ سرٽيفڪيٽن لاءِ آسان ڪيل فن تعمير

هي سيٽ اپ اڳ ذڪر ڪيل ڪجهه مسئلن کي ختم ڪري ٿو: گهٽ ۾ گهٽ، اهو روٽ جو تعداد گهٽائي ٿو جن کي منظم ڪرڻ جي ضرورت آهي. هتي، هڪ واحد پرائيويٽ روٽ اٿارٽي سڀني اندروني PKI ضرورتن لاءِ استعمال ڪري سگهجي ٿي، ڪنهن به تعداد ۾ وچولي CA سان. مثال طور، مٿي ڏنل ڊاگرام هڪ گھڻ-ٽيئر هيرارڪي ڏيکاري ٿو جنهن ۾ هڪ وچولي CA SSL تصديق/ڊيڪرپشن لاءِ استعمال ڪيو ويندو آهي، ۽ ٻيو اندروني ڪمپيوٽرن (ليپ ٽاپ، سرور، ڊيسڪ ٽاپ، وغيره) لاءِ.

هي ڊيزائن سڀني ڪلائنٽس تي CA کي هوسٽ ڪرڻ جي ضرورت کي ختم ڪري ٿو ڇاڪاڻ ته اعليٰ سطحي CA گلوبل سائن پاران هوسٽ ڪيو ويندو آهي، جيڪو پرائيويٽ ڪي سيڪيورٽي ۽ ختم ٿيڻ جي مسئلن کي حل ڪري ٿو.

هن طريقي جو ٻيو فائدو ڪنهن به سبب جي ڪري SSL انسپيڪشن CA کي رد ڪرڻ جي صلاحيت آهي. هڪ نئون صرف ان جي جاءِ تي ٺاهيو ويندو آهي، جيڪو توهان جي اصل خانگي روٽ سان ڳنڍيل هوندو آهي، ۽ فوري طور تي استعمال ڪري سگهجي ٿو.

سڀني تڪرارن جي باوجود، ادارا پنهنجي اندروني يا خانگي PKI انفراسٽرڪچر جي حصي طور SSL ٽرئفڪ انسپيڪشن کي تيزي سان لاڳو ڪري رهيا آهن. خانگي PKI جي ٻين استعمالن ۾ ڊوائيس يا صارف جي تصديق لاءِ سرٽيفڪيٽ جاري ڪرڻ، اندروني سرورز لاءِ SSL، ۽ مختلف ترتيبون شامل آهن جيڪي عوامي طور تي قابل اعتماد سرٽيفڪيٽن ۾ اجازت نه آهن، جيئن CA/براؤزر فورم پاران گهربل آهي.

برائوزر واپس وڙهي رهيا آهن

اهو قابل ذڪر آهي ته برائوزر ڊولپرز هن رجحان کي منهن ڏيڻ ۽ آخري استعمال ڪندڙن کي MiTM کان بچائڻ جي ڪوشش ڪري رهيا آهن. مثال طور، ڪجهه ڏينهن اڳ، Mozilla فيصلو ڪيو فائر فاڪس ۾ ايندڙ برائوزر ورزن مان هڪ ۾ ڊفالٽ طور تي DoH (DNS-over-HTTPS) پروٽوڪول کي فعال ڪريو. DoH پروٽوڪول DPI سسٽم مان DNS درخواستن کي لڪائيندو آهي، SSL انسپيڪشن کي وڌيڪ ڏکيو بڻائيندو آهي.

10 سيپٽمبر 2019 تي ساڳئي منصوبن تي اعلان ڪيو گوگل ڪروم برائوزر لاءِ.