اعتماد جو سلسلو. CC BY-SA 4.0
SSL ٽرئفڪ جو معائنو (SSL/TLS ڊسڪشن، SSL يا DPI تجزيو) ڪارپوريٽ سيڪٽر ۾ بحث جو وڌندڙ گرم موضوع بڻجي رهيو آهي. ٽريفڪ کي ختم ڪرڻ جو خيال cryptography جي بلڪل تصور جي تضاد ڪرڻ لڳي ٿو. بهرحال، حقيقت اها آهي ته: وڌيڪ ۽ وڌيڪ ڪمپنيون استعمال ڪري رهيا آهن ڊي پي آئي ٽيڪنالاجيون، انهي جي وضاحت ڪندي مواد کي چيڪ ڪرڻ جي ضرورت طرفان مالويئر، ڊيٽا ليڪ، وغيره.
خير، جيڪڏهن اسان حقيقت کي قبول ڪريون ٿا ته اهڙي ٽيڪنالاجي کي لاڳو ڪرڻ جي ضرورت آهي، پوء اسان کي گهٽ ۾ گهٽ انهن طريقن تي غور ڪرڻ گهرجي ته اهو ممڪن طور تي محفوظ ۽ سڀ کان وڌيڪ منظم طريقي سان ڪيو وڃي. گهٽ ۾ گهٽ انهن سرٽيفڪيٽن تي ڀروسو نه ڪريو، مثال طور، جيڪي DPI سسٽم فراهم ڪندڙ توهان کي ڏئي ٿو.
عملدرآمد جو ھڪڙو پاسو آھي جنھن جي باري ۾ سڀني کي خبر ناهي. حقيقت ۾، ڪيترائي ماڻهو واقعي حيران ٿي ويا آهن جڏهن اهي ان بابت ٻڌن ٿا. هي هڪ خانگي سرٽيفڪيشن اٿارٽي (CA) آهي. اهو ٽريفڪ کي ڊسڪريٽ ڪرڻ ۽ ٻيهر انڪرپٽ ڪرڻ لاءِ سرٽيفڪيٽ ٺاهي ٿو.
DPI ڊوائيسز مان خود دستخط ٿيل سرٽيفڪيٽن يا سرٽيفڪيٽن تي ڀروسو ڪرڻ بدران، توهان ٽئين پارٽي سرٽيفڪيٽ اٿارٽي کان هڪ وقف ڪيل CA استعمال ڪري سگهو ٿا جهڙوڪ GlobalSign. پر پهرين، اچو ته مسئلي جو ٿورو جائزو وٺون.
SSL معائنو ڇا آهي ۽ اهو ڇو استعمال ڪيو ويو آهي؟
وڌيڪ ۽ وڌيڪ عوامي ويب سائيٽون HTTPS ڏانهن منتقل ٿي رهيا آهن. مثال طور، مطابق ، سيپٽمبر 2019 جي شروعات ۾، روس ۾ اينڪرپٽ ٿيل ٽرئفڪ جو حصو 83٪ تائين پهچي ويو.
بدقسمتي سان، ٽريفڪ انڪرپشن تيزي سان حملو ڪندڙن پاران استعمال ڪيو پيو وڃي، خاص طور تي جيئن ته Let's Encrypt هزارين مفت SSL سرٽيفڪيٽن کي خودڪار طريقي سان ورهائي ٿو. اهڙيء طرح، HTTPS هر جڳهه استعمال ڪيو ويندو آهي - ۽ برائوزر ايڊريس بار ۾ padlock سيڪيورٽي جي قابل اعتماد اشاري طور ڪم ڪرڻ بند ڪري ڇڏيو آهي.
ڊي پي آئي حلن جا ٺاھيندڙ پنھنجي پروڊڪٽس کي انھن پوزيشن مان فروغ ڏين ٿا. اهي آخري استعمال ڪندڙن جي وچ ۾ شامل آهن (يعني توهان جا ملازم ويب کي برائوز ڪري رهيا آهن) ۽ انٽرنيٽ، خراب ٽرئفڪ کي فلٽر ڪندي. اڄ مارڪيٽ تي اهڙا ڪيترائي پراڊڪٽس آهن، پر عمل لازمي طور تي ساڳيا آهن. HTTPS ٽريفڪ هڪ انسپيڪشن ڊيوائس مان گذري ٿو جتي ان کي ڊيڪرپٽ ڪيو ويو آهي ۽ مالويئر لاءِ چيڪ ڪيو ويو آهي.
هڪ دفعو تصديق مڪمل ٿي وڃي ٿي، ڊوائيس هڪ نئون SSL سيشن ٺاهي ٿو آخري ڪلائنٽ سان گڏ مواد کي ڊڪرپٽ ۽ ٻيهر انڪرپٽ ڪرڻ لاءِ.
ڪيئن ڊيڪرپشن/ري-انڪريپشن عمل ڪم ڪندو آهي
ايس ايس ايل انسپيڪشن اپلائينس لاءِ پيڪٽس کي ختم ڪرڻ ۽ ٻيهر انڪرپٽ ڪرڻ لاءِ ان کان اڳ انھن کي آخري استعمال ڪندڙن ڏانھن موڪلڻ لاءِ، اھو لازمي آھي ته فلائي تي SSL سرٽيفڪيٽ جاري ڪري سگھن. ان جو مطلب اهو آهي ته ان کي لازمي طور تي CA سرٽيفڪيٽ نصب ڪيو وڃي.
ڪمپني لاءِ (يا جيڪو وچ ۾- وچ ۾) اهو ضروري آهي ته اهي SSL سرٽيفڪيٽ براؤزرز طرفان قابل اعتماد آهن (يعني، خوفناڪ ڊيڄاريندڙ پيغامن کي نه ٽاريو جيئن هيٺ ڏنل). تنهن ڪري CA زنجير (يا ترتيب وار) برائوزر جي اعتماد واري اسٽور ۾ هجڻ گهرجي. ڇاڪاڻ ته اهي سرٽيفڪيٽ عوامي طور تي قابل اعتماد سرٽيفڪيشن اختيارين کان جاري نه ڪيا ويا آهن، توهان کي لازمي طور تي CA جي درجه بندي کي سڀني آخري ڪلائنٽ ۾ ورهائڻ گهرجي.
ڪروم ۾ خود دستخط ٿيل سرٽيفڪيٽ لاءِ ڊيڄاريندڙ پيغام. ذريعو:
ونڊوز ڪمپيوٽرن تي، توهان استعمال ڪري سگهو ٿا Active Directory ۽ Group Policies، پر موبائل ڊوائيسز لاءِ اهو طريقو وڌيڪ پيچيده آهي.
صورتحال اڃا به وڌيڪ پيچيده ٿي ويندي آهي جيڪڏهن توهان کي ڪارپوريٽ ماحول ۾ ٻين روٽ سرٽيفڪيٽ جي مدد ڪرڻ جي ضرورت آهي، مثال طور، Microsoft کان، يا OpenSSL جي بنياد تي. ان سان گڏ پرائيويٽ ڪنجين جو تحفظ ۽ انتظام ته جيئن ڪنهن به ڪنجي کي غير متوقع طور تي ختم نه ٿئي.
بهترين اختيار: خانگي، وقف ٿيل روٽ سرٽيفڪيٽ ٽئين پارٽي CA کان
جيڪڏهن ڪيترن ئي روٽ کي منظم ڪرڻ يا خود دستخط ٿيل سرٽيفڪيٽ اپيل نه آهي، اتي هڪ ٻيو اختيار آهي: ٽئين پارٽي CA تي ڀروسو ڪرڻ. انهي صورت ۾، سرٽيفڪيٽ جاري ڪيا ويا آهن خانگي هڪ CA جيڪو جڙيل آهي اعتماد جي زنجير ۾ هڪ وقف، نجي روٽ CA سان خاص طور تي ڪمپني لاءِ ٺاهيل.
وقف ڪيل ڪلائنٽ روٽ سرٽيفڪيٽن لاءِ آسان فن تعمير
هي سيٽ اپ ختم ڪري ٿو ڪجهه مسئلن جو اڳ ذڪر ڪيو ويو آهي: گهٽ ۾ گهٽ اهو گهٽجي ٿو روٽ جو تعداد جنهن کي منظم ڪرڻ جي ضرورت آهي. هتي توهان سڀني اندروني PKI ضرورتن لاءِ صرف هڪ خانگي روٽ اٿارٽي استعمال ڪري سگهو ٿا، ڪنهن به نمبر وچولي CAs سان. مثال طور، مٿي ڏنل ڊراگرام هڪ گھڻ-سطح واري درجي بندي کي ڏيکاري ٿو جتي وچولي CAs مان هڪ SSL تصديق/ڊڪرپشن لاءِ استعمال ڪيو ويندو آهي ۽ ٻيو استعمال ڪيو ويندو آهي اندروني ڪمپيوٽرن (ليپ ٽاپ، سرور، ڊيسڪ ٽاپ، وغيره).
هن ڊيزائن ۾، سڀني مراجعين تي CA جي ميزباني ڪرڻ جي ڪا ضرورت ناهي ڇو ته اعلي سطحي CA گلوبل سائن پاران ميزباني ڪئي وئي آهي، جيڪو نجي اهم تحفظ ۽ ختم ٿيڻ جي مسئلن کي حل ڪري ٿو.
هن طريقي جو هڪ ٻيو فائدو ڪنهن به سبب لاءِ SSL انسپيڪشن اٿارٽي کي رد ڪرڻ جي صلاحيت آهي. ان جي بدران، ھڪڙو نئون ٺاھيو ويو آھي، جيڪو توھان جي اصلي نجي روٽ سان ڳنڍيل آھي، ۽ توھان ان کي فوري طور استعمال ڪري سگھو ٿا.
سڀني تڪرارن جي باوجود، ڪمپنيون تيزيء سان SSL ٽرئفڪ جي چڪاس کي لاڳو ڪري رهيا آهن انهن جي اندروني يا نجي PKI انفراسٽرڪچر جي حصي جي طور تي. پرائيويٽ PKI لاءِ ٻيا استعمال شامل آھن جاري ڪرڻ سرٽيفڪيٽن لاءِ ڊيوائس يا صارف جي تصديق، SSL لاءِ اندروني سرور، ۽ مختلف ٺاھ جوڙ جن جي اجازت ناھي عوامي قابل اعتماد سرٽيفڪيٽن ۾ جيئن CA/Browser Forum پاران گھربل آھي.
برائوزر واپس وڙهندا رهيا آهن
اهو ياد رکڻ گهرجي ته برائوزر ڊولپرز هن رجحان کي منهن ڏيڻ ۽ آخري صارفين کي MiTM کان بچائڻ جي ڪوشش ڪري رهيا آهن. مثال طور، ڪجهه ڏينهن اڳ Mozilla DoH (DNS-over-HTTPS) پروٽوڪول کي ڊفالٽ طور فعال ڪريو فائر فاڪس ۾ ايندڙ برائوزر ورزن مان. DoH پروٽوڪول DPI سسٽم کان DNS سوالن کي لڪائيندو آهي، SSL جي چڪاس کي ڏکيو بڻائي ٿو.
ساڳئي منصوبن بابت سيپٽمبر 10، 2019 گوگل ڪروم برائوزر لاءِ.
صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. ، توهان جي مهرباني.
ڇا توهان سوچيو ٿا ته هڪ ڪمپني کي پنهنجي ملازمن جي SSL ٽرئفڪ جو معائنو ڪرڻ جو حق آهي؟
-
ها، انهن جي رضامندي سان
-
نه، اهڙي رضامندي لاءِ پڇڻ غير قانوني ۽/يا غير اخلاقي آهي
122 صارفين ووٽ ڏنو. 15 استعمال ڪندڙن کي روڪيو ويو.
جو ذريعو: www.habr.com