DPI (SSL පරීක්ෂාව) ගුප්තකේතනයේ ධාන්ය වලට පටහැනි නමුත් සමාගම් එය ක්රියාත්මක කරයි

විශ්වාසයේ දාමය. CC BY-SA 4.0 යාන්පාස්

SSL රථවාහන පරීක්ෂාව (SSL/TLS විකේතනය, SSL හෝ DPI විශ්ලේෂණය) ආයතනික අංශයේ වැඩි වැඩියෙන් සාකච්ඡාවට ලක්වන මාතෘකාවක් බවට පත්වෙමින් තිබේ. ගමනාගමනය විකේතනය කිරීමේ අදහස ගුප්තකේතනය පිළිබඳ සංකල්පයට පටහැනි බව පෙනේ. කෙසේ වෙතත්, කාරණය සත්‍යයකි: වැඩි වැඩියෙන් සමාගම් DPI තාක්ෂණයන් භාවිතා කරයි, අනිෂ්ට මෘදුකාංග, දත්ත කාන්දුවීම් ආදිය සඳහා අන්තර්ගතය පරීක්ෂා කිරීමේ අවශ්‍යතාවය මෙය පැහැදිලි කරයි.

හොඳයි, එවැනි තාක්‍ෂණයක් ක්‍රියාත්මක කළ යුතු බව අපි පිළිගන්නේ නම්, අපි අවම වශයෙන් එය කළ හැකි ආරක්ෂිත සහ හොඳින් කළමනාකරණය කළ හැකි ක්‍රම සලකා බැලිය යුතුය. අවම වශයෙන් එම සහතික මත රඳා නොසිටින්න, උදාහරණයක් ලෙස, DPI පද්ධති සැපයුම්කරු ඔබට ලබා දෙයි.

ක්රියාත්මක කිරීමේ එක් අංගයක් තිබේ, එය සෑම කෙනෙකුම නොදන්නා කරුණකි. ඇත්ත වශයෙන්ම, බොහෝ අය එය ඇසෙන විට ඇත්තෙන්ම පුදුමයට පත් වේ. මෙය පුද්ගලික සහතික කිරීමේ අධිකාරියකි (CA). එය ගමනාගමනය විකේතනය කිරීමට සහ නැවත සංකේතනය කිරීමට සහතික ජනනය කරයි.

DPI උපාංගවලින් ස්වයං-අත්සන් කළ සහතික හෝ සහතික මත විශ්වාසය තැබීම වෙනුවට, ඔබට GlobalSign වැනි තෙවන පාර්ශවීය සහතික අධිකාරියකින් කැප වූ CA භාවිතා කළ හැක. නමුත් පළමුව, අපි ගැටලුව පිළිබඳ කුඩා දළ විශ්ලේෂණයක් කරමු.

SSL පරීක්ෂාව යනු කුමක්ද සහ එය භාවිතා කරන්නේ ඇයි?

වැඩි වැඩියෙන් පොදු වෙබ් අඩවි HTTPS වෙත ගමන් කරයි. උදාහරණයක් ලෙස, අනුව Chrome සංඛ්යාලේඛන, 2019 සැප්තැම්බර් මස මුලදී, රුසියාවේ සංකේතාත්මක ගමනාගමනයේ කොටස 83% දක්වා ළඟා විය.

අවාසනාවන්ත ලෙස, රථවාහන සංකේතනය ප්‍රහාරකයන් විසින් වැඩි වැඩියෙන් භාවිතා කරනු ලැබේ, විශේෂයෙන්ම Let's Encrypt නොමිලේ SSL සහතික දහස් ගණනක් ස්වයංක්‍රීය ආකාරයකින් බෙදා හරින බැවින්. මේ අනුව, HTTPS සෑම තැනකම භාවිතා වේ - සහ බ්‍රවුසරයේ ලිපින තීරුවේ ඇති අගුල ආරක්ෂාව පිළිබඳ විශ්වාසදායක දර්ශකයක් ලෙස සේවය කිරීම නතර කර ඇත.

DPI විසඳුම් නිෂ්පාදකයින් මෙම තනතුරු වලින් ඔවුන්ගේ නිෂ්පාදන ප්රවර්ධනය කරයි. ඒවා අන්ත භාවිතා කරන්නන් (එනම් ඔබේ සේවකයන් වෙබයේ බ්‍රවුස් කරන) සහ අන්තර්ජාලය, අනිෂ්ට ගමනාගමනය පෙරීම අතර තැන්පත් කර ඇත. අද වෙළඳපොලේ එවැනි නිෂ්පාදන ගණනාවක් ඇත, නමුත් ක්රියාවලීන් අත්යවශ්යයෙන්ම සමාන වේ. HTTPS ගමනාගමනය එය විකේතනය කර අනිෂ්ට මෘදුකාංග සඳහා පරීක්ෂා කරන ලද පරීක්ෂණ උපාංගයක් හරහා ගමන් කරයි.

සත්‍යාපනය සම්පූර්ණ වූ පසු, උපාංගය අවසන් සේවාලාභියා සමඟ අන්තර්ගතය විකේතනය කිරීමට සහ නැවත සංකේතනය කිරීමට නව SSL සැසියක් නිර්මාණය කරයි.

විකේතනය/නැවත සංකේතනය කිරීමේ ක්‍රියාවලිය ක්‍රියාත්මක වන ආකාරය

අවසන් පරිශීලකයින් වෙත යැවීමට පෙර පැකට් විකේතනය කිරීමට සහ නැවත සංකේතනය කිරීමට SSL පරීක්ෂණ උපකරණය සඳහා, එය පියාසර කරන විට SSL සහතික නිකුත් කිරීමට හැකි විය යුතුය. මෙයින් අදහස් කරන්නේ එහි CA සහතිකයක් ස්ථාපනය කර තිබිය යුතු බවයි.

මෙම SSL සහතික බ්‍රවුසර විසින් විශ්වාස කරන බව සමාගමට (හෝ මැද සිටින කවරෙකුට වුවද) වැදගත් වේ (එනම්, පහත දැක්වෙන ආකාරයේ භයානක අනතුරු ඇඟවීමේ පණිවිඩ අවුස්සන්න එපා). එබැවින් CA දාමය (හෝ ධුරාවලිය) බ්‍රවුසරයේ විශ්වාස ගබඩාවේ තිබිය යුතුය. මෙම සහතික ප්‍රසිද්ධියේ විශ්වාස කළ සහතික අධිකාරීන් වෙතින් නිකුත් කර නැති නිසා, ඔබ CA ධුරාවලිය හස්තීයව සියලුම අවසාන ගනුදෙනුකරුවන් වෙත බෙදා හැරිය යුතුය.

Chrome හි ස්වයං-අත්සන් කළ සහතිකය සඳහා අනතුරු ඇඟවීමේ පණිවිඩය. මූලාශ්රය: BadSSL.com

වින්ඩෝස් පරිගණකවල, ඔබට ක්රියාකාරී නාමාවලිය සහ කණ්ඩායම් ප්රතිපත්ති භාවිතා කළ හැකිය, නමුත් ජංගම උපාංග සඳහා ක්රියා පටිපාටිය වඩාත් සංකීර්ණ වේ.

ඔබට ආයතනික පරිසරයක වෙනත් මූල සහතික සඳහා සහය දැක්වීමට අවශ්‍ය නම් තත්වය වඩාත් සංකීර්ණ වේ, උදාහරණයක් ලෙස, Microsoft වෙතින්, හෝ OpenSSL මත පදනම්ව. ප්ලස් කිසිදු යතුරු අනපේක්ෂිත ලෙස කල් ඉකුත් නොවන පරිදි පුද්ගලික යතුරු ආරක්ෂා කිරීම සහ කළමනාකරණය කිරීම.

හොඳම විකල්පය: තෙවන පාර්ශවීය CA වෙතින් පුද්ගලික, කැපවූ මූල සහතිකය

බහු මූලයන් හෝ ස්වයං-අත්සන් කළ සහතික කළමනාකරණය කිරීම සිත් ඇදගන්නාසුළු නොවේ නම්, තවත් විකල්පයක් තිබේ: තෙවන පාර්ශවීය CA මත විශ්වාසය තැබීම. මෙම අවස්ථාවේදී, සහතික නිකුත් කරනු ලැබේ පුද්ගලික සමාගම සඳහා විශේෂයෙන් නිර්මාණය කරන ලද කැපවූ, පුද්ගලික මූල CA වෙත විශ්වාස දාමයකට සම්බන්ධ කර ඇති CA.

කැපවූ සේවාදායක මූල සහතික සඳහා සරල ගෘහ නිර්මාණ ශිල්පය

මෙම සැකසුම කලින් සඳහන් කළ ගැටළු කිහිපයක් ඉවත් කරයි: අවම වශයෙන් එය කළමනාකරණය කළ යුතු මූලයන් ගණන අඩු කරයි. මෙහිදී ඔබට ඕනෑම අතරමැදි CA සංඛ්‍යාවක් සමඟින් සියලුම අභ්‍යන්තර PKI අවශ්‍යතා සඳහා එක් පුද්ගලික මූල අධිකාරියක් පමණක් භාවිතා කළ හැක. උදාහරණයක් ලෙස, ඉහත රූප සටහන බහු මට්ටමේ ධූරාවලියක් පෙන්වයි, එහිදී SSL සත්‍යාපනය / විකේතනය සඳහා අතරමැදි CA වලින් එකක් භාවිතා වන අතර අනෙක අභ්‍යන්තර පරිගණක සඳහා (ලැප්ටොප්, සර්වර්, ඩෙස්ක්ටොප්, ආදිය) භාවිතා කරයි.

මෙම සැලසුම තුළ, පුද්ගලික යතුරු ආරක්ෂණ සහ කල් ඉකුත් වීමේ ගැටළු විසඳන GlobalSign විසින් ඉහළ මට්ටමේ CA සත්කාරකත්වය සපයන බැවින්, සියලුම සේවාලාභීන් සඳහා CA සත්කාරකත්වය දැක්වීමට අවශ්‍ය නොවේ.

මෙම ප්‍රවේශයේ තවත් වාසියක් වන්නේ ඕනෑම හේතුවක් නිසා SSL පරීක්ෂණ අධිකාරිය අවලංගු කිරීමේ හැකියාවයි. ඒ වෙනුවට, නව එකක් සරලව නිර්මාණය කර ඇති අතර එය ඔබගේ මුල් පුද්ගලික මූලයට බැඳී ඇති අතර ඔබට එය වහාම භාවිතා කළ හැකිය.

සියලු මතභේද තිබියදීත්, ව්‍යවසායන් ඔවුන්ගේ අභ්‍යන්තර හෝ පුද්ගලික PKI යටිතල ව්‍යුහයේ කොටසක් ලෙස SSL රථවාහන පරීක්ෂාව වැඩි වැඩියෙන් ක්‍රියාත්මක කරයි. පුද්ගලික PKI සඳහා වන අනෙකුත් භාවිතයන් අතර උපාංග හෝ පරිශීලක සත්‍යාපනය සඳහා සහතික නිකුත් කිරීම, අභ්‍යන්තර සේවාදායකයන් සඳහා SSL සහ CA/Browser Forum විසින් අවශ්‍ය පරිදි පොදු විශ්වාසදායක සහතිකවල ඉඩ නොදෙන විවිධ වින්‍යාස කිරීම් ඇතුළත් වේ.

බ්‍රව්සර් නැවත සටන් කරයි

බ්‍රව්සර් සංවර්ධකයින් මෙම ප්‍රවණතාවයට එරෙහිවීමට සහ MiTM වෙතින් අවසාන පරිශීලකයින් ආරක්ෂා කිරීමට උත්සාහ කරන බව සටහන් කළ යුතුය. උදාහරණයක් ලෙස, දින කිහිපයකට පෙර Mozilla තීරණයක් ගත්තා ෆයර්ෆොක්ස් හි මීළඟ බ්‍රවුසර අනුවාදවලින් එකක පෙරනිමියෙන් DoH (DNS-over-HTTPS) ප්‍රොටෝකෝලය සක්‍රීය කරන්න. DoH ප්‍රොටෝකෝලය DPI පද්ධතියෙන් DNS විමසුම් සඟවයි, SSL පරීක්ෂාව අපහසු කරයි.

සමාන සැලසුම් ගැන සැප්තැම්බර් 10, 2019 නිවේදනය කරන ලදි Chrome බ්‍රවුසරය සඳහා Google.

සමීක්ෂණයට සහභාගී විය හැක්කේ ලියාපදිංචි පරිශීලකයින්ට පමණි. පුරන්නකරුණාකර.

සමාගමකට එහි සේවකයින්ගේ SSL ගමනාගමනය පරීක්ෂා කිරීමට අයිතියක් ඇතැයි ඔබ සිතනවාද?

• ඔව්, ඔවුන්ගේ කැමැත්ත ඇතිව

• නැත, එවැනි කැමැත්තක් ඉල්ලා සිටීම නීති විරෝධී සහ/හෝ සදාචාර විරෝධී ය

පරිශීලකයින් 122 දෙනෙක් ඡන්දය දුන්හ. පරිශීලකයින් 15 දෙනෙක් ඡන්දය දීමෙන් වැළකී සිටියහ.

මූලාශ්රය: www.habr.com