Reťazec dôvery. CC BY-SA 4.0
Kontrola prevádzky SSL (dešifrovanie SSL/TLS, analýza SSL alebo DPI) sa v podnikovom sektore stáva čoraz horúcou témou diskusií. Zdá sa, že myšlienka dešifrovania prevádzky je v rozpore so samotnou koncepciou kryptografie. Faktom je však fakt: technológie DPI využíva čoraz viac spoločností, čo si vysvetľuje potrebou kontrolovať obsah, či neobsahuje malvér, úniky údajov atď.
No, ak pripustíme fakt, že takúto technológiu treba implementovať, tak by sme mali aspoň zvážiť spôsoby, ako to urobiť čo najbezpečnejším a najlepšie spravovaným spôsobom. Nespoliehajte sa aspoň na tie certifikáty, ktoré vám dá napríklad dodávateľ DPI systému.
Existuje jeden aspekt implementácie, o ktorom nie každý vie. V skutočnosti je veľa ľudí skutočne prekvapených, keď o tom počujú. Toto je súkromná certifikačná autorita (CA). Generuje certifikáty na dešifrovanie a opätovné šifrovanie prevádzky.
Namiesto toho, aby ste sa spoliehali na certifikáty s vlastným podpisom alebo certifikáty zo zariadení DPI, môžete použiť vyhradenú CA od certifikačnej autority tretej strany, ako je napríklad GlobalSign. Najprv si však urobme malý prehľad o samotnom probléme.
Čo je kontrola SSL a prečo sa používa?
Stále viac verejných webových stránok prechádza na HTTPS. Napríklad podľa , začiatkom septembra 2019 dosiahol podiel šifrovanej prevádzky v Rusku 83 %.
Bohužiaľ, šifrovanie prevádzky je čoraz častejšie využívané útočníkmi, najmä preto, že Let's Encrypt automaticky distribuuje tisíce bezplatných SSL certifikátov. HTTPS sa teda používa všade – a visiaci zámok v adresnom riadku prehliadača prestal slúžiť ako spoľahlivý indikátor bezpečnosti.
Výrobcovia DPI riešení propagujú svoje produkty z týchto pozícií. Sú vložené medzi koncových používateľov (t. j. vašich zamestnancov prehliadajúcich web) a internet a filtrujú škodlivú prevádzku. Dnes je na trhu množstvo takýchto produktov, ale procesy sú v podstate rovnaké. Prevádzka HTTPS prechádza cez kontrolné zariadenie, kde je dešifrovaná a kontrolovaná na prítomnosť škodlivého softvéru.
Po dokončení overenia zariadenie vytvorí novú reláciu SSL s koncovým klientom na dešifrovanie a opätovné zašifrovanie obsahu.
Ako funguje proces dešifrovania/opätovného šifrovania
Aby kontrolné zariadenie SSL dešifrovalo a znova zašifrovalo pakety pred ich odoslaním koncovým používateľom, musí byť schopné vydávať certifikáty SSL za behu. To znamená, že musí mať nainštalovaný certifikát CA.
Pre spoločnosť (alebo kohokoľvek v strede) je dôležité, aby prehliadače týmto certifikátom SSL dôverovali (t. j. nespúšťali desivé varovné správy, ako je tá nižšie). Preto musí byť reťazec (alebo hierarchia) CA v dôveryhodnom obchode prehliadača. Pretože tieto certifikáty nevydávajú verejne dôveryhodné certifikačné autority, musíte manuálne distribuovať hierarchiu CA všetkým koncovým klientom.
Varovná správa pre certifikát s vlastným podpisom v prehliadači Chrome. Zdroj:
Na počítačoch so systémom Windows môžete použiť službu Active Directory a zásady skupiny, ale v prípade mobilných zariadení je postup zložitejší.
Situácia sa ešte viac skomplikuje, ak potrebujete podporovať iné koreňové certifikáty v podnikovom prostredí, napríklad od Microsoftu alebo založené na OpenSSL. Plus ochrana a správa súkromných kľúčov, aby niektorý z kľúčov neočakávane nevypršal.
Najlepšia možnosť: súkromný, vyhradený koreňový certifikát od CA tretej strany
Ak správa viacerých koreňových certifikátov alebo certifikátov s vlastným podpisom nie je príťažlivá, existuje ďalšia možnosť: spoliehať sa na CA tretej strany. V tomto prípade sa certifikáty vydávajú z súkromné CA, ktorá je prepojená v reťazci dôvery so špecializovanou, privátnou koreňovou CA vytvorenou špeciálne pre spoločnosť.
Zjednodušená architektúra pre špecializované klientske koreňové certifikáty
Toto nastavenie odstraňuje niektoré z vyššie uvedených problémov: prinajmenšom znižuje počet koreňov, ktoré je potrebné spravovať. Tu môžete použiť iba jedno súkromné koreňové oprávnenie pre všetky interné potreby PKI s ľubovoľným počtom sprostredkovateľských CA. Napríklad vyššie uvedený diagram ukazuje viacúrovňovú hierarchiu, kde sa jedna zo sprostredkovateľských CA používa na overenie/dešifrovanie SSL a druhá sa používa pre interné počítače (laptopy, servery, stolné počítače atď.).
V tomto dizajne nie je potrebné hostiť CA na všetkých klientoch, pretože CA najvyššej úrovne je hosťovaná spoločnosťou GlobalSign, ktorá rieši problémy s ochranou súkromných kľúčov a s vypršaním platnosti.
Ďalšou výhodou tohto prístupu je možnosť odvolať inšpekčnú autoritu SSL z akéhokoľvek dôvodu. Namiesto toho sa jednoducho vytvorí nový, ktorý je naviazaný na váš pôvodný súkromný root a môžete ho okamžite používať.
Napriek všetkým kontroverziám podniky čoraz častejšie implementujú kontrolu prevádzky SSL ako súčasť svojej internej alebo súkromnej infraštruktúry PKI. Medzi ďalšie použitia súkromných PKI patrí vydávanie certifikátov na overenie zariadenia alebo používateľa, SSL pre interné servery a rôzne konfigurácie, ktoré nie sú povolené vo verejných dôveryhodných certifikátoch, ako to vyžaduje fórum CA/Browser.
Prehliadače sa bránia
Treba poznamenať, že vývojári prehliadačov sa snažia tomuto trendu čeliť a chrániť koncových používateľov pred MiTM. Napríklad pred pár dňami Mozilla Predvolene povoľte protokol DoH (DNS-over-HTTPS) v jednej z ďalších verzií prehliadača vo Firefoxe. Protokol DoH skrýva DNS dotazy zo systému DPI, čo sťažuje kontrolu SSL.
O podobných plánoch 10. septembra 2019 Google pre prehliadač Chrome.
Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prosím.
Myslíte si, že spoločnosť má právo kontrolovať prevádzku SSL svojich zamestnancov?
-
Áno, s ich súhlasom
-
Nie, žiadanie o takýto súhlas je nezákonné a/alebo neetické
Hlasovalo 122 užívateľov. 15 užívateľov sa zdržalo hlasovania.
Zdroj: hab.com