Veriga zaupanja. CC BY-SA 4.0
Pregled prometa SSL (dešifriranje SSL/TLS, analiza SSL ali DPI) postaja vse bolj vroča tema razprav v podjetniškem sektorju. Zdi se, da je zamisel o dešifriranju prometa v nasprotju s samim konceptom kriptografije. Vendar dejstvo je dejstvo: vse več podjetij uporablja tehnologije DPI, kar pojasnjuje s potrebo po preverjanju vsebine za zlonamerno programsko opremo, uhajanje podatkov itd.
No, če sprejmemo dejstvo, da je takšno tehnologijo treba implementirati, potem bi morali razmisliti vsaj o načinih, kako to narediti na najvarnejši in najbolj upravljan možni način. Vsaj ne zanašajte se na tiste certifikate, ki vam jih na primer izda dobavitelj sistema DPI.
Obstaja en vidik izvajanja, ki ga vsi ne poznajo. Pravzaprav je veliko ljudi resnično presenečenih, ko slišijo za to. To je zasebni certifikacijski organ (CA). Ustvarja potrdila za dešifriranje in ponovno šifriranje prometa.
Namesto da se zanašate na samopodpisana potrdila ali potrdila iz naprav DPI, lahko uporabite namensko CA overitelja potrdil tretje osebe, kot je GlobalSign. Toda najprej naredimo kratek pregled same težave.
Kaj je inšpekcija SSL in zakaj se uporablja?
Vse več javnih spletnih mest prehaja na HTTPS. Na primer glede na , v začetku septembra 2019 je delež šifriranega prometa v Rusiji dosegel 83 %.
Na žalost šifriranje prometa vse pogosteje uporabljajo napadalci, še posebej, ker Let's Encrypt avtomatizirano distribuira na tisoče brezplačnih SSL certifikatov. Tako se HTTPS uporablja povsod - ključavnica v naslovni vrstici brskalnika pa ni več zanesljiv pokazatelj varnosti.
Proizvajalci rešitev DPI promovirajo svoje izdelke s teh pozicij. Vgrajeni so med končne uporabnike (tj. vaše zaposlene, ki brskajo po spletu) in internet ter filtrirajo zlonamerni promet. Danes je na trgu veliko takih izdelkov, vendar so postopki v bistvu enaki. Promet HTTPS gre skozi inšpekcijsko napravo, kjer je dešifriran in preverjen za zlonamerno programsko opremo.
Ko je preverjanje končano, naprava ustvari novo sejo SSL s končnim odjemalcem za dešifriranje in ponovno šifriranje vsebine.
Kako deluje postopek dešifriranja/ponovnega šifriranja
Da lahko naprava za pregled SSL dešifrira in ponovno šifrira pakete, preden jih pošlje končnim uporabnikom, mora biti sposobna sproti izdajati potrdila SSL. To pomeni, da mora imeti nameščen CA certifikat.
Za podjetje (ali kogar koli v sredini) je pomembno, da brskalniki zaupajo tem certifikatom SSL (tj. ne sprožijo grozljivih opozorilnih sporočil, kot je to spodaj). Zato mora biti veriga CA (ali hierarhija) v brskalnikovi shrambi zaupanja. Ker teh potrdil ne izdajo javno zaupanja vredne overitelje potrdil, morate hierarhijo CA ročno razdeliti vsem končnim odjemalcem.
Opozorilno sporočilo za samopodpisano potrdilo v Chromu. Vir:
V računalnikih z operacijskim sistemom Windows lahko uporabljate Active Directory in skupinske pravilnike, pri mobilnih napravah pa je postopek bolj zapleten.
Situacija postane še bolj zapletena, če potrebujete podporo za druga korenska potrdila v korporativnem okolju, na primer od Microsofta ali na podlagi OpenSSL. Plus zaščita in upravljanje zasebnih ključev, tako da kateri od ključev ne poteče nepričakovano.
Najboljša možnost: zasebno namensko korensko potrdilo tretje osebe CA
Če upravljanje več korenskih ali samopodpisanih potrdil ni privlačno, obstaja še ena možnost: zanašanje na CA tretje osebe. V tem primeru se potrdila izdajo iz zasebno CA, ki je v verigi zaupanja povezan z namenskim zasebnim korenskim CA, ustvarjenim posebej za podjetje.
Poenostavljena arhitektura za namenska korenska potrdila odjemalca
Ta nastavitev odpravi nekatere prej omenjene težave: vsaj zmanjša število korenin, ki jih je treba upravljati. Tukaj lahko uporabite samo eno zasebno korensko pooblastilo za vse notranje potrebe PKI s poljubnim številom vmesnih CA. Na primer, zgornji diagram prikazuje hierarhijo na več ravneh, kjer se ena od vmesnih CA uporablja za preverjanje/dešifriranje SSL, druga pa se uporablja za notranje računalnike (prenosne računalnike, strežnike, namizne računalnike itd.).
V tej zasnovi ni potrebe po gostovanju CA na vseh odjemalcih, ker CA na najvišji ravni gosti GlobalSign, ki rešuje težave z zaščito zasebnega ključa in potekom veljavnosti.
Druga prednost tega pristopa je možnost preklica inšpekcijskega pooblastila SSL iz katerega koli razloga. Namesto tega se preprosto ustvari nov, ki je vezan na vaš izvirni zasebni koren in ga lahko takoj uporabite.
Kljub vsem polemikam podjetja vedno pogosteje izvajajo nadzor prometa SSL kot del svoje notranje ali zasebne infrastrukture PKI. Druge uporabe zasebnega PKI vključujejo izdajanje potrdil za preverjanje pristnosti naprave ali uporabnika, SSL za notranje strežnike in različne konfiguracije, ki niso dovoljene v javnih zaupanja vrednih potrdilih, kot zahteva CA/Browser Forum.
Brskalniki se borijo nazaj
Opozoriti je treba, da razvijalci brskalnikov poskušajo preprečiti ta trend in zaščititi končne uporabnike pred MiTM. Na primer, pred nekaj dnevi Mozilla Privzeto omogočite protokol DoH (DNS-over-HTTPS) v eni od naslednjih različic brskalnika v Firefoxu. Protokol DoH skrije poizvedbe DNS pred sistemom DPI, kar oteži pregled SSL.
O podobnih načrtih 10. september 2019 Google za brskalnik Chrome.
V anketi lahko sodelujejo samo registrirani uporabniki. , prosim.
Ali menite, da ima podjetje pravico pregledovati SSL promet svojih zaposlenih?
-
Da, z njihovim soglasjem
-
Ne, prositi za takšno privolitev je nezakonito in/ali neetično
Glasovalo je 122 uporabnikov. 15 uporabnikov se je vzdržalo.
Vir: www.habr.com