ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > DPI (kormeerka SSL) wuxuu ka soo horjeedaa hadhuudhka cryptography, laakiin shirkaduhu way fulinayaan

DPI (kormeerka SSL) wuxuu ka soo horjeedaa hadhuudhka cryptography, laakiin shirkaduhu way fulinayaan

DPI (kormeerka SSL) wuxuu ka soo horjeedaa hadhuudhka cryptography, laakiin shirkaduhu way fulinayaan
Silsiladda kalsoonida. CC BY-SA 4.0 Yanpas

Kormeerka taraafikada SSL (SSL/TLS decryption, SSL ama falanqaynta DPI) ayaa noqonaysa mawduuc aad u kulul oo laga hadlayo qaybta shirkadaha. Fikradda decryption-ka taraafikada waxay u muuqataa inay ka hor imanayso fikradda cryptography. Si kastaba ha ahaatee, xaqiiqadu waa xaqiiqo: shirkado badan oo badan ayaa isticmaalaya teknoolajiyada DPI, taas oo sharraxaysa baahida loo qabo in la hubiyo waxa ku jira malware, xogta daadinta, iwm.

Waa hagaag, haddii aan aqbalno xaqiiqda ah in tignoolajiyada noocan oo kale ah loo baahan yahay in la hirgeliyo, markaa waa inaan ugu yaraan ka fikirnaa siyaabaha loo sameeyo habka ugu badbaadsan iyo sida ugu wanaagsan ee suurtogalka ah. Ugu yaraan ha isku hallayn shahaadooyinkaas, tusaale ahaan, in alaab-qeybiyaha nidaamka DPI uu ku siiyo.

Waxa jirta hal dhinac oo dhaqangelin ah oo aanu qof walba garanayn. Dhab ahaantii, dad badan ayaa runtii la yaabay markay maqlaan wax ku saabsan. Tani waa hay'ad shahaado-siinta gaarka ah (CA). Waxay soo saartaa shahaadooyin si loo kala saaro oo dib loogu sifeeyo taraafikada.

Halkii aad ku tiirsanaan lahayd shahaadooyin iskiis u saxeexay ama shahaadooyinka aaladaha DPI, waxaad isticmaali kartaa CA u go'an oo ka socota maamulka shahaadada dhinac saddexaad sida GlobalSign. Laakiin marka hore, aan samayno dulmar yar oo ku saabsan dhibaatada lafteeda.

Waa maxay baaritaanka SSL iyo sababta loo isticmaalo?

Websaydhyo badan oo dadweyne ayaa u guuraya HTTPS. Tusaale ahaan, sida uu qabo Tirakoobka Chrome, horaantii Sebtembar 2019, saamiga taraafikada sirta ah ee Ruushka ayaa gaadhay 83%.

DPI (kormeerka SSL) wuxuu ka soo horjeedaa hadhuudhka cryptography, laakiin shirkaduhu way fulinayaan

Nasiib darrose, sirta taraafikada ayaa si isa soo taraysa ay u isticmaalayaan kuwa wax weeraraya, gaar ahaan marka aynu Encrypt u qaybinno kumanaan shahaadooyin SSL oo bilaash ah si toos ah. Markaa, HTTPS ayaa meel walba laga isticmaalaa - oo qufulka barta ciwaanka browserka ayaa joogsaday inuu u adeego sida tilmaame la isku halayn karo oo amniga ah.

Soo-saareyaasha xalalka DPI waxay kor u qaadaan alaabtooda boosaskan. Waxay ku dhexjiraan isticmaalayaasha dhamaadka ah (sida shaqaalahaaga oo baadhaya mareegaha) iyo internetka, iyaga oo sifeynaya taraafikada xunxun. Waxaa jira tiro ka mid ah alaabooyinkan oo kale suuqa maanta, laakiin habraacyadu waa isku mid. Taraafikada HTTPS waxay dhex maraa aaladda baadhista halkaas oo laga soo saaro oo laga hubiyo malware.

Marka hubinta la dhammeeyo, qalabku wuxuu abuuraa kalfadhi cusub oo SSL ah oo leh macmiilka ugu dambeeya si uu u furfuro oo dib-u-qoro macluumaadka.

Sida habka fur-furid/dib-u-qoris u shaqeeyo

Si qalabka baadhista SSL uu u furfuro oo uu dib u xafido xirmooyinka ka hor inta aan loo dirin isticmaalayaasha dhamaadka ah, waa in ay awood u yeelataa bixinta shahaadooyinka SSL ee duulista. Tani waxay ka dhigan tahay inay ku rakiban tahay shahaadada CA.

Waxaa muhiim u ah shirkadda (ama cid kasta oo dhexda ku jirta) in shahaadooyinkan SSL lagu aamino daalacashada (ie, ha kicin fariimaha digniinta cabsida leh sida kan hoose). Sidaa darteed silsiladda CA (ama kala sareynta) waa inay ku jirtaa kaydka kalsoonida browserka. Sababtoo ah shahaadooyinkan aan laga soo saarin mas'uuliyiinta shahaadaynta ee si guud loo aamini karo, waa inaad gacanta ugu qaybisaa kala sareynta CA dhammaan macaamiisha dhamaadka ah.

DPI (kormeerka SSL) wuxuu ka soo horjeedaa hadhuudhka cryptography, laakiin shirkaduhu way fulinayaan
Fariinta digniinta ee shahaadada is-saxiixa ee Chrome. Xigasho: BadSSL.com

Kombiyuutarrada Windows, waxaad isticmaali kartaa Active Directory iyo Siyaasadda Kooxda, laakiin aaladaha mobilada habraacu aad ayuu u dhib badan yahay.

Xaaladdu way sii adkaanaysaa haddii aad u baahan tahay inaad taageerto shahaadooyinka xididka kale ee jawiga shirkadda, tusaale ahaan, Microsoft, ama ku salaysan OpenSSL. Waxaa dheer ilaalinta iyo maareynta furayaasha gaarka ah si mid ka mid ah furayaasha uusan u dhicin si lama filaan ah.

Xulashada ugu fiican: mid gaar ah, shahaado xidid oo go'an oo ka socota CA dhinac saddexaad

Haddii maaraynta xididdo badan ama shahaadooyin is-saxiix ahi aanay ahayn mid soo jiidasho leh, waxa jira ikhtiyaar kale: ku tiirsanaanta CA- dhinac saddexaad. Xaaladdan oo kale, shahaadooyinka ayaa laga soo saaray gaar ah CA oo ku xidhan silsiladda kalsoonida si ay u go'an tahay, xididka gaarka ah CA abuuray si gaar ah shirkadda.

DPI (kormeerka SSL) wuxuu ka soo horjeedaa hadhuudhka cryptography, laakiin shirkaduhu way fulinayaan
Nashqada la fududeeyay ee shahaadooyinka xididka macmiilka ee u go'an

Habayntani waxay meesha ka saaraysaa qaar ka mid ah dhibaatooyinka hore loo sheegay: ugu yaraan waxay yaraynaysaa tirada xididada u baahan in la maareeyo. Halkan waxa aad u isticmaali kartaa kaliya hal hay'ad xidid gaar ah dhammaan baahiyaha PKI gudaha, oo leh tiro kasta oo CA ah oo dhexdhexaad ah. Tusaale ahaan, jaantuska kore wuxuu muujinayaa kala sareyn heerar badan ah halkaas oo mid ka mid ah CA-yada dhexe loo isticmaalo xaqiijinta/dejinta SSL kan kalena loo isticmaalo kombuyuutarrada gudaha ah (laptops, servers, desktops, iwm.).

Naqshaddan, looma baahna in lagu martigeliyo CA dhammaan macaamiisha sababtoo ah heerka ugu sarreeya CA waxaa martigeliyay GlobalSign, kaas oo xalliya ilaalinta muhiimka ah ee gaarka ah iyo arrimaha dhicitaanka.

Faa'iidada kale ee habkan waa awoodda lagu burinayo maamulka kormeerka SSL sabab kasta ha ahaatee. Taa baddalkeeda, mid cusub ayaa si fudud loo abuuray, kaas oo ku xiran asalkaaga asalka ah ee gaarka ah, oo aad isla markiiba isticmaali karto.

In kasta oo ay jiraan dhammaan khilaafyada, shirkaduhu waxay si sii kordheysa u fulinayaan kormeerka taraafikada SSL taas oo qayb ka ah kaabayaasha gudaha ama kuwa gaarka ah ee PKI. Isticmaalka kale ee PKI-ga gaarka ah waxaa ka mid ah bixinta shahaadooyinka qalabka ama aqoonsiga isticmaalaha, SSL ee server-yada gudaha, iyo qaabab kala duwan oo aan loo ogolayn shahaadooyinka kalsoonida dadweynaha sida looga baahan yahay Madasha CA/Browser.

Browser-ka ayaa dib u dagaallamaya

Waa in la ogaadaa in horumariyayaashu ay isku dayayaan inay ka hortagaan isbeddelkan oo ay ka ilaaliyaan isticmaalayaasha dhamaadka MiTM. Tusaale ahaan, dhowr maalmood ka hor Mozilla go'aan ayuu qaatay U yeel nidaamka DoH (DNS-over-HTTPS) si caadi ah mid ka mid ah noocyada browserka soo socda ee Firefox. Hab-maamuuska DoH wuxuu ka qariyaa weydiimaha DNS nidaamka DPI, taasoo ka dhigaysa kormeerka SSL mid adag.

Ku saabsan qorshayaasha la midka ah Sebtembar 10, 2019 lagu dhawaaqay Google ee browserka Chrome.

DPI (kormeerka SSL) wuxuu ka soo horjeedaa hadhuudhka cryptography, laakiin shirkaduhu way fulinayaan

Isticmaalayaasha diiwaangashan oo keliya ayaa ka qaybqaadan kara sahanka. Soo gal, soo dhawoow.

Ma kula tahay in shirkaddu xaq u leedahay inay baarto taraafikada SSL ee shaqaalaheeda?

  • Haa, ogolaanshahooda

  • Maya, codsashada ogolaanshahan waa sharci darro iyo/ama anshax darro

122 isticmaale ayaa u codeeyay. 15 isticmaale ayaa ka aamusay.

Source: www.habr.com

Add a comment