
Zgjidhja e besimit. CC BY-SA 4.0
Inspektimi i trafikut SSL (dekriptimi SSL/TLS, analiza SSL ose DPI) është bërë një temë gjithnjë e më e nxehtë diskutimi në sektorin korporativ. Ideja e dekriptimit të trafikut duket se është në kundërshtim me konceptin e kriptografisë. Megjithatë, fakti është se gjithnjë e më shumë kompani po përdorin teknologji DPI, duke e arsyetuar këtë nevojën për të kontrolluar përmbajtjen për malware, rrjedhje të dhënash etj.
Mirë, nëse e pranojmë si fakt se është e nevojshme të implementohet një teknologji e tillë, atëherë duhet të shqyrtojmë mënyrat për ta bërë këtë në një mënyrë sa më të sigurt dhe të menaxhuar mirë. Të paktën, mos të mbështetemi në ato certifikata, për shembull, që ju jep ofruesi i sistemit DPI.
Ka një aspekt të implementimit që nuk e dinë të gjithë. Në të vërtetë, shumë janë të habitur kur e dëgjojnë atë. Ky është një qendër private certifikimi (CС). Ajo gjeneron certifikata për dekriptimin dhe ri-enkriptimin e trafikut.
Në vend që të mbështeteni në certifikatat e vetëshkruara ose certifikatat nga pajisjet DPI, mund të përdorni një CA të dedikuar nga një qendër e tretë e sertifikimit, si GlobalSign. Por së pari, le të bëjmë një përmbledhje të vogël të problemit të vetë.
Çfarë është inspektimi SSL dhe pse përdoret ai?
Një numër në rritje i faqeve publike po kalojnë në HTTPS. Për shembull, sipas , në fillim të shtatorit 2019, pjesa e trafikut të enkriptuar në Rusi arriti në 83%.
Fatkeqësisht, enkriptimi i trafikut përdoret gjithnjë e më shumë edhe nga kriminelët, veçanërisht tani që Let’s Encrypt po shpërndan miliona certifikata SSL falas në mënyrë automatike. Kështu, HTTPS përdoret kudo — dhe ikona e çelësit në shiritin e adresës së shfletuesit ka humbur besueshmërinë si një indikator i sigurisë.
Këto pozita përdoren nga prodhuesit e zgjidhjeve DPI për të promovuar produktin e tyre. Ato ndërhyjnë midis përdoruesve të fundit (dmth. punonjësve tuaj që shohin faqe web) dhe Internetit, duke filtruar trafikun e dëmshëm. Aktualisht në treg existe një gamë e tillë produktesh, por proceset janë esencialisht të njëjta. Trafiku HTTPS kalon përmes pajisjes së verifikimit, ku ajo dekodifikohet dhe kontrollohet për malware.
Pasi përfundon verifikimi, pajisja krijon një sesion të ri SSL me klientin përfundimtar për dekodimin dhe ribllokimin e përmbajtjes.
Si funksionon procesi i dekodimit/ribllokimit
Për të dekoduar dhe ribllokuar paketat para se t'i dërgojë tek përdoruesit përfundimtar, pajisja e inspektimit SSL duhet të ketë mundësinë të lëshojë certifikata SSL në kohë reale. Kjo do të thotë se duhet të ketë një certifikatë CA të instaluar.
Për një kompani (apo një tjetër person në mes), është e rëndësishme që këto certifikata SSL të jenë të besueshme në shfletues (pra, të mos shkaktojnë mesazhe alarmuese si ato që ilustrohet më poshtë). Prandaj, zinxhiri i CA-së (ose hierarkia) duhet të ndodhet në depozitat e besueshmërisë së shfletuesit. Duke qenë se këto certifikata nuk lëshohen nga qendrat e certifikimit të besueshme publike, është e nevojshme të transmetohet manualisht hierarkia e CA-së te të gjithë klientët përfundimtarë.

Mesazhi i alarmit për një certifikat të vetëshkruar në Chrome. Burimi:
Në kompjuterët me Windows, mund të përfshihet Active Directory dhe politika grupore, por për pajisjet mobile procedura është më e komplikuar.
Situata bëhet edhe më e komplikuar kur duhet të mbështetet në një mjedis korporate edhe certifikata të tjera rrënjësore, për shembull nga Microsoft, ose ato të bazuara në OpenSSL. Plus mbrojtja e çelësave sekretë dhe menaxhimi i tyre, në mënyrë që asnjë nga çelësat të mos skadojë papritur.
Zgjidhja më e mirë: një certifikat rrënjësor privat dhe të dedikuar nga një CA të jashtme.
Nëse menaxhimi i disa rrënjëve ose certifikatave të vetë-nënshkruara nuk është tërheqës, ka një alternativë: mund të besoni në një CA të jashtme. Në këtë rast, certifikatat lëshohen nga një qendër e besimit private, e cila është e lidhur në zinxhirin e besimit me një rrënjë private të certifikimit, e krijuar posaçërisht për kompaninë.
Arkitekturë e thjeshtuar për certifikatat e rrënjës së dedikuar të klientëve
Kjo konfigurim eliminon disa nga problemet e përmendura më parë: të paktën redukton numrin e rrënjëve që nevojitet të menaxhohen. Këtu mund të përdoret vetëm një qendër private rrënjë për të gjitha nevojat e brendshme të PKI me çdo numër të qendrave të ndërmjetme të certifikimit. Për shembull, në diagramin e mësipërm tregohet një hierarki shumë-niveli, ku njëra nga qendrat e ndërmjetme të certifikimit përdoret për verifikimin/dekriptimin e SSL, ndërsa tjetra — për kompjuterët e brendshëm (laptopët, serverët, kompjuterët desktop, etj.).
Në këtë skemë nuk është e nevojshme të vendosni CA te të gjithë klientët, sepse CA e nivelit të lartë është vendosur te GlobalSign, duke zgjidhur problemet me mbrojtjen e çelësit privat dhe afatin e tij.
Një tjetër avantazh i këtij qasje është mundësia e tërheqjes së autoritetit të certifikimit SSL për çdo arsye. Në vend të tij, krijohet thjesht një i ri, i cili lidhet me rrënjën tuaj private dhe mund të përdoret menjëherë.
Pavarësisht të gjitha kundërshtimeve, bizneset po vendosin gjithnjë e më shumë të zbatojnë inspektimin SSL të trafikut si pjesë të infrastrukturës së brendshme ose private PKI. Opsione të tjera të përdorimit të PKI private përfshijnë lëshimin e certifikatave për autentikimin e pajisjeve ose përdoruesve, SSL për serverat e brendshëm, si dhe konfigurime të ndryshme që nuk lejohet në certifikatat e besuara publike sipas kërkesave të CA/Browser Forum.
Shfletuesit janë të rezistueshëm.
Duhet të theksohet se zhvilluesit e shfletuesve po përpiqen të kundërshtojnë këtë tendencë dhe të mbrojnë përdoruesit përfundimtarë nga MiTM. Shembull, disa ditë më parë Mozilla aktivizoni për parazgjedhje protokollin DoH (DNS-over-HTTPS) në njërën nga versionet e mëposhtme të shfletuesit Firefox. Protokolli DoH fsheh kërkesat DNS nga sistemi DPI, duke e vështirësuar inspektimin SSL.
Për planet e ngjashme më 10 Shtator 2019 kompania Google për shfletuesin Chrome.
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , ju lutemi.
Si mendoni, a ka të drejtë kompania të inspektojë trafikun SSL të punonjësve të saj?
Po, me pëlqimin e tyre
Jo, kërkimi për një pëlqim të tillë është i paligjshëm dhe/ose joetik
122 përdorues votuan. 15 përdorues abstenuan.
Burimi: habr.com
