Ланац поверења. ЦЦ БИ-СА 4.0
Инспекција ССЛ саобраћаја (ССЛ/ТЛС дешифровање, ССЛ или ДПИ анализа) постаје све врућа тема дискусије у корпоративном сектору. Чини се да је идеја дешифровања саобраћаја у супротности са самим концептом криптографије. Међутим, чињеница је чињеница: све више компанија користи ДПИ технологије, објашњавајући то потребом да провере садржај на малвер, цурење података итд.
Па, ако прихватимо чињеницу да такву технологију треба имплементирати, онда бисмо барем требали размотрити начине да то урадимо на најсигурнији и најбоље вођен начин. Бар се немојте ослањати на те сертификате, на пример, које вам даје добављач ДПИ система.
Постоји један аспект имплементације за који не знају сви. У ствари, многи људи су заиста изненађени када чују за то. Ово је приватно сертификационо тело (ЦА). Он генерише сертификате за дешифровање и поновно шифровање саобраћаја.
Уместо да се ослањате на самопотписане сертификате или сертификате са ДПИ уређаја, можете да користите наменски ЦА од независног ауторитета сертификата као што је ГлобалСигн. Али прво, хајде да направимо мали преглед самог проблема.
Шта је ССЛ инспекција и зашто се користи?
Све више јавних веб локација прелази на ХТТПС. На пример, према , почетком септембра 2019. године удео шифрованог саобраћаја у Русији достигао је 83%.
Нажалост, шифровање саобраћаја све више користе нападачи, посебно зато што Лет'с Енцрипт дистрибуира хиљаде бесплатних ССЛ сертификата на аутоматизован начин. Дакле, ХТТПС се користи свуда - а катанац у адресној траци претраживача је престао да служи као поуздан показатељ безбедности.
Произвођачи ДПИ решења промовишу своје производе са ових позиција. Они су уграђени између крајњих корисника (тј. ваших запослених који претражују веб) и Интернета, филтрирајући злонамерни саобраћај. Данас постоји велики број таквих производа на тржишту, али су процеси у суштини исти. ХТТПС саобраћај пролази кроз уређај за инспекцију где се дешифрује и проверава да ли има малвера.
Када се верификација заврши, уређај креира нову ССЛ сесију са крајњим клијентом да би дешифровао и поново шифровао садржај.
Како функционише процес дешифровања/поновног шифровања
Да би уређај за ССЛ инспекцију могао дешифровати и поново шифровати пакете пре него што их пошаље крајњим корисницима, мора бити у стању да издаје ССЛ сертификате у ходу. То значи да мора имати инсталиран ЦА сертификат.
За компанију (или било кога у средини) важно је да прегледачи верују овим ССЛ сертификатима (тј. да не покрећу застрашујуће поруке упозорења попут оне испод). Стога ЦА ланац (или хијерархија) мора бити у складишту поверења претраживача. Пошто се ови сертификати не издају од јавних поузданих ауторитета сертификата, морате ручно да дистрибуирате ЦА хијерархију свим крајњим клијентима.
Порука упозорења за самопотписани сертификат у Цхроме-у. Извор:
На Виндовс рачунарима можете користити Ацтиве Дирецтори и групне политике, али за мобилне уређаје је процедура компликованија.
Ситуација постаје још компликованија ако треба да подржите друге роот сертификате у корпоративном окружењу, на пример, од Мицрософт-а или засноване на ОпенССЛ-у. Плус заштита и управљање приватним кључевима тако да ниједан од кључева не би неочекивано истекао.
Најбоља опција: приватни, наменски роот сертификат од ЦА треће стране
Ако управљање вишеструким коренским или самопотписаним сертификатима није привлачно, постоји још једна опција: ослањање на ЦА треће стране. У овом случају, сертификати се издају од приватно ЦА који је повезан у ланцу поверења са наменским, приватним основним ЦА креираним посебно за компанију.
Поједностављена архитектура за наменске коренске сертификате клијента
Ово подешавање елиминише неке од раније поменутих проблема: барем смањује број роот-ова којима треба управљати. Овде можете користити само једно приватно основно овлашћење за све интерне ПКИ потребе, са било којим бројем средњих ЦА. На пример, горњи дијаграм приказује хијерархију на више нивоа где се један од средњих ЦА користи за ССЛ верификацију/дешифровање, а други за интерне рачунаре (лаптопови, сервери, десктопи, итд.).
У овом дизајну, нема потребе да се хостује ЦА на свим клијентима јер ЦА највишег нивоа хостује ГлобалСигн, који решава проблеме заштите приватног кључа и истека.
Још једна предност овог приступа је могућност да се из било ког разлога опозове овлашћење за ССЛ инспекцију. Уместо тога, једноставно се креира нови, који је везан за ваш оригинални приватни корен, и можете га одмах користити.
Упркос свим контроверзама, предузећа све више примењују инспекцију ССЛ саобраћаја као део своје интерне или приватне ПКИ инфраструктуре. Остале употребе приватног ПКИ-ја укључују издавање сертификата за аутентификацију уређаја или корисника, ССЛ за интерне сервере и разне конфигурације које нису дозвољене у јавним поузданим сертификатима како то захтева ЦА/Бровсер Форум.
Прегледачи узвраћају ударац
Треба напоменути да програмери претраживача покушавају да се супротставе овом тренду и заштите крајње кориснике од МиТМ-а. На пример, пре неколико дана Мозилла Омогућите ДоХ (ДНС-овер-ХТТПС) протокол подразумевано у једној од наредних верзија претраживача у Фирефок-у. ДоХ протокол сакрива ДНС упите из ДПИ система, што отежава ССЛ инспекцију.
О сличним плановима 10 Гоогле за Цхроме претраживач.
Само регистровани корисници могу учествовати у анкети. , Добродошао си.
Да ли мислите да компанија има право да контролише ССЛ саобраћај својих запослених?
-
Да, уз њихову сагласност
-
Не, тражење такве сагласности је незаконито и/или неетично
122 корисника је гласало. 15 корисника је било уздржано.
Извор: ввв.хабр.цом