Ketane ea tšepo. CC BY-SA 4.0
Tlhahlobo ea sephethephethe sa SSL (SSL/TLS decryption, SSL or DPI analysis) e ntse e fetoha taba e ntseng e chesa haholo ea lipuisano lekaleng la likhoebo. Mohopolo oa ho hlakola sephethephethe o bonahala o hanana le mohopolo oa ho hlaka. Leha ho le joalo, 'nete ke' nete: lik'hamphani tse ntseng li eketseha li sebelisa mahlale a DPI, li hlalosa sena ka tlhoko ea ho hlahloba litaba tsa malware, ho lutla ha data, jj.
Ha e le hantle, haeba re amohela taba ea hore theknoloji e joalo e hloka ho kenngoa ts'ebetsong, joale bonyane re lokela ho nahana ka litsela tsa ho e etsa ka tsela e sireletsehileng le e laoloang hantle ka ho fetisisa. Bonyane u se ke ua itšetleha ka litifikeiti tseo, mohlala, tseo mofani oa tsamaiso ea DPI a u fang tsona.
Ho na le karolo e le 'ngoe ea ts'ebetsong eo eseng bohle ba e tsebang. Ha e le hantle, batho ba bangata baa makala ha ba utloa ka eona. Ena ke bolaodi ba setifikeiti ba poraefete (CA). E hlahisa litifikeiti tsa ho hlakola le ho hlakola sephethephethe hape.
Sebakeng sa ho ts'epa litifikeiti kapa litifikeiti tse saenneng tse tsoang lisebelisoa tsa DPI, u ka sebelisa CA e inehetseng ho tsoa ho bolaoli ba setifikeiti sa motho oa boraro joalo ka GlobalSign. Empa pele, a re ke re hlahlobeng bothata ka bobona.
Tlhahlobo ea SSL ke eng, 'me ke hobane'ng ha e sebelisoa?
Liwebosaete tse ngata tsa sechaba li ntse li tsoela pele ho HTTPS. Ka mohlala, ho ea ka , qalong ea Loetse 2019, karolo ea sephethephethe se patiloeng Russia e fihlile ho 83%.
Ka bomalimabe, encryption ea sephethephethe e ntse e sebelisoa haholo ke bahlaseli, haholo hobane Let's Encrypt e aba likete tsa litifikeiti tsa mahala tsa SSL ka mokhoa o ikemetseng. Ka hona, HTTPS e sebelisoa hohle - mme senotlolo se ka har'a bareng ea aterese ea sebatli se khaolitse ho sebetsa e le sesupo se tšepahalang sa ts'ireletso.
Baetsi ba litharollo tsa DPI ba khothaletsa lihlahisoa tsa bona ho tsoa maemong ana. Li kentsoe lipakeng tsa basebelisi ba ho qetela (ke hore basebetsi ba hau ba ntse ba bala marang-rang) le Marang-rang, ba sefa sephethephethe se kotsi. Ho na le lihlahisoa tse ngata tse joalo 'marakeng kajeno, empa lits'ebetso li ntse li tšoana. Sephethephethe sa HTTPS se feta sesebelisoa sa tlhahlobo moo se hlakotsoeng le ho hlahlojoa bakeng sa malware.
Hang ha netefatso e phethiloe, sesebelisoa se theha lenaneo le lecha la SSL le moreki oa ho qetela ho hlakola le ho hlakola litaba hape.
Mokhoa oa ho notlolla/encryption o sebetsa joang
E le hore sesebelisoa sa tlhahlobo ea SSL se khone ho hlakola le ho ngola lipakete hape pele se li romella ho basebelisi ba ho qetela, se tlameha ho fana ka litifikeiti tsa SSL hang-hang. Sena se bolela hore e tlameha ho kenya setifikeiti sa CA.
Ho bohlokoa ho k'hamphani (kapa mang kapa mang ea bohareng) hore litifikeiti tsena tsa SSL li tšeptjoe ke li-browser (ke hore, u se ke ua hlahisa melaetsa ea temoso e tšosang joalo ka e ka tlase). Ka hona, ketane ea CA (kapa maemo a phahameng) e tlameha ho ba lebenkeleng la trust la sebatli. Hobane litifikeiti tsena ha li fanoe ho tsoa ho balaoli ba setifikeiti ba tšeptjoang phatlalatsa, u tlameha ho aba ka bouena bolaoli ba CA ho bareki bohle.
Molaetsa oa tlhokomeliso bakeng sa setifikeiti sa ho ingolisa ho Chrome. Mohloli:
Ho likhomphutha tsa Windows, u ka sebelisa Active Directory le Melaoana ea Sehlopha, empa bakeng sa lisebelisoa tsa mohala mokhoa ona o rarahane le ho feta.
Boemo bo ba thata le ho feta haeba o hloka ho ts'ehetsa mangolo a mang a metso tikolohong ea khoebo, mohlala, ho tsoa ho Microsoft, kapa ho ipapisitsoe le OpenSSL. Hape ts'ireletso le tsamaiso ea linotlolo tsa poraefete e le hore linotlolo life kapa life li se ke tsa felloa ke nako ka tšohanyetso.
Khetho e ntle ka ho fetisisa: setifikeiti sa poraefete, se inehetseng se tsoang ho motho oa boraro oa CA
Haeba ho laola metso e mengata kapa litifikeiti tsa ho ingolisa ho sa ratehe, ho na le khetho e 'ngoe: ho itšetleha ka CA ea motho oa boraro. Tabeng ena, litifikeiti li ntšoa ho tloha lekunutung CA e hokahaneng le ketane ea ts'epo le motso o ikemetseng oa CA o etselitsoeng k'hamphani ka ho khetheha.
Meaho e nolofalitsoeng bakeng sa litifikeiti tsa motso oa bareki ba inehetseng
Setupo sena se felisa a mang a mathata a boletsoeng pejana: bonyane e fokotsa palo ea metso e lokelang ho laoloa. Mona o ka sebelisa bolaoli bo le bong feela ba poraefete bakeng sa litlhoko tsohle tsa kahare tsa PKI, ka palo efe kapa efe ea li-CA tsa mahareng. Mohlala, sets'oants'o se kaholimo se bonts'a bolaoli ba maemo a mangata moo e 'ngoe ea li-CA tse mahareng e sebelisetsoang netefatso / decryption ea SSL 'me e' ngoe e sebelisoa bakeng sa likhomphutha tse ka hare (lilaptop, li-server, li-desktops, joalo-joalo).
Moqapi ona, ha ho hlokahale ho amohela CA ho bareki bohle hobane CA ea boemo bo holimo e tšoaroa ke GlobalSign, e rarollang tšireletso ea senotlolo sa poraefete le litaba tsa ho felloa ke nako.
Molemo o mong oa mokhoa ona ke bokhoni ba ho hlakola bolaoli ba tlhahlobo ea SSL ka lebaka lefe kapa lefe. Ho e-na le hoo, e ncha e bōpiloe feela, e hokahaneng le motso oa hau oa pele oa poraefete, 'me u ka e sebelisa hang-hang.
Leha ho na le likhang tsohle, likhoebo li ntse li tsoela pele ho kenya ts'ebetsong tlhahlobo ea sephethephethe sa SSL e le karolo ea lisebelisoa tsa bona tsa kahare kapa tsa lekunutu tsa PKI. Litšebeliso tse ling bakeng sa PKI ea poraefete li kenyelletsa ho fana ka litifikeiti bakeng sa sesebelisoa kapa netefatso ea mosebelisi, SSL bakeng sa li-server tse ka hare, le litlhophiso tse fapaneng tse sa lumelloeng ho litifikeiti tse tšepahalang tsa sechaba joalo ka ha ho hlokoa ke CA/Browser Forum.
Bashebelli ba ntse ba itoanela
Hoa lokela ho hlokomeloa hore baetsi ba li-browser ba leka ho loantša mokhoa ona le ho sireletsa basebelisi ba ho qetela ho MiTM. Ka mohlala, matsatsing a 'maloa a fetileng Mozilla Numella protocol ea DoH (DNS-over-HTTPS) ka mokhoa o ikhethileng ho e 'ngoe ea liphetolelo tse latelang tsa sebatli ho Firefox. Protocol ea DoH e pata lipotso tsa DNS ho tsoa ho sistimi ea DPI, ho etsa hore tlhahlobo ea SSL e be thata.
Mabapi le merero e ts'oanang ka la 10 Loetse 2019 Google bakeng sa sebatli sa Chrome.
Ke basebelisi ba ngolisitsoeng feela ba ka kenyang letsoho phuputsong. ka kopo.
Na u nahana hore k'hamphani e na le tokelo ea ho hlahloba sephethephethe sa SSL sa basebetsi ba eona?
-
E, ka tumello ea bona
-
Che, ho kopa tumello e joalo ha ho molaong ebile/kapa ho fosahetse
Basebelisi ba 122 ba ile ba khetha. Basebelisi ba 15 ba ile ba hana.
Source: www.habr.com