Förtroendekedja. CC BY-SA 4.0
SSL-trafikinspektion (SSL/TLS-dekryptering, SSL- eller DPI-analys) blir ett alltmer hett diskussionsämne inom företagssektorn. Idén om att dekryptera trafik verkar motsäga själva konceptet med kryptografi. Faktum är dock ett faktum: fler och fler företag använder DPI-teknik, vilket förklarar detta med behovet av att kontrollera innehåll för skadlig programvara, dataläckor, etc.
Tja, om vi accepterar det faktum att sådan teknik behöver implementeras, så bör vi åtminstone överväga sätt att göra det på det säkraste och mest välskötta sättet som möjligt. Lita åtminstone inte på de certifikaten, till exempel som DPI-systemleverantören ger dig.
Det finns en aspekt av implementeringen som inte alla känner till. Faktum är att många människor blir riktigt förvånade när de hör om det. Detta är en privat certifieringsmyndighet (CA). Den genererar certifikat för att dekryptera och omkryptera trafik.
Istället för att förlita sig på självsignerade certifikat eller certifikat från DPI-enheter kan du använda en dedikerad CA från en tredjepartscertifikatutfärdare som GlobalSign. Men låt oss först göra en liten översikt över själva problemet.
Vad är SSL-inspektion och varför används det?
Fler och fler offentliga webbplatser flyttar till HTTPS. Till exempel enligt , i början av september 2019 nådde andelen krypterad trafik i Ryssland 83 %.
Tyvärr används trafikkryptering i allt högre grad av angripare, speciellt eftersom Let's Encrypt distribuerar tusentals gratis SSL-certifikat på ett automatiserat sätt. Således används HTTPS överallt - och hänglåset i webbläsarens adressfält har upphört att fungera som en pålitlig indikator på säkerhet.
Tillverkare av DPI-lösningar marknadsför sina produkter från dessa positioner. De är inbäddade mellan slutanvändare (d.v.s. dina anställda som surfar på webben) och Internet och filtrerar bort skadlig trafik. Det finns ett antal sådana produkter på marknaden idag, men processerna är i stort sett desamma. HTTPS-trafik passerar genom en inspektionsenhet där den dekrypteras och kontrolleras för skadlig programvara.
När verifieringen är klar skapar enheten en ny SSL-session med slutklienten för att dekryptera och omkryptera innehållet.
Hur dekryptering/omkrypteringsprocessen fungerar
För att SSL-inspektionsenheten ska dekryptera och omkryptera paket innan de skickas till slutanvändare måste den kunna utfärda SSL-certifikat i farten. Det betyder att den måste ha ett CA-certifikat installerat.
Det är viktigt för företaget (eller vem som helst i mitten) att dessa SSL-certifikat är betrodda av webbläsare (d.v.s. utlöser inte skrämmande varningsmeddelanden som det nedan). Därför måste CA-kedjan (eller hierarkin) finnas i webbläsarens förtroendelager. Eftersom dessa certifikat inte utfärdas från offentligt betrodda certifikatutfärdare måste du manuellt distribuera CA-hierarkin till alla slutklienter.
Varningsmeddelande för självsignerat certifikat i Chrome. Källa:
På Windows-datorer kan du använda Active Directory och grupppolicyer, men för mobila enheter är proceduren mer komplicerad.
Situationen blir ännu mer komplicerad om du behöver stödja andra rotcertifikat i en företagsmiljö, till exempel från Microsoft, eller baserat på OpenSSL. Plus skydd och hantering av privata nycklar så att någon av nycklarna inte förfaller oväntat.
Bästa alternativet: privat, dedikerat rotcertifikat från en tredje parts CA
Om det inte är tilltalande att hantera flera rötter eller självsignerade certifikat, finns det ett annat alternativ: att förlita sig på en tredje parts CA. I detta fall utfärdas certifikat från privat en CA som är länkad i en förtroendekedja till en dedikerad, privat rot-CA skapad specifikt för företaget.
Förenklad arkitektur för dedikerade klientrotcertifikat
Den här inställningen eliminerar några av de problem som nämnts tidigare: den minskar åtminstone antalet rötter som behöver hanteras. Här kan du bara använda en privat rotbehörighet för alla interna PKI-behov, med valfritt antal mellanliggande CA:er. Till exempel visar diagrammet ovan en flernivåhierarki där en av de mellanliggande CA:erna används för SSL-verifiering/dekryptering och den andra används för interna datorer (bärbara datorer, servrar, stationära datorer, etc.).
I den här designen finns det inget behov av att vara värd för en certifikatutfärdare på alla klienter eftersom certifikatutfärdaren på toppnivå är värd för GlobalSign, som löser problem med skydd av privata nycklar och utgångsdatum.
En annan fördel med detta tillvägagångssätt är möjligheten att återkalla SSL-inspektionsbehörigheten av vilken anledning som helst. Istället skapas helt enkelt en ny, som är knuten till din ursprungliga privata rot, och du kan använda den direkt.
Trots alla kontroverser implementerar företag i allt högre grad SSL-trafikinspektion som en del av sin interna eller privata PKI-infrastruktur. Andra användningsområden för privata PKI inkluderar utfärdande av certifikat för enhets- eller användarautentisering, SSL för interna servrar och olika konfigurationer som inte är tillåtna i offentliga betrodda certifikat som krävs av CA/Browser Forum.
Webbläsare slår tillbaka
Det bör noteras att webbläsarutvecklare försöker motverka denna trend och skydda slutanvändare från MiTM. Till exempel för några dagar sedan Mozilla Aktivera DoH-protokollet (DNS-over-HTTPS) som standard i en av nästa webbläsarversioner i Firefox. DoH-protokollet döljer DNS-frågor från DPI-systemet, vilket gör SSL-inspektion svår.
Om liknande planer 10 september 2019 Google för webbläsaren Chrome.
Endast registrerade användare kan delta i undersökningen. , Snälla du.
Anser du att ett företag har rätt att inspektera sina anställdas SSL-trafik?
-
Ja, med deras samtycke
-
Nej, att be om sådant samtycke är olagligt och/eller oetiskt
122 användare röstade. 15 användare avstod från att rösta.
Källa: will.com