Mlolongo wa uaminifu. CC BY-SA 4.0
Ukaguzi wa trafiki wa SSL (usimbuaji wa SSL/TLS, uchanganuzi wa SSL au DPI) unazidi kuwa mada motomoto katika sekta ya ushirika. Wazo la kusimbua trafiki linaonekana kupingana na dhana yenyewe ya kriptografia. Hata hivyo, ukweli ni ukweli: makampuni zaidi na zaidi yanatumia teknolojia za DPI, akielezea hili kwa haja ya kuangalia maudhui ya programu hasidi, uvujaji wa data, nk.
Naam, ikiwa tunakubali ukweli kwamba teknolojia hiyo inahitaji kutekelezwa, basi tunapaswa kuzingatia angalau njia za kufanya hivyo kwa njia salama na iliyosimamiwa vizuri iwezekanavyo. Angalau usitegemee vyeti hivyo, kwa mfano, ambavyo mtoa huduma wa mfumo wa DPI anakupa.
Kuna kipengele kimoja cha utekelezaji ambacho si kila mtu anajua. Kwa kweli, watu wengi wanashangaa sana wanaposikia juu yake. Hii ni mamlaka ya uthibitishaji wa kibinafsi (CA). Inazalisha vyeti vya kusimbua na kusimba tena trafiki.
Badala ya kutegemea vyeti vya kujiandikisha au vyeti kutoka kwa vifaa vya DPI, unaweza kutumia CA iliyojitolea kutoka kwa mamlaka ya cheti cha watu wengine kama vile GlobalSign. Lakini kwanza, hebu tufanye muhtasari mdogo wa shida yenyewe.
Ukaguzi wa SSL ni nini na kwa nini inatumika?
Tovuti zaidi na zaidi za umma zinahamia HTTPS. Kwa mfano, kulingana na , mwanzoni mwa Septemba 2019, sehemu ya trafiki iliyosimbwa nchini Urusi ilifikia 83%.
Kwa bahati mbaya, usimbaji fiche wa trafiki unazidi kutumiwa na wavamizi, hasa kwa vile Let's Encrypt husambaza maelfu ya vyeti vya bila malipo vya SSL kwa njia ya kiotomatiki. Kwa hivyo, HTTPS inatumika kila mahali - na kufuli kwenye upau wa anwani ya kivinjari imekoma kutumika kama kiashiria cha kuaminika cha usalama.
Watengenezaji wa suluhu za DPI wanakuza bidhaa zao kutoka kwa nafasi hizi. Zimepachikwa kati ya watumiaji wa mwisho (yaani wafanyakazi wako kuvinjari wavuti) na Mtandao, wakichuja trafiki hasidi. Kuna idadi ya bidhaa kama hizi kwenye soko leo, lakini michakato kimsingi ni sawa. Trafiki ya HTTPS hupitia kifaa cha ukaguzi ambapo kimesimbwa na kuangaliwa kama kuna programu hasidi.
Baada ya uthibitishaji kukamilika, kifaa huunda kipindi kipya cha SSL na mteja wa mwisho ili kusimbua na kusimba upya maudhui.
Jinsi mchakato wa kusimbua/usimbaji upya unavyofanya kazi
Ili kifaa cha ukaguzi cha SSL kiweze kusimbua na kusimba tena pakiti kabla ya kuzituma kwa watumiaji wa mwisho, ni lazima kiwe na uwezo wa kutoa vyeti vya SSL kwa haraka. Hii ina maana kwamba lazima iwe na cheti cha CA kilichosakinishwa.
Ni muhimu kwa kampuni (au yeyote aliye katikati) kwamba vyeti hivi vya SSL viaminiwe na vivinjari (yaani, usianzishe jumbe za onyo za kutisha kama hii iliyo hapa chini). Kwa hivyo mlolongo wa CA (au daraja) lazima iwe kwenye duka la uaminifu la kivinjari. Kwa sababu vyeti hivi havitolewi kutoka kwa mamlaka ya cheti zinazoaminika hadharani, ni lazima usambaze mwenyewe daraja la CA kwa wateja wote wa mwisho.
Ujumbe wa onyo kwa cheti cha kujiandikisha katika Chrome. Chanzo:
Kwenye kompyuta za Windows, unaweza kutumia Saraka ya Active na Sera za Kikundi, lakini kwa vifaa vya rununu utaratibu ni ngumu zaidi.
Hali inakuwa ngumu zaidi ikiwa unahitaji kuunga mkono vyeti vingine vya mizizi katika mazingira ya ushirika, kwa mfano, kutoka kwa Microsoft, au kulingana na OpenSSL. Pamoja na ulinzi na usimamizi wa funguo za faragha ili funguo zozote zisiisha muda wake bila kutarajiwa.
Chaguo bora zaidi: cheti cha kibinafsi, kilichojitolea kutoka kwa wahusika wengine wa CA
Ikiwa kudhibiti mizizi nyingi au vyeti vya kujiandikisha hakuvutii, kuna chaguo jingine: kutegemea CA ya mtu mwingine. Katika kesi hii, vyeti hutolewa kutoka Privat CA ambayo imeunganishwa katika msururu wa uaminifu kwa CA iliyojitolea, ya kibinafsi iliyoundwa mahsusi kwa kampuni.
Usanifu uliorahisishwa kwa cheti cha mizizi cha mteja kilichojitolea
Mpangilio huu huondoa baadhi ya matatizo yaliyotajwa hapo awali: angalau inapunguza idadi ya mizizi ambayo inahitaji kusimamiwa. Hapa unaweza kutumia mamlaka moja tu ya kibinafsi kwa mahitaji yote ya ndani ya PKI, na idadi yoyote ya CA za kati. Kwa mfano, mchoro ulio hapo juu unaonyesha daraja la ngazi mbalimbali ambapo moja ya CA za kati inatumika kwa uthibitishaji/usimbuaji wa SSL na nyingine inatumika kwa kompyuta za ndani (laptop, seva, kompyuta za mezani, n.k.).
Katika muundo huu, hakuna haja ya kupangisha CA kwa wateja wote kwa sababu CA ya kiwango cha juu inapangishwa na GlobalSign, ambayo hutatua masuala ya ulinzi wa ufunguo wa kibinafsi na kuisha muda wake.
Faida nyingine ya mbinu hii ni uwezo wa kubatilisha mamlaka ya ukaguzi wa SSL kwa sababu yoyote ile. Badala yake, mpya imeundwa tu, ambayo imefungwa kwenye mizizi yako ya kibinafsi ya awali, na unaweza kuitumia mara moja.
Licha ya mabishano yote, makampuni ya biashara yanazidi kutekeleza ukaguzi wa trafiki wa SSL kama sehemu ya miundombinu yao ya ndani au ya kibinafsi ya PKI. Matumizi mengine ya PKI ya kibinafsi ni pamoja na kutoa vyeti vya uthibitishaji wa kifaa au mtumiaji, SSL kwa seva za ndani, na usanidi mbalimbali ambao hauruhusiwi katika vyeti vinavyoaminika hadharani kama inavyotakiwa na CA/Browser Forum.
Vivinjari vinapigana
Ikumbukwe kwamba watengenezaji wa kivinjari wanajaribu kukabiliana na mwelekeo huu na kulinda watumiaji wa mwisho kutoka kwa MiTM. Kwa mfano, siku chache zilizopita Mozilla Washa itifaki ya DoH (DNS-over-HTTPS) kwa chaguo-msingi katika mojawapo ya matoleo yanayofuata ya kivinjari katika Firefox. Itifaki ya DoH huficha hoja za DNS kutoka kwa mfumo wa DPI, na kufanya ukaguzi wa SSL kuwa mgumu.
Kuhusu mipango kama hiyo tarehe 10 Septemba 2019 Google kwa kivinjari cha Chrome.
Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. tafadhali.
Je, unafikiri kampuni ina haki ya kukagua trafiki ya SSL ya wafanyakazi wake?
-
Ndio, kwa idhini yao
-
Hapana, kuomba kibali kama hicho ni kinyume cha sheria na/au ni kinyume cha maadili
Watumiaji 122 walipiga kura. Watumiaji 15 walijizuia.
Chanzo: mapenzi.com