நம்பிக்கையின் சங்கிலி. CC BY-SA 4.0
SSL போக்குவரத்து ஆய்வு (SSL/TLS மறைகுறியாக்கம், SSL அல்லது DPI பகுப்பாய்வு) பெருகிய முறையில் கார்ப்பரேட் துறையில் விவாதத்தின் முக்கிய விஷயமாக மாறி வருகிறது. போக்குவரத்தை மறைகுறியாக்குவதற்கான யோசனை குறியாக்கவியலின் கருத்துக்கு முரணானது. இருப்பினும், உண்மை ஒரு உண்மை: அதிகமான நிறுவனங்கள் DPI தொழில்நுட்பங்களைப் பயன்படுத்துகின்றன, தீம்பொருள், தரவு கசிவுகள் போன்றவற்றிற்கான உள்ளடக்கத்தை சரிபார்க்க வேண்டியதன் அவசியத்தை விளக்குகிறது.
சரி, அத்தகைய தொழில்நுட்பம் செயல்படுத்தப்பட வேண்டும் என்ற உண்மையை நாம் ஏற்றுக்கொண்டால், குறைந்தபட்சம் அதைச் செய்வதற்கான வழிகளைக் கருத்தில் கொள்ள வேண்டும். குறைந்தபட்சம் அந்த சான்றிதழ்களை நம்ப வேண்டாம், எடுத்துக்காட்டாக, டிபிஐ சிஸ்டம் சப்ளையர் உங்களுக்கு வழங்கும்.
செயல்படுத்துவதில் அனைவருக்கும் தெரியாத ஒரு அம்சம் உள்ளது. உண்மையில், பலர் அதைப் பற்றி கேட்கும்போது மிகவும் ஆச்சரியப்படுகிறார்கள். இது ஒரு தனியார் சான்றிதழ் ஆணையம் (CA). இது போக்குவரத்தை மறைகுறியாக்க மற்றும் மறு-குறியாக்க சான்றிதழ்களை உருவாக்குகிறது.
DPI சாதனங்களிலிருந்து சுய கையொப்பமிடப்பட்ட சான்றிதழ்கள் அல்லது சான்றிதழ்களை நம்புவதற்குப் பதிலாக, GlobalSign போன்ற மூன்றாம் தரப்பு சான்றிதழ் அதிகாரத்தின் பிரத்யேக CA ஐப் பயன்படுத்தலாம். ஆனால் முதலில், சிக்கலைப் பற்றிய ஒரு சிறிய கண்ணோட்டத்தை செய்வோம்.
SSL ஆய்வு என்றால் என்ன, அது ஏன் பயன்படுத்தப்படுகிறது?
அதிகமான பொது இணையதளங்கள் HTTPSக்கு நகர்கின்றன. உதாரணமாக, படி செப்டம்பர் 2019 இன் தொடக்கத்தில், ரஷ்யாவில் மறைகுறியாக்கப்பட்ட போக்குவரத்தின் பங்கு 83% ஐ எட்டியது.
துரதிர்ஷ்டவசமாக, ட்ராஃபிக் என்க்ரிப்ஷன் தாக்குதல் நடத்துபவர்களால் அதிகளவில் பயன்படுத்தப்படுகிறது, குறிப்பாக லெட்ஸ் என்க்ரிப்ட் ஆயிரக்கணக்கான இலவச SSL சான்றிதழ்களை தானியங்கு முறையில் விநியோகிப்பதால். எனவே, HTTPS எல்லா இடங்களிலும் பயன்படுத்தப்படுகிறது - மேலும் உலாவியின் முகவரிப் பட்டியில் உள்ள பேட்லாக் பாதுகாப்பின் நம்பகமான குறிகாட்டியாக செயல்படுவதை நிறுத்திவிட்டது.
DPI தீர்வுகளின் உற்பத்தியாளர்கள் இந்த நிலைகளில் இருந்து தங்கள் தயாரிப்புகளை விளம்பரப்படுத்துகின்றனர். அவை இறுதிப் பயனர்களுக்கும் (அதாவது உங்கள் பணியாளர்கள் இணையத்தில் உலாவும்) மற்றும் இணையத்திற்கும் இடையே உட்பொதிக்கப்பட்டு, தீங்கிழைக்கும் போக்குவரத்தை வடிகட்டுகிறது. இன்று சந்தையில் இதுபோன்ற பல தயாரிப்புகள் உள்ளன, ஆனால் செயல்முறைகள் அடிப்படையில் ஒரே மாதிரியானவை. HTTPS ட்ராஃபிக் ஒரு ஆய்வு சாதனத்தின் வழியாக செல்கிறது, அங்கு அது மறைகுறியாக்கப்பட்டு தீம்பொருளுக்காக சரிபார்க்கப்படுகிறது.
சரிபார்ப்பு முடிந்ததும், உள்ளடக்கத்தை மறைகுறியாக்க மற்றும் மறு-குறியாக்க இறுதி கிளையண்டுடன் சாதனம் ஒரு புதிய SSL அமர்வை உருவாக்குகிறது.
மறைகுறியாக்கம்/மறு-குறியாக்க செயல்முறை எவ்வாறு செயல்படுகிறது
இறுதிப் பயனர்களுக்கு அனுப்பும் முன், SSL ஆய்வுக் கருவி பாக்கெட்டுகளை மறைகுறியாக்கி மீண்டும் குறியாக்கம் செய்ய, அது பறக்கும்போது SSL சான்றிதழ்களை வழங்க முடியும். அதாவது CA சான்றிதழ் நிறுவப்பட்டிருக்க வேண்டும்.
இந்த SSL சான்றிதழ்களை உலாவிகள் நம்புவது (அதாவது, கீழே உள்ளதைப் போன்ற பயமுறுத்தும் எச்சரிக்கை செய்திகளைத் தூண்ட வேண்டாம்) நிறுவனத்திற்கு (அல்லது நடுவில் உள்ளவர்கள்) முக்கியம். எனவே CA சங்கிலி (அல்லது படிநிலை) உலாவியின் நம்பிக்கை அங்காடியில் இருக்க வேண்டும். இந்தச் சான்றிதழ்கள் பொதுவில் நம்பகமான சான்றிதழ் அதிகாரிகளிடமிருந்து வழங்கப்படாததால், அனைத்து இறுதி வாடிக்கையாளர்களுக்கும் CA படிநிலையை நீங்கள் கைமுறையாக விநியோகிக்க வேண்டும்.
Chrome இல் சுய கையொப்பமிட்ட சான்றிதழுக்கான எச்சரிக்கை செய்தி. ஆதாரம்:
На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.
கார்ப்பரேட் சூழலில் பிற ரூட் சான்றிதழ்களை நீங்கள் ஆதரிக்க வேண்டும் என்றால், எடுத்துக்காட்டாக, மைக்ரோசாப்ட் அல்லது OpenSSL அடிப்படையில் நிலைமை இன்னும் சிக்கலாகிறது. மேலும் தனிப்பட்ட விசைகளின் பாதுகாப்பு மற்றும் மேலாண்மை, இதனால் எந்த விசையும் எதிர்பாராதவிதமாக காலாவதியாகாது.
சிறந்த விருப்பம்: மூன்றாம் தரப்பு CA வழங்கும் தனிப்பட்ட, அர்ப்பணிக்கப்பட்ட ரூட் சான்றிதழ்
பல வேர்கள் அல்லது சுய கையொப்பமிடப்பட்ட சான்றிதழ்களை நிர்வகிப்பது கவர்ச்சிகரமானதாக இல்லாவிட்டால், மற்றொரு விருப்பம் உள்ளது: மூன்றாம் தரப்பு CA ஐ நம்புவது. இந்த வழக்கில், சான்றிதழ்கள் வழங்கப்படுகின்றன தனிப்பட்ட நிறுவனத்துக்காகவே உருவாக்கப்பட்ட பிரத்யேக, தனியார் ரூட் CA உடன் நம்பிக்கைச் சங்கிலியில் இணைக்கப்பட்ட CA.
பிரத்யேக கிளையன்ட் ரூட் சான்றிதழ்களுக்கான எளிமைப்படுத்தப்பட்ட கட்டமைப்பு
இந்த அமைப்பு முன்னர் குறிப்பிட்ட சில சிக்கல்களை நீக்குகிறது: குறைந்தபட்சம் இது நிர்வகிக்கப்பட வேண்டிய வேர்களின் எண்ணிக்கையை குறைக்கிறது. அனைத்து உள் PKI தேவைகளுக்கும், இடைநிலை CA களின் எண்ணிக்கையில் நீங்கள் ஒரே ஒரு தனிப்பட்ட ரூட் அதிகாரத்தை மட்டும் இங்கே பயன்படுத்தலாம். எடுத்துக்காட்டாக, மேலே உள்ள வரைபடம் பல-நிலை படிநிலையைக் காட்டுகிறது, அங்கு இடைநிலை CAகளில் ஒன்று SSL சரிபார்ப்பு/மறைகுறியாக்கத்திற்கும் மற்றொன்று உள் கணினிகளுக்கும் (லேப்டாப்கள், சர்வர்கள், டெஸ்க்டாப்புகள் போன்றவை) பயன்படுத்தப்படுகிறது.
இந்த வடிவமைப்பில், அனைத்து வாடிக்கையாளர்களுக்கும் CA ஐ ஹோஸ்ட் செய்ய வேண்டிய அவசியமில்லை, ஏனெனில் உயர்மட்ட CA GlobalSign ஆல் ஹோஸ்ட் செய்யப்படுகிறது, இது தனிப்பட்ட முக்கிய பாதுகாப்பு மற்றும் காலாவதி சிக்கல்களைத் தீர்க்கிறது.
இந்த அணுகுமுறையின் மற்றொரு நன்மை, எந்த காரணத்திற்காகவும் SSL ஆய்வு அதிகாரத்தை ரத்து செய்யும் திறன் ஆகும். அதற்கு பதிலாக, ஒரு புதியது வெறுமனே உருவாக்கப்பட்டது, இது உங்கள் அசல் தனிப்பட்ட ரூட்டுடன் இணைக்கப்பட்டுள்ளது, நீங்கள் உடனடியாக அதைப் பயன்படுத்தலாம்.
அனைத்து சர்ச்சைகள் இருந்தபோதிலும், நிறுவனங்கள் தங்கள் உள் அல்லது தனியார் PKI உள்கட்டமைப்பின் ஒரு பகுதியாக SSL போக்குவரத்து ஆய்வை அதிகளவில் செயல்படுத்துகின்றன. சாதனம் அல்லது பயனர் அங்கீகாரத்திற்கான சான்றிதழ்களை வழங்குதல், உள் சேவையகங்களுக்கான SSL மற்றும் CA/Browser Forum ஆல் தேவைப்படும் பொது நம்பகமான சான்றிதழ்களில் அனுமதிக்கப்படாத பல்வேறு உள்ளமைவுகள் ஆகியவை தனிப்பட்ட PKIக்கான பிற பயன்பாடுகளில் அடங்கும்.
உலாவிகள் மீண்டும் போராடுகின்றன
உலாவி டெவலப்பர்கள் இந்தப் போக்கை எதிர்கொள்ளவும், இறுதிப் பயனர்களை MiTM இலிருந்து பாதுகாக்கவும் முயற்சி செய்கிறார்கள் என்பதைக் கவனத்தில் கொள்ள வேண்டும். உதாரணமாக, சில நாட்களுக்கு முன்பு Mozilla Firefox இல் உள்ள அடுத்த உலாவி பதிப்புகளில் ஒன்றில் இயல்பாக DoH (DNS-over-HTTPS) நெறிமுறையை இயக்கவும். DoH புரோட்டோகால் DPI அமைப்பிலிருந்து DNS வினவல்களை மறைக்கிறது, SSL ஆய்வு கடினமாகிறது.
செப்டம்பர் 10, 2019 அன்று இதே போன்ற திட்டங்களைப் பற்றி Chrome உலாவிக்கான Google.
பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும். , தயவு செய்து.
ஒரு நிறுவனத்திற்கு அதன் ஊழியர்களின் SSL போக்குவரத்தை ஆய்வு செய்ய உரிமை உண்டு என்று நினைக்கிறீர்களா?
ஆம், அவர்களின் சம்மதத்துடன்
இல்லை, அத்தகைய ஒப்புதலைக் கேட்பது சட்டவிரோதமானது மற்றும்/அல்லது நெறிமுறையற்றது
122 பயனர்கள் வாக்களித்தனர். 15 பயனர்கள் வாக்களிக்கவில்லை.
ஆதாரம்: www.habr.com
