புரோஹோஸ்டர் > Блог > நிர்வாகம் > டிபிஐ (எஸ்எஸ்எல் இன்ஸ்பெக்ஷன்) குறியாக்கவியலுக்கு எதிரானது, ஆனால் நிறுவனங்கள் அதை செயல்படுத்துகின்றன

டிபிஐ (எஸ்எஸ்எல் இன்ஸ்பெக்ஷன்) குறியாக்கவியலுக்கு எதிரானது, ஆனால் நிறுவனங்கள் அதை செயல்படுத்துகின்றன

டிபிஐ (எஸ்எஸ்எல் இன்ஸ்பெக்ஷன்) குறியாக்கவியலுக்கு எதிரானது, ஆனால் நிறுவனங்கள் அதை செயல்படுத்துகின்றன
நம்பிக்கையின் சங்கிலி. CC BY-SA 4.0 யான்பாஸ்

SSL போக்குவரத்து ஆய்வு (SSL/TLS மறைகுறியாக்கம், SSL அல்லது DPI பகுப்பாய்வு) பெருகிய முறையில் கார்ப்பரேட் துறையில் விவாதத்தின் முக்கிய விஷயமாக மாறி வருகிறது. போக்குவரத்தை மறைகுறியாக்குவதற்கான யோசனை குறியாக்கவியலின் கருத்துக்கு முரணானது. இருப்பினும், உண்மை ஒரு உண்மை: அதிகமான நிறுவனங்கள் DPI தொழில்நுட்பங்களைப் பயன்படுத்துகின்றன, தீம்பொருள், தரவு கசிவுகள் போன்றவற்றிற்கான உள்ளடக்கத்தை சரிபார்க்க வேண்டியதன் அவசியத்தை விளக்குகிறது.

சரி, அத்தகைய தொழில்நுட்பம் செயல்படுத்தப்பட வேண்டும் என்ற உண்மையை நாம் ஏற்றுக்கொண்டால், குறைந்தபட்சம் அதைச் செய்வதற்கான வழிகளைக் கருத்தில் கொள்ள வேண்டும். குறைந்தபட்சம் அந்த சான்றிதழ்களை நம்ப வேண்டாம், எடுத்துக்காட்டாக, டிபிஐ சிஸ்டம் சப்ளையர் உங்களுக்கு வழங்கும்.

செயல்படுத்துவதில் அனைவருக்கும் தெரியாத ஒரு அம்சம் உள்ளது. உண்மையில், பலர் அதைப் பற்றி கேட்கும்போது மிகவும் ஆச்சரியப்படுகிறார்கள். இது ஒரு தனியார் சான்றிதழ் ஆணையம் (CA). இது போக்குவரத்தை மறைகுறியாக்க மற்றும் மறு-குறியாக்க சான்றிதழ்களை உருவாக்குகிறது.

DPI சாதனங்களிலிருந்து சுய கையொப்பமிடப்பட்ட சான்றிதழ்கள் அல்லது சான்றிதழ்களை நம்புவதற்குப் பதிலாக, GlobalSign போன்ற மூன்றாம் தரப்பு சான்றிதழ் அதிகாரத்தின் பிரத்யேக CA ஐப் பயன்படுத்தலாம். ஆனால் முதலில், சிக்கலைப் பற்றிய ஒரு சிறிய கண்ணோட்டத்தை செய்வோம்.

SSL ஆய்வு என்றால் என்ன, அது ஏன் பயன்படுத்தப்படுகிறது?

அதிகமான பொது இணையதளங்கள் HTTPSக்கு நகர்கின்றன. உதாரணமாக, படி Chrome புள்ளிவிவரங்கள்செப்டம்பர் 2019 இன் தொடக்கத்தில், ரஷ்யாவில் மறைகுறியாக்கப்பட்ட போக்குவரத்தின் பங்கு 83% ஐ எட்டியது.

டிபிஐ (எஸ்எஸ்எல் இன்ஸ்பெக்ஷன்) குறியாக்கவியலுக்கு எதிரானது, ஆனால் நிறுவனங்கள் அதை செயல்படுத்துகின்றன

துரதிர்ஷ்டவசமாக, ட்ராஃபிக் என்க்ரிப்ஷன் தாக்குதல் நடத்துபவர்களால் அதிகளவில் பயன்படுத்தப்படுகிறது, குறிப்பாக லெட்ஸ் என்க்ரிப்ட் ஆயிரக்கணக்கான இலவச SSL சான்றிதழ்களை தானியங்கு முறையில் விநியோகிப்பதால். எனவே, HTTPS எல்லா இடங்களிலும் பயன்படுத்தப்படுகிறது - மேலும் உலாவியின் முகவரிப் பட்டியில் உள்ள பேட்லாக் பாதுகாப்பின் நம்பகமான குறிகாட்டியாக செயல்படுவதை நிறுத்திவிட்டது.

DPI தீர்வுகளின் உற்பத்தியாளர்கள் இந்த நிலைகளில் இருந்து தங்கள் தயாரிப்புகளை விளம்பரப்படுத்துகின்றனர். அவை இறுதிப் பயனர்களுக்கும் (அதாவது உங்கள் பணியாளர்கள் இணையத்தில் உலாவும்) மற்றும் இணையத்திற்கும் இடையே உட்பொதிக்கப்பட்டு, தீங்கிழைக்கும் போக்குவரத்தை வடிகட்டுகிறது. இன்று சந்தையில் இதுபோன்ற பல தயாரிப்புகள் உள்ளன, ஆனால் செயல்முறைகள் அடிப்படையில் ஒரே மாதிரியானவை. HTTPS ட்ராஃபிக் ஒரு ஆய்வு சாதனத்தின் வழியாக செல்கிறது, அங்கு அது மறைகுறியாக்கப்பட்டு தீம்பொருளுக்காக சரிபார்க்கப்படுகிறது.

சரிபார்ப்பு முடிந்ததும், உள்ளடக்கத்தை மறைகுறியாக்க மற்றும் மறு-குறியாக்க இறுதி கிளையண்டுடன் சாதனம் ஒரு புதிய SSL அமர்வை உருவாக்குகிறது.

மறைகுறியாக்கம்/மறு-குறியாக்க செயல்முறை எவ்வாறு செயல்படுகிறது

இறுதிப் பயனர்களுக்கு அனுப்பும் முன், SSL ஆய்வுக் கருவி பாக்கெட்டுகளை மறைகுறியாக்கி மீண்டும் குறியாக்கம் செய்ய, அது பறக்கும்போது SSL சான்றிதழ்களை வழங்க முடியும். அதாவது CA சான்றிதழ் நிறுவப்பட்டிருக்க வேண்டும்.

இந்த SSL சான்றிதழ்களை உலாவிகள் நம்புவது (அதாவது, கீழே உள்ளதைப் போன்ற பயமுறுத்தும் எச்சரிக்கை செய்திகளைத் தூண்ட வேண்டாம்) நிறுவனத்திற்கு (அல்லது நடுவில் உள்ளவர்கள்) முக்கியம். எனவே CA சங்கிலி (அல்லது படிநிலை) உலாவியின் நம்பிக்கை அங்காடியில் இருக்க வேண்டும். இந்தச் சான்றிதழ்கள் பொதுவில் நம்பகமான சான்றிதழ் அதிகாரிகளிடமிருந்து வழங்கப்படாததால், அனைத்து இறுதி வாடிக்கையாளர்களுக்கும் CA படிநிலையை நீங்கள் கைமுறையாக விநியோகிக்க வேண்டும்.

டிபிஐ (எஸ்எஸ்எல் இன்ஸ்பெக்ஷன்) குறியாக்கவியலுக்கு எதிரானது, ஆனால் நிறுவனங்கள் அதை செயல்படுத்துகின்றன
Chrome இல் சுய கையொப்பமிட்ட சான்றிதழுக்கான எச்சரிக்கை செய்தி. ஆதாரம்: BadSSL.com

விண்டோஸ் கணினிகளில், நீங்கள் ஆக்டிவ் டைரக்டரி மற்றும் குரூப் பாலிசிகளைப் பயன்படுத்தலாம், ஆனால் மொபைல் சாதனங்களுக்கு இந்த செயல்முறை மிகவும் சிக்கலானது.

கார்ப்பரேட் சூழலில் பிற ரூட் சான்றிதழ்களை நீங்கள் ஆதரிக்க வேண்டும் என்றால், எடுத்துக்காட்டாக, மைக்ரோசாப்ட் அல்லது OpenSSL அடிப்படையில் நிலைமை இன்னும் சிக்கலாகிறது. மேலும் தனிப்பட்ட விசைகளின் பாதுகாப்பு மற்றும் மேலாண்மை, இதனால் எந்த விசையும் எதிர்பாராதவிதமாக காலாவதியாகாது.

சிறந்த விருப்பம்: மூன்றாம் தரப்பு CA வழங்கும் தனிப்பட்ட, அர்ப்பணிக்கப்பட்ட ரூட் சான்றிதழ்

பல வேர்கள் அல்லது சுய கையொப்பமிடப்பட்ட சான்றிதழ்களை நிர்வகிப்பது கவர்ச்சிகரமானதாக இல்லாவிட்டால், மற்றொரு விருப்பம் உள்ளது: மூன்றாம் தரப்பு CA ஐ நம்புவது. இந்த வழக்கில், சான்றிதழ்கள் வழங்கப்படுகின்றன தனிப்பட்ட நிறுவனத்துக்காகவே உருவாக்கப்பட்ட பிரத்யேக, தனியார் ரூட் CA உடன் நம்பிக்கைச் சங்கிலியில் இணைக்கப்பட்ட CA.

டிபிஐ (எஸ்எஸ்எல் இன்ஸ்பெக்ஷன்) குறியாக்கவியலுக்கு எதிரானது, ஆனால் நிறுவனங்கள் அதை செயல்படுத்துகின்றன
பிரத்யேக கிளையன்ட் ரூட் சான்றிதழ்களுக்கான எளிமைப்படுத்தப்பட்ட கட்டமைப்பு

இந்த அமைப்பு முன்னர் குறிப்பிட்ட சில சிக்கல்களை நீக்குகிறது: குறைந்தபட்சம் இது நிர்வகிக்கப்பட வேண்டிய வேர்களின் எண்ணிக்கையை குறைக்கிறது. அனைத்து உள் PKI தேவைகளுக்கும், இடைநிலை CA களின் எண்ணிக்கையில் நீங்கள் ஒரே ஒரு தனிப்பட்ட ரூட் அதிகாரத்தை மட்டும் இங்கே பயன்படுத்தலாம். எடுத்துக்காட்டாக, மேலே உள்ள வரைபடம் பல-நிலை படிநிலையைக் காட்டுகிறது, அங்கு இடைநிலை CAகளில் ஒன்று SSL சரிபார்ப்பு/மறைகுறியாக்கத்திற்கும் மற்றொன்று உள் கணினிகளுக்கும் (லேப்டாப்கள், சர்வர்கள், டெஸ்க்டாப்புகள் போன்றவை) பயன்படுத்தப்படுகிறது.

இந்த வடிவமைப்பில், அனைத்து வாடிக்கையாளர்களுக்கும் CA ஐ ஹோஸ்ட் செய்ய வேண்டிய அவசியமில்லை, ஏனெனில் உயர்மட்ட CA GlobalSign ஆல் ஹோஸ்ட் செய்யப்படுகிறது, இது தனிப்பட்ட முக்கிய பாதுகாப்பு மற்றும் காலாவதி சிக்கல்களைத் தீர்க்கிறது.

இந்த அணுகுமுறையின் மற்றொரு நன்மை, எந்த காரணத்திற்காகவும் SSL ஆய்வு அதிகாரத்தை ரத்து செய்யும் திறன் ஆகும். அதற்கு பதிலாக, ஒரு புதியது வெறுமனே உருவாக்கப்பட்டது, இது உங்கள் அசல் தனிப்பட்ட ரூட்டுடன் இணைக்கப்பட்டுள்ளது, நீங்கள் உடனடியாக அதைப் பயன்படுத்தலாம்.

அனைத்து சர்ச்சைகள் இருந்தபோதிலும், நிறுவனங்கள் தங்கள் உள் அல்லது தனியார் PKI உள்கட்டமைப்பின் ஒரு பகுதியாக SSL போக்குவரத்து ஆய்வை அதிகளவில் செயல்படுத்துகின்றன. சாதனம் அல்லது பயனர் அங்கீகாரத்திற்கான சான்றிதழ்களை வழங்குதல், உள் சேவையகங்களுக்கான SSL மற்றும் CA/Browser Forum ஆல் தேவைப்படும் பொது நம்பகமான சான்றிதழ்களில் அனுமதிக்கப்படாத பல்வேறு உள்ளமைவுகள் ஆகியவை தனிப்பட்ட PKIக்கான பிற பயன்பாடுகளில் அடங்கும்.

உலாவிகள் மீண்டும் போராடுகின்றன

உலாவி டெவலப்பர்கள் இந்தப் போக்கை எதிர்கொள்ளவும், இறுதிப் பயனர்களை MiTM இலிருந்து பாதுகாக்கவும் முயற்சி செய்கிறார்கள் என்பதைக் கவனத்தில் கொள்ள வேண்டும். உதாரணமாக, சில நாட்களுக்கு முன்பு Mozilla ஒரு முடிவை எடுத்தார் Firefox இல் உள்ள அடுத்த உலாவி பதிப்புகளில் ஒன்றில் இயல்பாக DoH (DNS-over-HTTPS) நெறிமுறையை இயக்கவும். DoH புரோட்டோகால் DPI அமைப்பிலிருந்து DNS வினவல்களை மறைக்கிறது, SSL ஆய்வு கடினமாகிறது.

செப்டம்பர் 10, 2019 அன்று இதே போன்ற திட்டங்களைப் பற்றி அறிவித்தார் Chrome உலாவிக்கான Google.

டிபிஐ (எஸ்எஸ்எல் இன்ஸ்பெக்ஷன்) குறியாக்கவியலுக்கு எதிரானது, ஆனால் நிறுவனங்கள் அதை செயல்படுத்துகின்றன

பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும். உள்நுழையவும், தயவு செய்து.

ஒரு நிறுவனத்திற்கு அதன் ஊழியர்களின் SSL போக்குவரத்தை ஆய்வு செய்ய உரிமை உண்டு என்று நினைக்கிறீர்களா?

  • ஆம், அவர்களின் சம்மதத்துடன்

  • இல்லை, அத்தகைய ஒப்புதலைக் கேட்பது சட்டவிரோதமானது மற்றும்/அல்லது நெறிமுறையற்றது

122 பயனர்கள் வாக்களித்தனர். 15 பயனர்கள் வாக்களிக்கவில்லை.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்