విశ్వాస శ్రేణి. CC BY-SA 4.0
కార్పొరేట్ రంగంలో SSL ట్రాఫిక్ తనిఖీ (SSL/TLS డీక్రిప్షన్, SSL విశ్లేషణ, లేదా DPI) అనేది రోజురోజుకూ ఒక ముఖ్యమైన అంశంగా మారుతోంది. ట్రాఫిక్ను డీక్రిప్ట్ చేయాలనే ఆలోచన క్రిప్టోగ్రఫీ భావనకే విరుద్ధంగా అనిపిస్తుంది. అయినప్పటికీ, వాస్తవం ఏమిటంటే: మాల్వేర్, డేటా లీక్లు మొదలైన వాటి కోసం కంటెంట్ను స్కాన్ చేయవలసిన అవసరాన్ని పేర్కొంటూ, ఎక్కువ కంపెనీలు DPI టెక్నాలజీలను ఉపయోగిస్తున్నాయి.
సరే, అటువంటి సాంకేతికతను తప్పనిసరిగా అమలు చేయాలనే వాస్తవాన్ని మనం అంగీకరిస్తే, కనీసం దానిని అత్యంత సురక్షితమైన మరియు సువ్యవస్థిత పద్ధతిలో చేసే మార్గాలను పరిగణించాలి. అతి తక్కువగా, ఉదాహరణకు, DPI సిస్టమ్ ప్రొవైడర్ అందించే సర్టిఫికేట్లపై మనం ఆధారపడకూడదు.
అమలు చేయడంలో అందరికీ తెలియని ఒక అంశం ఉంది. నిజానికి, దాని గురించి విన్నప్పుడు చాలామంది నిజంగా ఆశ్చర్యపోతారు. అదే ప్రైవేట్ సర్టిఫికేట్ అథారిటీ (CA). ఇది ట్రాఫిక్ను డీక్రిప్ట్ చేయడానికి మరియు తిరిగి ఎన్క్రిప్ట్ చేయడానికి సర్టిఫికేట్లను జారీ చేస్తుంది.
స్వీయ-సంతకం చేసిన సర్టిఫికేట్లు లేదా DPI పరికరాల నుండి వచ్చే సర్టిఫికేట్లపై ఆధారపడటానికి బదులుగా, మీరు GlobalSign వంటి థర్డ్-పార్టీ CA నుండి ప్రత్యేకమైన CAని ఉపయోగించవచ్చు. కానీ ముందుగా, ఈ సమస్యను క్లుప్తంగా పరిశీలిద్దాం.
SSL తనిఖీ అంటే ఏమిటి మరియు దానిని ఎందుకు ఉపయోగిస్తారు?
మరిన్ని పబ్లిక్ వెబ్సైట్లు HTTPSకు మారుతున్నాయి. ఉదాహరణకు, 2019 సెప్టెంబర్ ప్రారంభంలో, రష్యాలో ఎన్క్రిప్టెడ్ ట్రాఫిక్ వాటా 83 శాతానికి చేరుకుంది.
దురదృష్టవశాత్తు, దాడి చేసేవారు ట్రాఫిక్ ఎన్క్రిప్షన్ను ఎక్కువగా ఉపయోగిస్తున్నారు, ముఖ్యంగా లెట్స్ ఎన్క్రిప్ట్ వేలాది ఉచిత SSL సర్టిఫికేట్లను స్వయంచాలకంగా పంపిణీ చేస్తున్నందున. ఫలితంగా, ప్రతిచోటా HTTPS ఉపయోగించబడుతోంది, మరియు బ్రౌజర్ అడ్రస్ బార్లోని లాక్ ఇకపై నమ్మదగిన భద్రతా సూచికగా లేదు.
DPI సొల్యూషన్ విక్రేతలు అనుసరించే విధానం ఇదే. హానికరమైన ట్రాఫిక్ను ఫిల్టర్ చేస్తూ, వీటిని తుది వినియోగదారులకు (అంటే, వెబ్ను బ్రౌజ్ చేసే మీ ఉద్యోగులకు) మరియు ఇంటర్నెట్కు మధ్య అమర్చుతారు. ప్రస్తుతం మార్కెట్లో ఇలాంటి అనేక ఉత్పత్తులు అందుబాటులో ఉన్నాయి, కానీ వాటి ప్రక్రియలు ప్రాథమికంగా ఒకేలా ఉంటాయి. HTTPS ట్రాఫిక్ ఒక తనిఖీ పరికరం గుండా వెళుతుంది, అక్కడ దానిని డీక్రిప్ట్ చేసి మాల్వేర్ కోసం తనిఖీ చేస్తారు.
ధృవీకరణ పూర్తయిన తర్వాత, పరికరం కంటెంట్ను డీక్రిప్ట్ చేసి, తిరిగి ఎన్క్రిప్ట్ చేయడానికి ఎండ్ క్లయింట్తో కొత్త SSL సెషన్ను సృష్టిస్తుంది.
డిక్రిప్షన్/రీఎన్క్రిప్షన్ ప్రక్రియ ఎలా పనిచేస్తుంది?
SSL తనిఖీ పరికరం ప్యాకెట్లను తుది వినియోగదారులకు పంపే ముందు వాటిని డీక్రిప్ట్ చేసి, తిరిగి ఎన్క్రిప్ట్ చేయాలంటే, అది అవసరమైనప్పుడు SSL సర్టిఫికేట్లను జారీ చేయగలగాలి. అంటే, దానిలో తప్పనిసరిగా ఒక CA సర్టిఫికేట్ ఇన్స్టాల్ చేసి ఉండాలి.
ఒక కంపెనీకి (లేదా ఇతర మధ్యవర్తికి) ఈ SSL సర్టిఫికేట్లు బ్రౌజర్లచే విశ్వసించబడటం ముఖ్యం (అంటే, కింద ఉన్నటువంటి భయంకరమైన హెచ్చరిక సందేశాలను చూపించకూడదు). అందువల్ల, CA చైన్ (లేదా హైరార్కీ) బ్రౌజర్ యొక్క ట్రస్ట్ స్టోర్లో ఉండాలి. ఈ సర్టిఫికేట్లు బహిరంగంగా విశ్వసించబడిన CAల నుండి జారీ చేయబడవు కాబట్టి, CA హైరార్కీని అన్ని ఎండ్ క్లయింట్లకు మాన్యువల్గా పంపిణీ చేయాలి.
క్రోమ్లో స్వీయ-సంతకం చేసిన సర్టిఫికేట్ కోసం హెచ్చరిక సందేశం. మూలం:
На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.
కార్పొరేట్ వాతావరణంలో, మైక్రోసాఫ్ట్ లేదా OpenSSL ఆధారితమైన ఇతర రూట్ సర్టిఫికేట్లకు మద్దతు ఇచ్చేటప్పుడు పరిస్థితి మరింత సంక్లిష్టంగా మారుతుంది. అంతేకాకుండా, ఊహించని గడువు ముగింపును నివారించడానికి ప్రైవేట్ కీలను రక్షించడం మరియు నిర్వహించడం కూడా అవసరం.
ఉత్తమ ఎంపిక: థర్డ్-పార్టీ CA నుండి ఒక ప్రైవేట్, ప్రత్యేక రూట్ సర్టిఫికేట్
బహుళ రూట్లను లేదా స్వీయ-సంతకం చేసిన సర్టిఫికేట్లను నిర్వహించడం ఆకర్షణీయంగా లేకపోతే, మరొక ఎంపిక ఉంది: థర్డ్-పార్టీ CAపై ఆధారపడటం. ఈ సందర్భంలో, సర్టిఫికేట్లు జారీ చేయబడతాయి ప్రైవేట్ కంపెనీ కోసం ప్రత్యేకంగా సృష్టించబడిన అంకితమైన, ప్రైవేట్ రూట్ సర్టిఫికేషన్ అథారిటీకి విశ్వసనీయ గొలుసులో అనుసంధానించబడిన సర్టిఫికేషన్ అథారిటీ.
ప్రత్యేక క్లయింట్ రూట్ సర్టిఫికేట్ల కోసం సరళీకృత నిర్మాణం
ఈ ఏర్పాటు ఇంతకు ముందు పేర్కొన్న కొన్ని సమస్యలను తొలగిస్తుంది: కనీసం, ఇది నిర్వహించాల్సిన రూట్ల సంఖ్యను తగ్గిస్తుంది. ఇక్కడ, ఎన్ని మధ్యంతర CAలైనా ఉపయోగించి, అన్ని అంతర్గత PKI అవసరాల కోసం ఒకే ప్రైవేట్ రూట్ అథారిటీని ఉపయోగించవచ్చు. ఉదాహరణకు, పైన ఉన్న రేఖాచిత్రం ఒక బహుళ-స్థాయి సోపానక్రమాన్ని చూపుతుంది, దీనిలో ఒక మధ్యంతర CA SSL ధృవీకరణ/డీక్రిప్షన్ కోసం, మరియు మరొకటి అంతర్గత కంప్యూటర్ల (ల్యాప్టాప్లు, సర్వర్లు, డెస్క్టాప్లు మొదలైనవి) కోసం ఉపయోగించబడుతుంది.
ఈ డిజైన్ అన్ని క్లయింట్లలో CAను హోస్ట్ చేయవలసిన అవసరాన్ని తొలగిస్తుంది, ఎందుకంటే టాప్-లెవల్ CAను గ్లోబల్సైన్ హోస్ట్ చేస్తుంది, ఇది ప్రైవేట్ కీ భద్రత మరియు గడువు ముగింపు సమస్యలను పరిష్కరిస్తుంది.
ఈ విధానం యొక్క మరో ప్రయోజనం ఏమిటంటే, ఏ కారణం చేతనైనా SSL తనిఖీ CAని రద్దు చేయగలగడం. దాని స్థానంలో ఒక కొత్తది సులభంగా సృష్టించబడుతుంది, అది మీ అసలైన ప్రైవేట్ రూట్కు లింక్ చేయబడి, వెంటనే ఉపయోగించబడుతుంది.
అన్ని వివాదాలు ఉన్నప్పటికీ, సంస్థలు తమ అంతర్గత లేదా ప్రైవేట్ PKI మౌలిక సదుపాయాలలో భాగంగా SSL ట్రాఫిక్ తనిఖీని ఎక్కువగా అమలు చేస్తున్నాయి. ప్రైవేట్ PKI యొక్క ఇతర ఉపయోగాలలో పరికరం లేదా వినియోగదారు ప్రామాణీకరణ కోసం సర్టిఫికేట్లను జారీ చేయడం, అంతర్గత సర్వర్ల కోసం SSL, మరియు CA/బ్రౌజర్ ఫోరమ్ ద్వారా అవసరమైన విధంగా, బహిరంగంగా విశ్వసించబడిన సర్టిఫికేట్లలో అనుమతించబడని వివిధ కాన్ఫిగరేషన్లు ఉన్నాయి.
బ్రౌజర్లు ఎదురుతిరుగుతున్నాయి
గమనించదగ్గ విషయం ఏమిటంటే, బ్రౌజర్ డెవలపర్లు ఈ ధోరణిని ఎదుర్కోవడానికి మరియు తుది వినియోగదారులను MiTM నుండి రక్షించడానికి ప్రయత్నిస్తున్నారు. ఉదాహరణకు, కొన్ని రోజుల క్రితం, మోజిల్లా ఫైర్ఫాక్స్లోని తదుపరి బ్రౌజర్ వెర్షన్లలో ఒకదానిలో DoH (DNS-over-HTTPS) ప్రోటోకాల్ను డిఫాల్ట్గా ఎనేబుల్ చేయండి. DoH ప్రోటోకాల్, DNS అభ్యర్థనలను DPI సిస్టమ్ నుండి దాచిపెడుతుంది, దీనివల్ల SSL తనిఖీ మరింత కష్టతరం అవుతుంది.
సెప్టెంబర్ 10, 2019న ఇలాంటి ప్రణాళికలపై క్రోమ్ బ్రౌజర్ కోసం గూగుల్.
నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు. దయచేసి.
ఒక కంపెనీకి తన ఉద్యోగుల SSL ట్రాఫిక్ను తనిఖీ చేసే హక్కు ఉందని మీరు భావిస్తున్నారా?
అవును, వారి అంగీకారంతో
లేదు, అటువంటి అనుమతి కోరడం చట్టవిరుద్ధం మరియు/లేదా అనైతికం.
122 మంది వినియోగదారులు ఓటు వేశారు. 15 మంది వినియోగదారులు దూరంగా ఉన్నారు.
మూలం: www.habr.com
