DPI (SSL తనిఖీ) గూఢ లిపి శాస్త్రం యొక్క ధాన్యానికి విరుద్ధంగా ఉంది, కానీ కంపెనీలు దీనిని అమలు చేస్తున్నాయి

విశ్వాస గొలుసు. CC BY-SA 4.0 యన్పాస్

SSL ట్రాఫిక్ తనిఖీ (SSL/TLS డిక్రిప్షన్, SSL లేదా DPI విశ్లేషణ) అనేది కార్పొరేట్ సెక్టార్‌లో చర్చనీయాంశంగా మారుతోంది. ట్రాఫిక్‌ను డీక్రిప్ట్ చేయాలనే ఆలోచన క్రిప్టోగ్రఫీ భావనకు విరుద్ధంగా ఉంది. అయితే, వాస్తవం వాస్తవం: మాల్వేర్, డేటా లీక్‌లు మొదలైన వాటి కోసం కంటెంట్‌ను తనిఖీ చేయాల్సిన అవసరం ద్వారా మరిన్ని కంపెనీలు DPI సాంకేతికతలను ఉపయోగిస్తున్నాయి.

సరే, అటువంటి సాంకేతికత అమలు చేయాల్సిన అవసరం ఉందనే వాస్తవాన్ని మేము అంగీకరిస్తే, కనీసం సురక్షితమైన మరియు అత్యంత చక్కగా నిర్వహించబడే మార్గంలో దీన్ని చేయడానికి మార్గాలను పరిగణించాలి. కనీసం ఆ ధృవపత్రాలపై ఆధారపడకండి, ఉదాహరణకు, DPI సిస్టమ్ సప్లయర్ మీకు ఇచ్చేది.

అమలులో అందరికీ తెలియని ఒక అంశం ఉంది. నిజానికి, దాని గురించి విన్నప్పుడు చాలా మంది నిజంగా ఆశ్చర్యపోతారు. ఇది ప్రైవేట్ సర్టిఫికేషన్ అథారిటీ (CA). ఇది ట్రాఫిక్‌ని డీక్రిప్ట్ చేయడానికి మరియు రీ-ఎన్‌క్రిప్ట్ చేయడానికి సర్టిఫికెట్‌లను రూపొందిస్తుంది.

DPI పరికరాల నుండి స్వీయ-సంతకం చేసిన సర్టిఫికేట్‌లు లేదా సర్టిఫికేట్‌లపై ఆధారపడే బదులు, మీరు GlobalSign వంటి థర్డ్-పార్టీ సర్టిఫికేట్ అథారిటీ నుండి అంకితమైన CAని ఉపయోగించవచ్చు. అయితే మొదట, సమస్య గురించి కొంచెం అవలోకనం చేద్దాం.

SSL తనిఖీ అంటే ఏమిటి మరియు అది ఎందుకు ఉపయోగించబడుతుంది?

మరిన్ని పబ్లిక్ వెబ్‌సైట్‌లు HTTPSకి మారుతున్నాయి. ఉదాహరణకు, ప్రకారం Chrome గణాంకాలు, సెప్టెంబర్ 2019 ప్రారంభంలో, రష్యాలో ఎన్‌క్రిప్టెడ్ ట్రాఫిక్ వాటా 83%కి చేరుకుంది.

దురదృష్టవశాత్తూ, ట్రాఫిక్ ఎన్‌క్రిప్షన్‌ను దాడి చేసేవారు ఎక్కువగా ఉపయోగిస్తున్నారు, ప్రత్యేకించి లెట్స్ ఎన్‌క్రిప్ట్ వేలాది ఉచిత SSL ప్రమాణపత్రాలను ఆటోమేటెడ్ పద్ధతిలో పంపిణీ చేస్తుంది. అందువల్ల, HTTPS ప్రతిచోటా ఉపయోగించబడుతుంది - మరియు బ్రౌజర్ చిరునామా బార్‌లోని ప్యాడ్‌లాక్ భద్రతకు నమ్మదగిన సూచికగా పనిచేయడం ఆగిపోయింది.

DPI సొల్యూషన్‌ల తయారీదారులు ఈ స్థానాల నుండి తమ ఉత్పత్తులను ప్రచారం చేస్తారు. అవి అంతిమ వినియోగదారులు (అంటే మీ ఉద్యోగులు వెబ్‌ని బ్రౌజ్ చేస్తున్నారు) మరియు ఇంటర్నెట్ మధ్య పొందుపరచబడి, హానికరమైన ట్రాఫిక్‌ను ఫిల్టర్ చేస్తాయి. ఈ రోజు మార్కెట్లో ఇటువంటి అనేక ఉత్పత్తులు ఉన్నాయి, కానీ ప్రక్రియలు తప్పనిసరిగా ఒకే విధంగా ఉంటాయి. HTTPS ట్రాఫిక్ తనిఖీ పరికరం గుండా వెళుతుంది, అక్కడ అది డీక్రిప్ట్ చేయబడి మాల్వేర్ కోసం తనిఖీ చేయబడుతుంది.

ధృవీకరణ పూర్తయిన తర్వాత, కంటెంట్‌ను డీక్రిప్ట్ చేయడానికి మరియు మళ్లీ గుప్తీకరించడానికి పరికరం ముగింపు క్లయింట్‌తో కొత్త SSL సెషన్‌ను సృష్టిస్తుంది.

డిక్రిప్షన్/రీ-ఎన్‌క్రిప్షన్ ప్రక్రియ ఎలా పనిచేస్తుంది

SSL తనిఖీ ఉపకరణం ప్యాకెట్‌లను అంతిమ వినియోగదారులకు పంపే ముందు వాటిని డీక్రిప్ట్ చేయడానికి మరియు మళ్లీ గుప్తీకరించడానికి, అది తప్పనిసరిగా ఎగిరినప్పుడు SSL ప్రమాణపత్రాలను జారీ చేయగలగాలి. అంటే దీనికి తప్పనిసరిగా CA సర్టిఫికేట్ ఇన్‌స్టాల్ చేయబడి ఉండాలి.

ఈ SSL సర్టిఫికేట్‌లను బ్రౌజర్‌లు విశ్వసించడం కంపెనీకి (లేదా మధ్యలో ఉన్నవారికి) ముఖ్యం (అనగా, దిగువన ఉన్నటువంటి భయానక హెచ్చరిక సందేశాలను ట్రిగ్గర్ చేయవద్దు). కాబట్టి CA చైన్ (లేదా సోపానక్రమం) తప్పనిసరిగా బ్రౌజర్ యొక్క ట్రస్ట్ స్టోర్‌లో ఉండాలి. ఈ సర్టిఫికేట్‌లు పబ్లిక్‌గా విశ్వసనీయమైన సర్టిఫికేట్ అధికారుల నుండి జారీ చేయబడనందున, మీరు అన్ని ఎండ్ క్లయింట్‌లకు CA సోపానక్రమాన్ని మాన్యువల్‌గా పంపిణీ చేయాలి.

Chromeలో స్వీయ సంతకం చేసిన ప్రమాణపత్రం కోసం హెచ్చరిక సందేశం. మూలం: BadSSL.com

విండోస్ కంప్యూటర్‌లలో, మీరు యాక్టివ్ డైరెక్టరీ మరియు గ్రూప్ పాలసీలను ఉపయోగించవచ్చు, కానీ మొబైల్ పరికరాల కోసం ఈ విధానం మరింత క్లిష్టంగా ఉంటుంది.

మీరు కార్పొరేట్ వాతావరణంలో ఇతర రూట్ సర్టిఫికేట్‌లకు మద్దతు ఇవ్వాల్సిన అవసరం ఉన్నట్లయితే పరిస్థితి మరింత క్లిష్టంగా మారుతుంది, ఉదాహరణకు, Microsoft నుండి లేదా OpenSSL ఆధారంగా. అలాగే ప్రైవేట్ కీల రక్షణ మరియు నిర్వహణ, తద్వారా ఏవైనా కీలు ఊహించని విధంగా గడువు ముగియవు.

ఉత్తమ ఎంపిక: మూడవ పక్షం CA నుండి ప్రైవేట్, అంకితమైన రూట్ సర్టిఫికేట్

బహుళ మూలాలను లేదా స్వీయ సంతకం చేసిన సర్టిఫికేట్‌లను నిర్వహించడం ఆకర్షణీయంగా లేకుంటే, మరొక ఎంపిక ఉంది: మూడవ పక్షం CAపై ఆధారపడటం. ఈ సందర్భంలో, సర్టిఫికేట్లు జారీ చేయబడతాయి ప్రైవేట్ కంపెనీ కోసం ప్రత్యేకంగా సృష్టించబడిన అంకితమైన, ప్రైవేట్ రూట్ CAకి విశ్వసనీయ గొలుసుతో అనుసంధానించబడిన CA.

అంకితమైన క్లయింట్ రూట్ సర్టిఫికేట్‌ల కోసం సరళీకృత ఆర్కిటెక్చర్

ఈ సెటప్ ముందుగా పేర్కొన్న కొన్ని సమస్యలను తొలగిస్తుంది: కనీసం ఇది నిర్వహించాల్సిన మూలాల సంఖ్యను తగ్గిస్తుంది. ఇక్కడ మీరు ఎన్ని ఇంటర్మీడియట్ CAలతోనైనా అన్ని అంతర్గత PKI అవసరాల కోసం కేవలం ఒక ప్రైవేట్ రూట్ అధికారాన్ని ఉపయోగించవచ్చు. ఉదాహరణకు, పై రేఖాచిత్రం బహుళ-స్థాయి సోపానక్రమాన్ని చూపుతుంది, ఇక్కడ ఇంటర్మీడియట్ CAలలో ఒకటి SSL ధృవీకరణ/డిక్రిప్షన్ కోసం ఉపయోగించబడుతుంది మరియు మరొకటి అంతర్గత కంప్యూటర్‌ల కోసం (ల్యాప్‌టాప్‌లు, సర్వర్లు, డెస్క్‌టాప్‌లు మొదలైనవి) ఉపయోగించబడుతుంది.

ఈ డిజైన్‌లో, అన్ని క్లయింట్‌లపై CAను హోస్ట్ చేయాల్సిన అవసరం లేదు, ఎందుకంటే అగ్ర-స్థాయి CA GlobalSign ద్వారా హోస్ట్ చేయబడింది, ఇది ప్రైవేట్ కీ రక్షణ మరియు గడువు సమస్యలను పరిష్కరిస్తుంది.

ఈ విధానం యొక్క మరొక ప్రయోజనం ఏ కారణం చేతనైనా SSL తనిఖీ అధికారాన్ని ఉపసంహరించుకునే సామర్ధ్యం. బదులుగా, కొత్తది సృష్టించబడుతుంది, ఇది మీ అసలు ప్రైవేట్ రూట్‌తో ముడిపడి ఉంటుంది మరియు మీరు దాన్ని వెంటనే ఉపయోగించవచ్చు.

అన్ని వివాదాలు ఉన్నప్పటికీ, సంస్థలు తమ అంతర్గత లేదా ప్రైవేట్ PKI మౌలిక సదుపాయాలలో భాగంగా SSL ట్రాఫిక్ తనిఖీని ఎక్కువగా అమలు చేస్తున్నాయి. ప్రైవేట్ PKI కోసం ఇతర ఉపయోగాలు పరికరం లేదా వినియోగదారు ప్రమాణీకరణ కోసం సర్టిఫికేట్‌లను జారీ చేయడం, అంతర్గత సర్వర్‌ల కోసం SSL మరియు CA/బ్రౌజర్ ఫోరమ్ ద్వారా అవసరమైన పబ్లిక్ విశ్వసనీయ ధృవపత్రాలలో అనుమతించబడని వివిధ కాన్ఫిగరేషన్‌లను కలిగి ఉంటాయి.

బ్రౌజర్‌లు తిరిగి పోరాడుతున్నాయి

బ్రౌజర్ డెవలపర్‌లు ఈ ట్రెండ్‌ను ఎదుర్కోవడానికి ప్రయత్నిస్తున్నారని మరియు తుది వినియోగదారులను MiTM నుండి రక్షించడానికి ప్రయత్నిస్తున్నారని గమనించాలి. ఉదాహరణకు, కొన్ని రోజుల క్రితం మొజిల్లా ఒక నిర్ణయం తీసుకుంది Firefoxలో తదుపరి బ్రౌజర్ సంస్కరణల్లో ఒకదానిలో డిఫాల్ట్‌గా DoH (DNS-over-HTTPS) ప్రోటోకాల్‌ను ప్రారంభించండి. DoH ప్రోటోకాల్ DPI సిస్టమ్ నుండి DNS ప్రశ్నలను దాచిపెడుతుంది, SSL తనిఖీని కష్టతరం చేస్తుంది.

ఇలాంటి ప్లాన్‌ల గురించి సెప్టెంబర్ 10, 2019 ప్రకటించింది Chrome బ్రౌజర్ కోసం Google.

నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు. సైన్ ఇన్ చేయండిదయచేసి.

కంపెనీకి దాని ఉద్యోగుల SSL ట్రాఫిక్‌ని తనిఖీ చేసే హక్కు ఉందని మీరు అనుకుంటున్నారా?

• అవును, వారి సమ్మతితో

• లేదు, అలాంటి సమ్మతిని అడగడం చట్టవిరుద్ధం మరియు/లేదా అనైతికం

122 మంది వినియోగదారులు ఓటు వేశారు. 15 మంది వినియోగదారులు దూరంగా ఉన్నారు.

మూలం: www.habr.com