విశ్వాస గొలుసు. CC BY-SA 4.0
SSL ట్రాఫిక్ తనిఖీ (SSL/TLS డిక్రిప్షన్, SSL లేదా DPI విశ్లేషణ) అనేది కార్పొరేట్ సెక్టార్లో చర్చనీయాంశంగా మారుతోంది. ట్రాఫిక్ను డీక్రిప్ట్ చేయాలనే ఆలోచన క్రిప్టోగ్రఫీ భావనకు విరుద్ధంగా ఉంది. అయితే, వాస్తవం వాస్తవం: మాల్వేర్, డేటా లీక్లు మొదలైన వాటి కోసం కంటెంట్ను తనిఖీ చేయాల్సిన అవసరం ద్వారా మరిన్ని కంపెనీలు DPI సాంకేతికతలను ఉపయోగిస్తున్నాయి.
సరే, అటువంటి సాంకేతికత అమలు చేయాల్సిన అవసరం ఉందనే వాస్తవాన్ని మేము అంగీకరిస్తే, కనీసం సురక్షితమైన మరియు అత్యంత చక్కగా నిర్వహించబడే మార్గంలో దీన్ని చేయడానికి మార్గాలను పరిగణించాలి. కనీసం ఆ ధృవపత్రాలపై ఆధారపడకండి, ఉదాహరణకు, DPI సిస్టమ్ సప్లయర్ మీకు ఇచ్చేది.
అమలులో అందరికీ తెలియని ఒక అంశం ఉంది. నిజానికి, దాని గురించి విన్నప్పుడు చాలా మంది నిజంగా ఆశ్చర్యపోతారు. ఇది ప్రైవేట్ సర్టిఫికేషన్ అథారిటీ (CA). ఇది ట్రాఫిక్ని డీక్రిప్ట్ చేయడానికి మరియు రీ-ఎన్క్రిప్ట్ చేయడానికి సర్టిఫికెట్లను రూపొందిస్తుంది.
DPI పరికరాల నుండి స్వీయ-సంతకం చేసిన సర్టిఫికేట్లు లేదా సర్టిఫికేట్లపై ఆధారపడే బదులు, మీరు GlobalSign వంటి థర్డ్-పార్టీ సర్టిఫికేట్ అథారిటీ నుండి అంకితమైన CAని ఉపయోగించవచ్చు. అయితే మొదట, సమస్య గురించి కొంచెం అవలోకనం చేద్దాం.
SSL తనిఖీ అంటే ఏమిటి మరియు అది ఎందుకు ఉపయోగించబడుతుంది?
మరిన్ని పబ్లిక్ వెబ్సైట్లు HTTPSకి మారుతున్నాయి. ఉదాహరణకు, ప్రకారం
దురదృష్టవశాత్తూ, ట్రాఫిక్ ఎన్క్రిప్షన్ను దాడి చేసేవారు ఎక్కువగా ఉపయోగిస్తున్నారు, ప్రత్యేకించి లెట్స్ ఎన్క్రిప్ట్ వేలాది ఉచిత SSL ప్రమాణపత్రాలను ఆటోమేటెడ్ పద్ధతిలో పంపిణీ చేస్తుంది. అందువల్ల, HTTPS ప్రతిచోటా ఉపయోగించబడుతుంది - మరియు బ్రౌజర్ చిరునామా బార్లోని ప్యాడ్లాక్ భద్రతకు నమ్మదగిన సూచికగా పనిచేయడం ఆగిపోయింది.
DPI సొల్యూషన్ల తయారీదారులు ఈ స్థానాల నుండి తమ ఉత్పత్తులను ప్రచారం చేస్తారు. అవి అంతిమ వినియోగదారులు (అంటే మీ ఉద్యోగులు వెబ్ని బ్రౌజ్ చేస్తున్నారు) మరియు ఇంటర్నెట్ మధ్య పొందుపరచబడి, హానికరమైన ట్రాఫిక్ను ఫిల్టర్ చేస్తాయి. ఈ రోజు మార్కెట్లో ఇటువంటి అనేక ఉత్పత్తులు ఉన్నాయి, కానీ ప్రక్రియలు తప్పనిసరిగా ఒకే విధంగా ఉంటాయి. HTTPS ట్రాఫిక్ తనిఖీ పరికరం గుండా వెళుతుంది, అక్కడ అది డీక్రిప్ట్ చేయబడి మాల్వేర్ కోసం తనిఖీ చేయబడుతుంది.
ధృవీకరణ పూర్తయిన తర్వాత, కంటెంట్ను డీక్రిప్ట్ చేయడానికి మరియు మళ్లీ గుప్తీకరించడానికి పరికరం ముగింపు క్లయింట్తో కొత్త SSL సెషన్ను సృష్టిస్తుంది.
డిక్రిప్షన్/రీ-ఎన్క్రిప్షన్ ప్రక్రియ ఎలా పనిచేస్తుంది
SSL తనిఖీ ఉపకరణం ప్యాకెట్లను అంతిమ వినియోగదారులకు పంపే ముందు వాటిని డీక్రిప్ట్ చేయడానికి మరియు మళ్లీ గుప్తీకరించడానికి, అది తప్పనిసరిగా ఎగిరినప్పుడు SSL ప్రమాణపత్రాలను జారీ చేయగలగాలి. అంటే దీనికి తప్పనిసరిగా CA సర్టిఫికేట్ ఇన్స్టాల్ చేయబడి ఉండాలి.
ఈ SSL సర్టిఫికేట్లను బ్రౌజర్లు విశ్వసించడం కంపెనీకి (లేదా మధ్యలో ఉన్నవారికి) ముఖ్యం (అనగా, దిగువన ఉన్నటువంటి భయానక హెచ్చరిక సందేశాలను ట్రిగ్గర్ చేయవద్దు). కాబట్టి CA చైన్ (లేదా సోపానక్రమం) తప్పనిసరిగా బ్రౌజర్ యొక్క ట్రస్ట్ స్టోర్లో ఉండాలి. ఈ సర్టిఫికేట్లు పబ్లిక్గా విశ్వసనీయమైన సర్టిఫికేట్ అధికారుల నుండి జారీ చేయబడనందున, మీరు అన్ని ఎండ్ క్లయింట్లకు CA సోపానక్రమాన్ని మాన్యువల్గా పంపిణీ చేయాలి.
Chromeలో స్వీయ సంతకం చేసిన ప్రమాణపత్రం కోసం హెచ్చరిక సందేశం. మూలం:
విండోస్ కంప్యూటర్లలో, మీరు యాక్టివ్ డైరెక్టరీ మరియు గ్రూప్ పాలసీలను ఉపయోగించవచ్చు, కానీ మొబైల్ పరికరాల కోసం ఈ విధానం మరింత క్లిష్టంగా ఉంటుంది.
మీరు కార్పొరేట్ వాతావరణంలో ఇతర రూట్ సర్టిఫికేట్లకు మద్దతు ఇవ్వాల్సిన అవసరం ఉన్నట్లయితే పరిస్థితి మరింత క్లిష్టంగా మారుతుంది, ఉదాహరణకు, Microsoft నుండి లేదా OpenSSL ఆధారంగా. అలాగే ప్రైవేట్ కీల రక్షణ మరియు నిర్వహణ, తద్వారా ఏవైనా కీలు ఊహించని విధంగా గడువు ముగియవు.
ఉత్తమ ఎంపిక: మూడవ పక్షం CA నుండి ప్రైవేట్, అంకితమైన రూట్ సర్టిఫికేట్
బహుళ మూలాలను లేదా స్వీయ సంతకం చేసిన సర్టిఫికేట్లను నిర్వహించడం ఆకర్షణీయంగా లేకుంటే, మరొక ఎంపిక ఉంది: మూడవ పక్షం CAపై ఆధారపడటం. ఈ సందర్భంలో, సర్టిఫికేట్లు జారీ చేయబడతాయి ప్రైవేట్ కంపెనీ కోసం ప్రత్యేకంగా సృష్టించబడిన అంకితమైన, ప్రైవేట్ రూట్ CAకి విశ్వసనీయ గొలుసుతో అనుసంధానించబడిన CA.
అంకితమైన క్లయింట్ రూట్ సర్టిఫికేట్ల కోసం సరళీకృత ఆర్కిటెక్చర్
ఈ సెటప్ ముందుగా పేర్కొన్న కొన్ని సమస్యలను తొలగిస్తుంది: కనీసం ఇది నిర్వహించాల్సిన మూలాల సంఖ్యను తగ్గిస్తుంది. ఇక్కడ మీరు ఎన్ని ఇంటర్మీడియట్ CAలతోనైనా అన్ని అంతర్గత PKI అవసరాల కోసం కేవలం ఒక ప్రైవేట్ రూట్ అధికారాన్ని ఉపయోగించవచ్చు. ఉదాహరణకు, పై రేఖాచిత్రం బహుళ-స్థాయి సోపానక్రమాన్ని చూపుతుంది, ఇక్కడ ఇంటర్మీడియట్ CAలలో ఒకటి SSL ధృవీకరణ/డిక్రిప్షన్ కోసం ఉపయోగించబడుతుంది మరియు మరొకటి అంతర్గత కంప్యూటర్ల కోసం (ల్యాప్టాప్లు, సర్వర్లు, డెస్క్టాప్లు మొదలైనవి) ఉపయోగించబడుతుంది.
ఈ డిజైన్లో, అన్ని క్లయింట్లపై CAను హోస్ట్ చేయాల్సిన అవసరం లేదు, ఎందుకంటే అగ్ర-స్థాయి CA GlobalSign ద్వారా హోస్ట్ చేయబడింది, ఇది ప్రైవేట్ కీ రక్షణ మరియు గడువు సమస్యలను పరిష్కరిస్తుంది.
ఈ విధానం యొక్క మరొక ప్రయోజనం ఏ కారణం చేతనైనా SSL తనిఖీ అధికారాన్ని ఉపసంహరించుకునే సామర్ధ్యం. బదులుగా, కొత్తది సృష్టించబడుతుంది, ఇది మీ అసలు ప్రైవేట్ రూట్తో ముడిపడి ఉంటుంది మరియు మీరు దాన్ని వెంటనే ఉపయోగించవచ్చు.
అన్ని వివాదాలు ఉన్నప్పటికీ, సంస్థలు తమ అంతర్గత లేదా ప్రైవేట్ PKI మౌలిక సదుపాయాలలో భాగంగా SSL ట్రాఫిక్ తనిఖీని ఎక్కువగా అమలు చేస్తున్నాయి. ప్రైవేట్ PKI కోసం ఇతర ఉపయోగాలు పరికరం లేదా వినియోగదారు ప్రమాణీకరణ కోసం సర్టిఫికేట్లను జారీ చేయడం, అంతర్గత సర్వర్ల కోసం SSL మరియు CA/బ్రౌజర్ ఫోరమ్ ద్వారా అవసరమైన పబ్లిక్ విశ్వసనీయ ధృవపత్రాలలో అనుమతించబడని వివిధ కాన్ఫిగరేషన్లను కలిగి ఉంటాయి.
బ్రౌజర్లు తిరిగి పోరాడుతున్నాయి
బ్రౌజర్ డెవలపర్లు ఈ ట్రెండ్ను ఎదుర్కోవడానికి ప్రయత్నిస్తున్నారని మరియు తుది వినియోగదారులను MiTM నుండి రక్షించడానికి ప్రయత్నిస్తున్నారని గమనించాలి. ఉదాహరణకు, కొన్ని రోజుల క్రితం మొజిల్లా
ఇలాంటి ప్లాన్ల గురించి సెప్టెంబర్ 10, 2019
నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు.
కంపెనీకి దాని ఉద్యోగుల SSL ట్రాఫిక్ని తనిఖీ చేసే హక్కు ఉందని మీరు అనుకుంటున్నారా?
-
అవును, వారి సమ్మతితో
-
లేదు, అలాంటి సమ్మతిని అడగడం చట్టవిరుద్ధం మరియు/లేదా అనైతికం
122 మంది వినియోగదారులు ఓటు వేశారు. 15 మంది వినియోగదారులు దూరంగా ఉన్నారు.
మూలం: www.habr.com