Занҷираи эътимод. CC BY-SA 4.0
Бозрасии трафики SSL (рамзшифркунии SSL/TLS, таҳлили SSL ё DPI) ба мавзӯи рӯзафзуни баҳс дар бахши корпоративӣ табдил меёбад. Чунин ба назар мерасад, ки идеяи рамзкушоии трафик ба консепсияи криптография мухолиф аст. Аммо, ин далел аст: бештари ширкатҳо технологияҳои DPI-ро истифода мебаранд ва инро бо зарурати тафтиши мундариҷа барои нармафзори зараровар, ихроҷи маълумот ва ғайра шарҳ медиҳанд.
Хуб, агар мо эътироф кунем, ки ин гуна технология бояд татбиқ карда шавад, пас мо бояд ҳадди аққал роҳҳои ба таври бехатар ва хуб идорашаванда иҷро кардани онро баррасӣ кунем. Ҳадди ақал ба он шаҳодатномаҳо такя накунед, масалан, ки таъминкунандаи системаи DPI ба шумо медиҳад.
Як ҷанбаи татбиқи он вуҷуд дорад, ки онро на ҳама медонанд. Дарвоқеъ, бисёриҳо вақте ки дар ин бора шуниданд, дар ҳайрат мемонанд. Ин як мақоми хусусии сертификатсия (CA) аст. Он сертификатҳоро барои рамзкушоӣ ва дубора рамзгузории трафик тавлид мекунад.
Ба ҷои такя кардан ба шаҳодатномаҳои худ имзошуда ё шаҳодатномаҳои дастгоҳҳои DPI, шумо метавонед CA-и махсусро аз мақомоти сертификатсияи тарафи сеюм ба монанди GlobalSign истифода баред. Аммо аввал, биёед дар бораи худи мушкилот каме шарҳ диҳем.
Санҷиши SSL чист ва чаро он истифода мешавад?
Бештар ва бештар вебсайтҳои ҷамъиятӣ ба HTTPS мегузаранд. Масалан, мувофики , дар аввали сентябри соли 2019 ҳиссаи трафики рамзгузорӣ дар Русия ба 83% расид.
Мутаассифона, рамзгузории трафик аз ҷониби ҳамлагарон торафт бештар истифода мешавад, хусусан азбаски Let's Encrypt ҳазорҳо сертификатҳои ройгони SSL-ро ба таври автоматӣ паҳн мекунад. Ҳамин тариқ, HTTPS дар ҳама ҷо истифода мешавад - ва қуфл дар сатри суроғаҳои браузер ҳамчун нишондиҳандаи боэътимоди амният хидмат карданро қатъ кард.
Истеҳсолкунандагони ҳалли DPI маҳсулоти худро аз ин мавқеъ пешбарӣ мекунанд. Онҳо дар байни корбарони ниҳоӣ (яъне кормандони шумо дар веб дидан мекунанд) ва Интернет ҷойгир карда шудаанд, ки трафики зарароварро филтр мекунанд. Имрӯз дар бозор як қатор чунин маҳсулот мавҷуданд, аммо равандҳо аслан якхелаанд. Трафики HTTPS аз дастгоҳи санҷиш мегузарад, ки дар он ҷо рамзкушоӣ ва барои зараровар тафтиш карда мешавад.
Пас аз ба итмом расидани санҷиш, дастгоҳ сеанси нави SSL-ро бо муштарии ниҳоӣ барои рамзкушоӣ ва дубора рамзкушоӣ кардани мундариҷа эҷод мекунад.
Раванди рамзкушоӣ/аз нав рамзгузорӣ чӣ гуна кор мекунад
Барои он ки дастгоҳи бозрасии SSL бастаҳоро пеш аз фиристодан ба корбарони ниҳоӣ рамзкушоӣ ва дубора рамзкушо кунад, он бояд дар вақти парвоз сертификатҳои SSL диҳад. Ин маънои онро дорад, ки он бояд сертификати CA дошта бошад.
Барои ширкат (ё ҳар касе, ки дар миёнарав аст) муҳим аст, ки ин сертификатҳои SSL аз ҷониби браузерҳо эътимод доранд (яъне, паёмҳои огоҳкунандаи даҳшатоварро ба монанди паёми дар поён овардашуда нафиристед). Аз ин рӯ, занҷири CA (ё иерархия) бояд дар мағозаи боварии браузер бошад. Азбаски ин сертификатҳо аз мақомоти боэътимоди сертификатсия дода намешаванд, шумо бояд иерархияи CA-ро ба ҳама муштариёни ниҳоӣ дастӣ тақсим кунед.
Паёми огоҳӣ барои сертификати худ имзошуда дар Chrome. Сарчашма:
Дар компютерҳои Windows, шумо метавонед Active Directory ва Policies-ро истифода баред, аммо барои дастгоҳҳои мобилӣ ин тартиб мураккабтар аст.
Вазъият боз ҳам мураккабтар мешавад, агар ба шумо лозим аст, ки сертификатҳои решаи дигарро дар муҳити корпоративӣ дастгирӣ кунед, масалан, аз Microsoft ё дар асоси OpenSSL. Илова бар ин, ҳифз ва идоракунии калидҳои хусусӣ, то ки ягон калид ба таври ғайричашмдошт ба охир нарасад.
Варианти беҳтарин: шаҳодатномаи решаи хусусӣ ва бахшидашуда аз ҷониби сеюми CA
Агар идоракунии решаҳои сершумор ё сертификатҳои худ имзошуда ҷолиб набошад, интихоби дигар вуҷуд дорад: такя ба CA-и тарафи сеюм. Дар ин ҳолат, шаҳодатномаҳо аз хусусӣ CA, ки дар як занҷири эътимод ба як CA решаи хусусии махсус барои ширкат сохта шудааст, пайваст карда шудааст.
Архитектураи соддакардашуда барои сертификатҳои решавӣ муштарӣ
Ин насб баъзе мушкилоти дар боло зикршударо бартараф мекунад: ҳадди аққал шумораи решаҳоеро, ки бояд идора карда шаванд, коҳиш медиҳад. Дар ин ҷо шумо метавонед танҳо як ваколати решаи хусусиро барои ҳама эҳтиёҷоти дохилии PKI бо ҳама гуна шумораи CA-ҳои фосилавӣ истифода баред. Масалан, диаграммаи дар боло зикршуда зинанизоми бисёрсатҳаро нишон медиҳад, ки дар он яке аз CA-ҳои фосилавӣ барои тасдиқи SSL/рамзи рамзкушоӣ ва дигаре барои компютерҳои дохилӣ (ноутбукҳо, серверҳо, мизи корӣ ва ғайра) истифода мешавад.
Дар ин тарҳ, ҳоҷати CA дар ҳама муштариён вуҷуд надорад, зеро CA-и сатҳи боло аз ҷониби GlobalSign ҷойгир аст, ки масъалаҳои ҳифзи калидҳои хусусиро ҳал мекунад.
Бартарии дигари ин равиш қобилияти бозхонд кардани мақомоти санҷиши SSL бо ягон сабаб мебошад. Ба ҷои ин, як наве сохта мешавад, ки ба решаи аслии шахсии шумо пайваст аст ва шумо метавонед онро фавран истифода баред.
Сарфи назар аз ҳама баҳсҳо, корхонаҳо бозрасии трафики SSL-ро ҳамчун як қисми инфрасохтори дохилӣ ё хусусии худ PKI амалӣ мекунанд. Истифодаи дигар барои PKI хусусӣ додани сертификатҳо барои аутентификатсияи дастгоҳ ё корбар, SSL барои серверҳои дохилӣ ва конфигуратсияҳои гуногунро дар бар мегирад, ки дар сертификатҳои боэътимоди оммавӣ мувофиқи талаби Форуми CA/Browser иҷозат дода намешаванд.
Браузерҳо мубориза мебаранд
Бояд қайд кард, ки таҳиягарони браузер кӯшиш мекунанд, ки ба ин тамоюл муқобилат кунанд ва корбарони ниҳоиро аз MiTM муҳофизат кунанд. Масалан, чанд рӯз пеш Mozilla Протоколи DoH (DNS-over-HTTPS) ба таври нобаёнӣ дар яке аз версияҳои навбатии браузер дар Firefox фаъол созед. Протоколи DoH дархостҳои DNS-ро аз системаи DPI пинҳон мекунад ва санҷиши SSL-ро мушкил мекунад.
Дар бораи нақшаҳои шабеҳ 10 сентябри соли 2019 Google барои браузери Chrome.
Танҳо корбарони сабтиномшуда метавонанд дар пурсиш иштирок кунанд. , Лутфан.
Ба фикри шумо, оё ширкат ҳақ дорад трафики SSL-и кормандони худро тафтиш кунад?
-
Бале, бо розигии онхо
-
Не, дархости чунин ризоият ғайриқонунӣ ва/ё ғайриахлоқист
122 корбар овоз доданд. 15 корбар худдорӣ карданд.
Манбаъ: will.com