ڈی پی آئی (SSL معائنہ) خفیہ نگاری کے اناج کے خلاف ہے، لیکن کمپنیاں اسے نافذ کر رہی ہیں۔

اعتماد کا سلسلہ۔ CC BY-SA 4.0 یانپاس

SSL ٹریفک معائنہ (SSL/TLS ڈکرپشن، SSL یا DPI تجزیہ) کارپوریٹ سیکٹر میں بحث کا تیزی سے گرم موضوع بنتا جا رہا ہے۔ ٹریفک کو ڈکرپٹ کرنے کا خیال خفیہ نگاری کے تصور سے متصادم معلوم ہوتا ہے۔ تاہم، حقیقت ایک حقیقت ہے: زیادہ سے زیادہ کمپنیاں ڈی پی آئی ٹیکنالوجیز کا استعمال کر رہی ہیں، اس کی وضاحت مالویئر، ڈیٹا لیک وغیرہ کے لیے مواد کی جانچ کرنے کی ضرورت سے کرتی ہیں۔

ٹھیک ہے، اگر ہم اس حقیقت کو قبول کرتے ہیں کہ اس طرح کی ٹیکنالوجی کو لاگو کرنے کی ضرورت ہے، تو ہمیں کم از کم ان طریقوں پر غور کرنا چاہیے جو اسے سب سے محفوظ اور سب سے زیادہ منظم طریقے سے ممکن بنائیں۔ کم از کم ان سرٹیفیکیٹس پر بھروسہ نہ کریں، مثال کے طور پر، جو DPI سسٹم فراہم کنندہ آپ کو دیتا ہے۔

نفاذ کا ایک پہلو ہے جس کے بارے میں ہر کوئی نہیں جانتا۔ درحقیقت، بہت سے لوگ اس کے بارے میں سن کر واقعی حیران ہوتے ہیں۔ یہ ایک نجی سرٹیفیکیشن اتھارٹی (CA) ہے۔ یہ ٹریفک کو ڈکرپٹ اور دوبارہ انکرپٹ کرنے کے لیے سرٹیفکیٹ تیار کرتا ہے۔

خود دستخط شدہ سرٹیفکیٹس یا DPI ڈیوائسز کے سرٹیفکیٹس پر انحصار کرنے کے بجائے، آپ گلوبل سائن جیسی تھرڈ پارٹی سرٹیفکیٹ اتھارٹی سے ایک وقف شدہ CA استعمال کر سکتے ہیں۔ لیکن پہلے، آئیے خود ہی مسئلے کا ایک چھوٹا سا جائزہ لیتے ہیں۔

SSL معائنہ کیا ہے اور اسے کیوں استعمال کیا جاتا ہے؟

زیادہ سے زیادہ عوامی ویب سائٹس HTTPS میں منتقل ہو رہی ہیں۔ مثال کے طور پر، کے مطابق کروم کے اعدادوشمارستمبر 2019 کے آغاز میں، روس میں خفیہ کردہ ٹریفک کا حصہ 83% تک پہنچ گیا۔

بدقسمتی سے، حملہ آوروں کے ذریعہ ٹریفک کی خفیہ کاری کا استعمال تیزی سے ہو رہا ہے، خاص طور پر چونکہ Let's Encrypt ہزاروں مفت SSL سرٹیفکیٹس کو خودکار طریقے سے تقسیم کرتا ہے۔ اس طرح، HTTPS ہر جگہ استعمال ہوتا ہے - اور براؤزر کے ایڈریس بار میں پیڈ لاک سیکیورٹی کے قابل اعتماد اشارے کے طور پر کام کرنا بند کر دیا ہے۔

DPI سلوشنز کے مینوفیکچررز ان پوزیشنوں سے اپنی مصنوعات کو فروغ دیتے ہیں۔ وہ اختتامی صارفین (یعنی آپ کے ملازمین جو ویب براؤز کر رہے ہیں) اور انٹرنیٹ کے درمیان سرایت کر رہے ہیں، بدنیتی پر مبنی ٹریفک کو فلٹر کرتے ہوئے۔ آج مارکیٹ میں ایسی بہت سی مصنوعات موجود ہیں، لیکن عمل بنیادی طور پر ایک جیسے ہیں۔ HTTPS ٹریفک ایک معائنہ کرنے والے آلے سے گزرتی ہے جہاں اسے ڈکرپٹ کیا جاتا ہے اور میلویئر کے لیے چیک کیا جاتا ہے۔

ایک بار توثیق مکمل ہوجانے کے بعد، ڈیوائس اینڈ کلائنٹ کے ساتھ مواد کو ڈکرپٹ اور دوبارہ انکرپٹ کرنے کے لیے ایک نیا SSL سیشن بناتا ہے۔

ڈکرپشن/ری-انکرپشن کا عمل کیسے کام کرتا ہے۔

پیکٹوں کو آخری صارفین کو بھیجنے سے پہلے SSL معائنہ کرنے والے آلات کو ڈکرپٹ اور دوبارہ انکرپٹ کرنے کے لیے، اسے پرواز پر SSL سرٹیفکیٹ جاری کرنے کے قابل ہونا چاہیے۔ اس کا مطلب ہے کہ اس میں CA سرٹیفکیٹ انسٹال ہونا ضروری ہے۔

کمپنی (یا درمیان میں جو کوئی بھی ہے) کے لیے یہ ضروری ہے کہ یہ SSL سرٹیفکیٹس براؤزرز کے ذریعے قابل بھروسہ ہوں (یعنی، نیچے دیے گئے خوفناک انتباہی پیغامات کو متحرک نہ کریں)۔ اس لیے CA سلسلہ (یا درجہ بندی) براؤزر کے ٹرسٹ اسٹور میں ہونا چاہیے۔ چونکہ یہ سرٹیفکیٹس عوامی طور پر قابل بھروسہ سرٹیفکیٹ حکام سے جاری نہیں کیے جاتے ہیں، آپ کو لازمی طور پر CA کے درجہ بندی کو تمام آخری کلائنٹس میں تقسیم کرنا چاہیے۔

کروم میں خود دستخط شدہ سرٹیفکیٹ کے لیے انتباہی پیغام۔ ذریعہ: BadSSL.com

На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.

صورت حال اور بھی پیچیدہ ہو جاتی ہے اگر آپ کو کارپوریٹ ماحول میں دیگر روٹ سرٹیفکیٹس کو سپورٹ کرنے کی ضرورت ہو، مثال کے طور پر، Microsoft سے، یا OpenSSL کی بنیاد پر۔ اس کے علاوہ نجی چابیاں کا تحفظ اور انتظام تاکہ کسی بھی چابیاں کی میعاد غیر متوقع طور پر ختم نہ ہو۔

بہترین آپشن: پرائیویٹ، کسی تھرڈ پارٹی CA سے وقف شدہ روٹ سرٹیفکیٹ

اگر ایک سے زیادہ روٹس یا خود دستخط شدہ سرٹیفکیٹس کا انتظام کرنا دلکش نہیں ہے، تو ایک اور آپشن ہے: فریق ثالث CA پر انحصار کرنا۔ اس صورت میں، سے سرٹیفکیٹ جاری کیا جاتا ہے نجی ایک CA جو اعتماد کی زنجیر میں ایک وقف شدہ، نجی روٹ CA سے منسلک ہے جو خاص طور پر کمپنی کے لیے بنایا گیا ہے۔

سرشار کلائنٹ روٹ سرٹیفکیٹ کے لیے آسان فن تعمیر

یہ سیٹ اپ پہلے بیان کیے گئے کچھ مسائل کو ختم کرتا ہے: کم از کم یہ جڑوں کی تعداد کو کم کرتا ہے جن کا انتظام کرنے کی ضرورت ہے۔ یہاں آپ تمام اندرونی PKI ضروریات کے لیے صرف ایک پرائیویٹ روٹ اتھارٹی استعمال کر سکتے ہیں، کسی بھی انٹرمیڈیٹ CAs کے ساتھ۔ مثال کے طور پر، مندرجہ بالا خاکہ ایک کثیر سطحی درجہ بندی کو ظاہر کرتا ہے جہاں انٹرمیڈیٹ CAs میں سے ایک SSL تصدیق/ڈیکرپشن کے لیے استعمال ہوتا ہے اور دوسرا اندرونی کمپیوٹرز (لیپ ٹاپ، سرورز، ڈیسک ٹاپس، وغیرہ) کے لیے استعمال ہوتا ہے۔

اس ڈیزائن میں، تمام کلائنٹس پر CA کی میزبانی کرنے کی ضرورت نہیں ہے کیونکہ اعلیٰ سطح کے CA کی میزبانی GlobalSign کرتا ہے، جو نجی کلیدی تحفظ اور ختم ہونے کے مسائل کو حل کرتا ہے۔

اس نقطہ نظر کا ایک اور فائدہ کسی بھی وجہ سے SSL معائنہ اتھارٹی کو منسوخ کرنے کی صلاحیت ہے۔ اس کے بجائے، ایک نیا آسانی سے بنایا گیا ہے، جو آپ کی اصل نجی جڑ سے منسلک ہے، اور آپ اسے فوری طور پر استعمال کر سکتے ہیں۔

تمام تنازعات کے باوجود، کاروباری ادارے اپنے اندرونی یا نجی PKI انفراسٹرکچر کے حصے کے طور پر SSL ٹریفک معائنہ کو تیزی سے نافذ کر رہے ہیں۔ نجی PKI کے دیگر استعمالات میں ڈیوائس یا صارف کی تصدیق کے لیے سرٹیفکیٹ جاری کرنا، اندرونی سرورز کے لیے SSL، اور مختلف کنفیگریشنز شامل ہیں جن کی CA/Browser Forum کی ضرورت کے مطابق عوامی بھروسہ مند سرٹیفکیٹس میں اجازت نہیں ہے۔

براؤزر واپس لڑ رہے ہیں۔

واضح رہے کہ براؤزر ڈویلپرز اس رجحان کا مقابلہ کرنے اور اختتامی صارفین کو MiTM سے بچانے کی کوشش کر رہے ہیں۔ مثال کے طور پر، کچھ دن پہلے Mozilla ایک فیصلہ کیا فائر فاکس میں اگلے براؤزر ورژن میں سے کسی ایک میں ڈیفالٹ کے طور پر DoH (DNS-over-HTTPS) پروٹوکول کو فعال کریں۔ DoH پروٹوکول DPI سسٹم سے DNS سوالات کو چھپاتا ہے، جس سے SSL معائنہ مشکل ہو جاتا ہے۔

اسی طرح کے منصوبوں کے بارے میں 10 ستمبر 2019 اعلان کیا کروم براؤزر کے لیے گوگل۔

سروے میں صرف رجسٹرڈ صارفین ہی حصہ لے سکتے ہیں۔ سائن ان، برائے مہربانی.

کیا آپ کے خیال میں کمپنی کو اپنے ملازمین کے SSL ٹریفک کا معائنہ کرنے کا حق ہے؟

• ہاں، ان کی رضامندی سے

• نہیں، ایسی رضامندی طلب کرنا غیر قانونی اور/یا غیر اخلاقی ہے۔

122 صارفین نے ووٹ دیا۔ 15 صارفین غیر حاضر رہے۔

ماخذ: www.habr.com