Ishonch zanjiri. CC BY-SA 4.0
SSL trafik tekshiruvi (SSL/TLS shifrini ochish, SSL yoki DPI tahlili) korporativ sektorda tobora qizg'in muhokama qilinadigan mavzuga aylanib bormoqda. Trafik shifrini ochish g'oyasi kriptografiya tushunchasiga ziddek tuyuladi. Biroq, bu haqiqat: tobora ko'proq kompaniyalar DPI texnologiyalaridan foydalanmoqda va buni kontentni zararli dasturlar, ma'lumotlar sizib chiqishi va hokazolarni tekshirish zarurati bilan izohlamoqda.
Xo'sh, agar biz bunday texnologiyani amalga oshirish zarurligini qabul qilsak, hech bo'lmaganda uni eng xavfsiz va eng yaxshi boshqariladigan tarzda amalga oshirish yo'llarini ko'rib chiqishimiz kerak. Hech bo'lmaganda, masalan, DPI tizimi yetkazib beruvchisi sizga beradigan sertifikatlarga tayanmang.
Amalga oshirishning bir jihati borki, uni hamma ham bilmaydi. Darhaqiqat, ko'pchilik bu haqda eshitib, hayratda qoladi. Bu xususiy sertifikatlashtirish organi (CA). U trafikni shifrlash va qayta shifrlash uchun sertifikatlar ishlab chiqaradi.
O'z-o'zidan imzolangan sertifikatlar yoki DPI qurilmalarining sertifikatlariga tayanish o'rniga siz GlobalSign kabi uchinchi tomon sertifikat organining maxsus CA dan foydalanishingiz mumkin. Lekin birinchi navbatda, muammoning o'zi haqida bir oz ko'rib chiqaylik.
SSL tekshiruvi nima va u nima uchun ishlatiladi?
Ko'proq ommaviy veb-saytlar HTTPS tizimiga o'tmoqda. Masalan, ko'ra , 2019 yil sentyabr oyi boshida Rossiyada shifrlangan trafik ulushi 83 foizga yetdi.
Afsuski, trafikni shifrlash tajovuzkorlar tomonidan tobora ko'proq foydalanilmoqda, ayniqsa Let's Encrypt minglab bepul SSL sertifikatlarini avtomatlashtirilgan tarzda tarqatadi. Shunday qilib, HTTPS hamma joyda qo'llaniladi - va brauzerning manzillar panelidagi qulf xavfsizlikning ishonchli ko'rsatkichi bo'lib xizmat qilishni to'xtatdi.
DPI yechimlari ishlab chiqaruvchilari o'z mahsulotlarini ushbu pozitsiyalardan ilgari suradilar. Ular oxirgi foydalanuvchilar (ya'ni internetni ko'rayotgan xodimlaringiz) va Internet o'rtasida o'rnatilgan bo'lib, zararli trafikni filtrlaydi. Bugungi kunda bozorda bunday mahsulotlarning bir qanchasi mavjud, ammo jarayonlar asosan bir xil. HTTPS trafigi tekshiruv qurilmasi orqali o'tadi, u erda shifrlangan va zararli dastur mavjudligi tekshiriladi.
Tekshirish tugallangandan so'ng, qurilma kontentni shifrlash va qayta shifrlash uchun oxirgi mijoz bilan yangi SSL seansini yaratadi.
Shifrni ochish/qayta shifrlash jarayoni qanday ishlaydi
SSL tekshiruv qurilmasi paketlarni oxirgi foydalanuvchilarga yuborishdan oldin shifrini ochishi va qayta shifrlashi uchun u tezda SSL sertifikatlarini chiqarish imkoniyatiga ega bo'lishi kerak. Bu shuni anglatadiki, unda CA sertifikati o'rnatilgan bo'lishi kerak.
Kompaniya (yoki o'rtadagi kim bo'lishidan qat'i nazar) uchun ushbu SSL sertifikatlari brauzerlar tomonidan ishonchli bo'lishi muhim (ya'ni, quyidagi kabi qo'rqinchli ogohlantirish xabarlarini ishga tushirmang). Shuning uchun CA zanjiri (yoki ierarxiyasi) brauzerning ishonchli do'konida bo'lishi kerak. Ushbu sertifikatlar ommaviy ishonchli sertifikat organlari tomonidan berilmaganligi sababli, CA ierarxiyasini barcha oxirgi mijozlarga qo'lda tarqatishingiz kerak.
Chrome brauzerida o'z-o'zidan imzolangan sertifikat uchun ogohlantirish xabari. Manba:
Windows kompyuterlarida siz Active Directory va Group Policies-dan foydalanishingiz mumkin, lekin mobil qurilmalar uchun protsedura ancha murakkab.
Agar siz korporativ muhitda, masalan, Microsoft-dan yoki OpenSSL-ga asoslangan boshqa ildiz sertifikatlarini qo'llab-quvvatlashingiz kerak bo'lsa, vaziyat yanada murakkablashadi. Bundan tashqari, shaxsiy kalitlarni himoya qilish va boshqarish, shunda biron bir kalit kutilmaganda tugamaydi.
Eng yaxshi variant: uchinchi tomon CA dan xususiy, maxsus ildiz sertifikati
Agar bir nechta ildiz yoki o'z-o'zidan imzolangan sertifikatlarni boshqarish jozibador bo'lmasa, boshqa variant ham bor: uchinchi tomon CA ga tayanish. Bunday holda, sertifikatlar beriladi xususiy kompaniya uchun maxsus yaratilgan maxsus, xususiy ildiz CA bilan ishonch zanjirida bog'langan CA.
Maxsus mijoz ildiz sertifikatlari uchun soddalashtirilgan arxitektura
Ushbu o'rnatish avval aytib o'tilgan ba'zi muammolarni bartaraf qiladi: hech bo'lmaganda boshqarilishi kerak bo'lgan ildizlar sonini kamaytiradi. Bu yerda siz har qanday oraliq CA bilan barcha ichki PKI ehtiyojlari uchun faqat bitta shaxsiy ildiz vakolatidan foydalanishingiz mumkin. Misol uchun, yuqoridagi diagramma ko'p darajali ierarxiyani ko'rsatadi, bu erda oraliq CAlardan biri SSL tekshiruvi/shifrini ochish uchun, ikkinchisi esa ichki kompyuterlar (noutbuklar, serverlar, ish stollari va boshqalar) uchun ishlatiladi.
Ushbu dizaynda barcha mijozlar uchun CAni joylashtirishning hojati yo'q, chunki yuqori darajadagi CA shaxsiy kalitlarni himoya qilish va amal qilish muddati tugashi bilan bog'liq muammolarni hal qiladigan GlobalSign tomonidan joylashtirilgan.
Ushbu yondashuvning yana bir afzalligi - har qanday sababga ko'ra SSL tekshirish organini bekor qilish qobiliyati. Buning o'rniga, yangisi yaratiladi, u sizning asl shaxsiy ildizingizga bog'langan va siz uni darhol ishlatishingiz mumkin.
Barcha qarama-qarshiliklarga qaramay, korxonalar o'zlarining ichki yoki xususiy PKI infratuzilmasining bir qismi sifatida SSL transport inspektsiyasini tobora ko'proq joriy qilmoqdalar. Shaxsiy PKI uchun boshqa maqsadlarda qurilma yoki foydalanuvchi autentifikatsiyasi uchun sertifikatlar berish, ichki serverlar uchun SSL va CA/Brauzer Forumi talabiga ko'ra, umumiy ishonchli sertifikatlarda ruxsat etilmagan turli xil konfiguratsiyalar kiradi.
Brauzerlar qarshi kurashmoqda
Shuni ta'kidlash kerakki, brauzer ishlab chiquvchilari ushbu tendentsiyaga qarshi turishga va oxirgi foydalanuvchilarni MiTM dan himoya qilishga harakat qilmoqdalar. Misol uchun, bir necha kun oldin Mozilla Firefox brauzerining keyingi versiyalaridan birida sukut bo'yicha DoH (HTTPS orqali DNS) protokolini yoqing. DoH protokoli DPI tizimidan DNS so'rovlarini yashiradi, bu esa SSL tekshiruvini qiyinlashtiradi.
Shu kabi rejalar haqida 10 yil 2019 sentyabr Chrome brauzeri uchun Google.
So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. iltimos.
Sizningcha, kompaniya o'z xodimlarining SSL trafikini tekshirish huquqiga egami?
-
Ha, ularning roziligi bilan
-
Yo'q, bunday rozilikni so'rash noqonuniy va/yoki axloqiy emas
122 foydalanuvchi ovoz berdi. 15 nafar foydalanuvchi betaraf qoldi.
Manba: www.habr.com