Pq ti igbekele. CC BY-SA 4.0
Ṣiṣayẹwo ijabọ SSL (Decryption SSL/TLS, SSL tabi itupalẹ DPI) ti n di koko ọrọ ti o gbona pupọ si ti ijiroro ni eka ile-iṣẹ. Awọn imọran ti decrypting ijabọ dabi pe o tako imọran pupọ ti cryptography. Sibẹsibẹ, otitọ jẹ otitọ: awọn ile-iṣẹ diẹ sii ati siwaju sii nlo awọn imọ-ẹrọ DPI, n ṣalaye eyi nipasẹ iwulo lati ṣayẹwo akoonu fun malware, awọn n jo data, ati bẹbẹ lọ.
O dara, ti a ba gba otitọ pe iru imọ-ẹrọ nilo lati wa ni imuse, lẹhinna a yẹ ki o ni o kere ju awọn ọna lati ṣe ni aabo ati iṣakoso daradara julọ ti o ṣeeṣe. O kere ju maṣe gbẹkẹle awọn iwe-ẹri wọnyẹn, fun apẹẹrẹ, ti olupese eto DPI fun ọ.
Abala kan wa ti imuse ti kii ṣe gbogbo eniyan mọ nipa. Kódà, ẹnu yà ọ̀pọ̀ èèyàn nígbà tí wọ́n gbọ́ nípa rẹ̀. Eyi jẹ aṣẹ ijẹrisi ikọkọ (CA). O ṣe agbejade awọn iwe-ẹri lati ṣokuro ati tun-encrypt ijabọ.
Dipo ki o gbẹkẹle awọn iwe-ẹri ti ara ẹni tabi awọn iwe-ẹri lati awọn ẹrọ DPI, o le lo CA ti a ṣe iyasọtọ lati aṣẹ ijẹrisi ẹni-kẹta gẹgẹbi GlobalSign. Ṣugbọn akọkọ, jẹ ki a ṣe akopọ diẹ ti iṣoro naa funrararẹ.
Kini ayewo SSL ati kilode ti a lo?
Siwaju ati siwaju sii awọn oju opo wẹẹbu ti gbogbo eniyan n lọ si HTTPS. Fun apẹẹrẹ, ni ibamu si , ni ibẹrẹ Oṣu Kẹsan ọdun 2019, ipin ti ijabọ ti paroko ni Russia de 83%.
Laanu, fifi ẹnọ kọ nkan ijabọ n pọ si nipasẹ awọn ikọlu, paapaa niwọn igba ti Jẹ ki Encrypt pin kaakiri ẹgbẹẹgbẹrun awọn iwe-ẹri SSL ọfẹ ni ọna adaṣe. Nitorinaa, HTTPS ni a lo nibi gbogbo - ati pe titiipa ti o wa ninu ọpa adirẹsi ẹrọ aṣawakiri ti dẹkun lati ṣiṣẹ bi itọkasi aabo ti igbẹkẹle.
Awọn aṣelọpọ ti awọn solusan DPI ṣe igbega awọn ọja wọn lati awọn ipo wọnyi. Wọn ti wa ni ifibọ laarin awọn olumulo ipari (ie awọn oṣiṣẹ rẹ ti n ṣawari wẹẹbu) ati Intanẹẹti, sisẹ ijabọ irira. Awọn nọmba iru awọn ọja wa lori ọja loni, ṣugbọn awọn ilana jẹ pataki kanna. Ijabọ HTTPS kọja nipasẹ ẹrọ ayewo nibiti o ti sọ dicrypted ati ṣayẹwo fun malware.
Ni kete ti ijẹrisi ba ti pari, ẹrọ naa ṣẹda igba SSL tuntun kan pẹlu alabara ipari lati kọ ati tun-encrypt akoonu naa.
Bawo ni ilana decryption / tun-ìsekóòdù ṣiṣẹ
Ni ibere fun ohun elo ayewo SSL lati kọ ati tun-encrypt awọn apo-iwe ṣaaju fifiranṣẹ wọn si awọn olumulo ipari, o gbọdọ ni anfani lati fun awọn iwe-ẹri SSL lori fifo. Eyi tumọ si pe o gbọdọ ni ijẹrisi CA ti o fi sii.
O ṣe pataki fun ile-iṣẹ naa (tabi ẹnikẹni ti o wa ni aarin) pe awọn iwe-ẹri SSL wọnyi ni igbẹkẹle nipasẹ awọn aṣawakiri (ie, ma ṣe fa awọn ifiranṣẹ ikilọ idẹruba bii eyi ti o wa ni isalẹ). Nitoribẹẹ ẹwọn CA (tabi awọn ilana) gbọdọ wa ni ile itaja igbẹkẹle ẹrọ aṣawakiri naa. Nitoripe a ko fun awọn iwe-ẹri wọnyi lati ọdọ awọn alaṣẹ ijẹrisi ti o ni igbẹkẹle gbangba, o gbọdọ fi ọwọ pin kaakiri awọn ilana CA si gbogbo awọn alabara opin.
Ifiranṣẹ ikilọ fun ijẹrisi ti ara ẹni ni Chrome. Orisun:
Lórí àwọn kọ̀ǹpútà pẹ̀lú Windows O le lo Active Directory ati Group Policy, ṣugbọn fun awọn ẹrọ alagbeka, ilana naa nira diẹ sii.
Ipo naa paapaa di idiju diẹ sii ti o ba nilo lati ṣe atilẹyin awọn iwe-ẹri root miiran ni agbegbe ajọṣepọ, fun apẹẹrẹ, lati Microsoft, tabi da lori OpenSSL. Ni afikun aabo ati iṣakoso awọn bọtini ikọkọ ki eyikeyi awọn bọtini ko ba pari lairotẹlẹ.
Aṣayan ti o dara julọ: ikọkọ, ijẹrisi root igbẹhin lati CA ẹnikẹta
Ti iṣakoso awọn gbongbo pupọ tabi awọn iwe-ẹri ti o fowo si ara ẹni ko wuyi, aṣayan miiran wa: gbigbekele CA ẹni-kẹta. Ni idi eyi, awọn iwe-ẹri ti wa ni ti oniṣowo lati ikọkọ CA ti o ni asopọ ni pq ti igbẹkẹle si igbẹhin, ipilẹ CA ti ikọkọ ti a ṣẹda ni pataki fun ile-iṣẹ naa.
Irọrun faaji fun igbẹhin awọn iwe-ẹri gbongbo alabara
Eto yii yọkuro diẹ ninu awọn iṣoro ti a mẹnuba tẹlẹ: o kere ju o dinku nọmba awọn gbongbo ti o nilo lati ṣakoso. Nibi o le lo aṣẹ gbongbo ikọkọ kan fun gbogbo awọn iwulo PKI inu, pẹlu nọmba eyikeyi ti awọn CA agbedemeji. Fun apẹẹrẹ, aworan atọka ti o wa loke fihan ipo-ipele pupọ nibiti ọkan ninu awọn CA agbedemeji ti lo fun ijẹrisi SSL / decryption ati pe miiran ti lo fun awọn kọnputa inu (awọn kọnputa agbeka, awọn olupin, awọn tabili itẹwe, ati bẹbẹ lọ).
Ninu apẹrẹ yii, ko si iwulo lati gbalejo CA kan lori gbogbo awọn alabara nitori CA ti o ga julọ ti gbalejo nipasẹ GlobalSign, eyiti o yanju aabo bọtini ikọkọ ati awọn ọran ipari.
Anfani miiran ti ọna yii ni agbara lati fagilee aṣẹ ayewo SSL fun eyikeyi idi. Dipo, a ṣẹda tuntun ni irọrun, eyiti o so mọ gbongbo ikọkọ atilẹba rẹ, ati pe o le lo lẹsẹkẹsẹ.
Pelu gbogbo ariyanjiyan naa, awọn ile-iṣẹ n ṣe imuse imuse ayewo ijabọ SSL gẹgẹbi apakan ti inu tabi awọn amayederun PKI ikọkọ wọn. Awọn ipawo miiran fun PKI ikọkọ pẹlu ipinfunni awọn iwe-ẹri fun ẹrọ tabi ijẹrisi olumulo, SSL fun awọn olupin inu, ati ọpọlọpọ awọn atunto ti ko gba laaye ni awọn iwe-ẹri igbẹkẹle gbangba bi CA/Apejọ aṣawakiri ti beere fun.
Awọn ẹrọ aṣawakiri n ja pada
O yẹ ki o ṣe akiyesi pe awọn olupilẹṣẹ ẹrọ aṣawakiri n gbiyanju lati koju aṣa yii ati daabobo awọn olumulo ipari lati MiTM. Fun apẹẹrẹ, awọn ọjọ diẹ sẹhin Mozilla Mu ilana DoH (DNS-over-HTTPS) ṣiṣẹ nipasẹ aiyipada ni ọkan ninu awọn ẹya aṣawakiri atẹle ni Firefox. Ilana DoH tọju awọn ibeere DNS lati inu eto DPI, ṣiṣe ayẹwo SSL nira.
Nipa awọn ero ti o jọra ni Oṣu Kẹsan Ọjọ 10, Ọdun 2019 Google fun aṣàwákiri Chrome.
Awọn olumulo ti o forukọsilẹ nikan le kopa ninu iwadi naa. , Jowo.
Ṣe o ro pe ile-iṣẹ kan ni ẹtọ lati ṣayẹwo ijabọ SSL ti awọn oṣiṣẹ rẹ?
Bẹẹni, pẹlu igbanilaaye wọn
Rara, bibere fun iru igbanilaaye jẹ arufin ati/tabi aiṣedeede
122 olumulo dibo. 15 olumulo abstained.
orisun: www.habr.com
