信任链。抄送-SA 4.0
SSL 流量检查(SSL/TLS 解密、SSL 或 DPI 分析)正在成为企业界讨论的越来越热门的话题。解密流量的想法似乎与密码学的概念相矛盾。然而,事实就是事实:越来越多的公司正在使用 DPI 技术,这是因为需要检查内容是否存在恶意软件、数据泄露等。
好吧,如果我们接受这样的技术需要实施的事实,那么我们至少应该考虑以最安全和最管理良好的方式来实现它。至少不要依赖那些证书,例如 DPI 系统供应商为您提供的证书。
实施的一个方面并不是每个人都知道。事实上,很多人听到这个消息后都感到非常惊讶。这是一个私人证书颁发机构 (CA)。它生成证书来解密和重新加密流量。
您可以使用来自第三方证书颁发机构(例如 GlobalSign)的专用 CA,而不是依赖自签名证书或来自 DPI 设备的证书。但首先,让我们对问题本身做一些概述。
什么是 SSL 检查以及为什么使用它?
越来越多的公共网站正在转向 HTTPS。例如,根据 2019年83月初,俄罗斯加密流量份额达到XNUMX%。
不幸的是,攻击者越来越多地使用流量加密,特别是因为 Let’s Encrypt 以自动方式分发数千个免费 SSL 证书。因此,HTTPS 随处可见 - 浏览器地址栏中的挂锁已不再充当可靠的安全指示器。
DPI 解决方案的制造商从这些位置推广他们的产品。它们嵌入在最终用户(即浏览网页的员工)和互联网之间,过滤掉恶意流量。目前市场上有许多此类产品,但流程基本相同。 HTTPS 流量通过检查设备,在检查设备中进行解密并检查是否存在恶意软件。
验证完成后,设备将与最终客户端创建新的 SSL 会话,以解密并重新加密内容。
解密/重新加密过程如何工作
为了让 SSL 检查设备在将数据包发送给最终用户之前对其进行解密和重新加密,它必须能够即时颁发 SSL 证书。这意味着它必须安装 CA 证书。
对于公司(或任何中间人)来说,浏览器信任这些 SSL 证书非常重要(即,不要触发如下所示的可怕警告消息)。因此,CA 链(或层次结构)必须位于浏览器的信任存储中。由于这些证书不是由公共信任的证书颁发机构颁发的,因此您必须手动将 CA 层次结构分发给所有最终客户端。
Chrome 中自签名证书的警告消息。来源:
在 Windows 计算机上,您可以使用 Active Directory 和组策略,但对于移动设备,过程更为复杂。
如果您需要在企业环境中支持其他根证书(例如来自 Microsoft 的根证书或基于 OpenSSL 的根证书),情况会变得更加复杂。加上私钥的保护和管理,以便任何密钥都不会意外过期。
最佳选择:来自第三方 CA 的私有专用根证书
如果管理多个根证书或自签名证书没有吸引力,还有另一种选择:依赖第三方 CA。在这种情况下,证书是从 私人的 通过信任链链接到专门为公司创建的专用私有根证书颁发机构的证书颁发机构。
专用客户端根证书的简化架构
这种设置消除了前面提到的一些问题:至少减少了需要管理的根的数量。在这里,您可以仅使用一个私有根权限来满足所有内部 PKI 需求,并使用任意数量的中间 CA。例如,上图显示了一个多级层次结构,其中一个中间 CA 用于 SSL 验证/解密,另一个用于内部计算机(笔记本电脑、服务器、台式机等)。
在此设计中,无需在所有客户端上托管 CA,因为顶级 CA 由 GlobalSign 托管,这解决了私钥保护和过期问题。
这种方法的另一个优点是能够以任何理由撤销 SSL 检查权限。相反,只需创建一个新的,它与您原来的私有根绑定,您可以立即使用它。
尽管存在这些争议,企业还是越来越多地实施 SSL 流量检查作为其内部或私有 PKI 基础设施的一部分。私有 PKI 的其他用途包括颁发用于设备或用户身份验证的证书、用于内部服务器的 SSL 以及 CA/浏览器论坛要求的公共可信证书中不允许的各种配置。
浏览器正在反击
应该指出的是,浏览器开发人员正在努力应对这一趋势,并保护最终用户免受 MiTM 的侵害。例如,几天前 Mozilla 在 Firefox 的后续浏览器版本之一中默认启用 DoH(DNS-over-HTTPS)协议。 DoH 协议向 DPI 系统隐藏 DNS 查询,从而使 SSL 检查变得困难。
关于类似计划 10 年 2019 月 XNUMX 日 谷歌Chrome浏览器。
只有注册用户才能参与调查。 拜托
你认为公司有权检查员工的SSL流量吗?
-
是的,经他们同意
-
不,请求此类同意是非法和/或不道德的
122 位用户投票。 15 名用户弃权。
来源: habr.com