信任鏈。抄送-SA 4.0
SSL 流量檢查(SSL/TLS 解密、SSL 或 DPI 分析)正在成為企業界討論的越來越熱門的話題。解密流量的想法似乎與密碼學的概念相矛盾。然而,事實就是事實:越來越多的公司正在使用 DPI 技術,這是因為需要檢查內容是否有惡意軟體、資料外洩等。
好吧,如果我們接受這樣的技術需要實施的事實,那麼我們至少應該考慮以最安全和最管理良好的方式來實現它。至少不要依賴那些證書,例如 DPI 系統供應商為您提供的證書。
實施的一個面向並不是每個人都知道。事實上,很多人聽到這個消息後都感到非常驚訝。這是一個私人憑證授權單位 (CA)。它產生憑證來解密和重新加密流量。
您可以使用來自第三方憑證授權單位(例如 GlobalSign)的專用 CA,而不是依賴自簽章憑證或 DPI 裝置的憑證。但首先,讓我們先對問題本身做一些概述。
什麼是 SSL 檢查以及為什麼要使用它?
越來越多的公共網站正在轉向 HTTPS。例如,根據 2019年83月初,俄羅斯加密流量份額達XNUMX%。
不幸的是,攻擊者越來越多地使用流量加密,特別是 Let's Encrypt 以自動方式分發數千個免費 SSL 憑證。因此,HTTPS 隨處可見 - 瀏覽器網址列中的掛鎖已不再充當可靠的安全指示器。
DPI 解決方案的製造商從這些位置推廣他們的產品。它們嵌入在最終用戶(即瀏覽網頁的員工)和網路之間,過濾掉惡意流量。目前市場上有許多此類產品,但流程基本上相同。 HTTPS 流量透過檢查設備,在檢查設備中進行解密並檢查是否有惡意軟體。
驗證完成後,裝置將與最終客戶端建立新的 SSL 會話,以解密並重新加密內容。
解密/重新加密過程如何運作
為了讓 SSL 檢查裝置在將封包傳送給最終使用者之前對其進行解密和重新加密,它必須能夠即時頒發 SSL 憑證。這意味著它必須安裝 CA 憑證。
對於公司(或任何中間人)來說,瀏覽器信任這些 SSL 憑證非常重要(即,不要觸發如下所示的可怕警告訊息)。因此,CA 鏈(或層次結構)必須位於瀏覽器的信任儲存中。由於這些憑證不是由公共信任的憑證授權單位頒發的,因此您必須手動將 CA 層次結構分發給所有最終用戶端。
Chrome 中自簽名憑證的警告訊息。來源:
在 Windows 電腦上,您可以使用 Active Directory 和群組原則,但對於行動設備,過程更為複雜。
如果您需要在企業環境中支援其他根憑證(例如來自 Microsoft 的根憑證或基於 OpenSSL 的根憑證),情況會變得更加複雜。加上私鑰的保護和管理,以便任何金鑰都不會意外過期。
最佳選擇:來自第三方 CA 的私人專用根憑證
如果管理多個根憑證或自簽名憑證沒有吸引力,還有另一個選擇:依賴第三方 CA。在這種情況下,證書是從 私人的 透過信任鏈連結到專門為公司創建的專用私有根 CA 的 CA。
專用客戶端根憑證的簡化架構
這種設定消除了前面提到的一些問題:至少減少了需要管理的根的數量。在這裡,您可以只使用一個私有根權限來滿足所有內部 PKI 需求,並使用任意數量的中間 CA。例如,上圖顯示了一個多層層次結構,其中一個中間 CA 用於 SSL 驗證/解密,另一個用於內部電腦(筆記型電腦、伺服器、桌上型電腦等)。
在此設計中,無需在所有用戶端上託管 CA,因為頂級 CA 由 GlobalSign 託管,這解決了私鑰保護和過期問題。
這種方法的另一個優點是能夠以任何理由撤銷 SSL 檢查權限。相反,只需創建一個新的,它與您原來的私有根綁定,您可以立即使用它。
儘管存在這些爭議,企業仍越來越多地實施 SSL 流量檢查作為其內部或私人 PKI 基礎設施的一部分。私有 PKI 的其他用途包括頒發用於裝置或使用者驗證的憑證、用於內部伺服器的 SSL 以及 CA/瀏覽器論壇要求的公共可信任憑證中不允許的各種配置。
瀏覽器正在反擊
應該指出的是,瀏覽器開發人員正在努力應對這一趨勢,並保護最終用戶免受 MiTM 的侵害。例如,幾天前 Mozilla 在 Firefox 的後續瀏覽器版本之一中預設啟用 DoH(DNS-over-HTTPS)協定。 DoH 協定向 DPI 系統隱藏 DNS 查詢,從而使 SSL 檢查變得困難。
關於類似計畫 10 年 2019 月 XNUMX 日 谷歌Chrome瀏覽器。
只有註冊用戶才能參與調查。 , 請。
你認為公司有權利檢查員工的SSL流量嗎?
-
是的,經他們同意
-
不,請求此類同意是非法和/或不道德的
122 位用戶投票。 15 名用戶棄權。
來源: www.habr.com