信任链。 CC BY-SA 4.0 YanpasSSL流量检查(SSL / TLS解密,SSL或DPI分析)已成为企业界越来越热门的话题。 解密流量的想法似乎与密码学的概念相矛盾。 但是,事实是事实:越来越多的公司使用DPI技术,通过检查内容是否存在恶意软件,数据泄漏等来解释这一点。
好吧,如果您接受了引入这样一项技术的事实,那么您至少应该考虑使它成为最安全,管理最完善的方法。 例如,至少不依赖于DPI系统提供商提供给您的那些证书。
实现的一个方面并不是每个人都知道。 实际上,当许多人听到他的消息时,真的感到很惊讶。 这是一个私人证书颁发机构(CA)。 它生成用于解密和重新加密流量的证书。
无需依赖自签名证书或DPI设备的证书,您可以使用第三方证书颁发机构(例如GlobalSign)提供的专用CA。 但是首先,让我们对问题本身进行简短回顾。
什么是SSL检查,为什么要使用它?
越来越多的公共网站正在切换到HTTPS。 例如,根据
Chrome统计数据 ,在2019年9月上旬,俄罗斯加密流量的份额达到了83%。
不幸的是,网络犯罪分子越来越多地使用流量加密,特别是因为“让我们加密”自动分发了数千个免费SSL证书。 因此,HTTPS随处可见-浏览器地址栏中的锁定已不再充当安全性的可靠指示。
在这些职位上,DPI解决方案的制造商会推广他们的产品。 它们部署在最终用户(即您的员工浏览网络)和Internet之间,从而过滤掉恶意流量。 当今市场上有许多这样的产品,但是过程实质上是相同的。 HTTPS流量通过扫描设备,在该设备中解密并扫描恶意软件。
验证完成后,设备将与最终客户端创建一个新的SSL会话,以解密和重新加密内容。
解密/重新加密过程如何工作
为了使SSL检查设备在将数据包发送给最终用户之前对其进行解密和重新加密,它必须能够即时发布SSL证书。 这意味着必须在上面安装CA证书。
对于公司(或中间的另一个人)来说,在浏览器中信任这些SSL证书很重要(即不要像下面的警告消息那样引起可怕的警告消息)。 因此,CA链(或层次结构)必须位于浏览器信任库中。 因为这些证书不是从公共信任的证书颁发机构颁发的,所以您必须手动将CA层次结构转移到所有最终客户端。
Chrome中有关自签名证书的警告消息。 资料来源: BadSSL.com在装有Windows的计算机上,可以使用Active Directory和组策略,但是对于移动设备,该过程更为复杂。
如果您需要在公司环境中支持其他根证书(例如来自Microsoft或基于OpenSSL的证书),情况将变得更加复杂。 另外,保护和管理私钥,以使其中一个密钥不会意外过期。
最佳选择:来自第三方CA的专用专用根证书
如果无法管理多个根或自签名证书,则还有另一种选择:您可以依赖第三方CA。 在这种情况下,证书是从
专用证书颁发机构颁发的,该证书颁发机构与专门为公司创建的专用,专用根证书颁发机构建立了信任链。
专用客户端根证书的简化体系结构此设置消除了前面提到的一些问题:至少它减少了需要管理的根数。 在这里,对于任何数量的中间证书颁发机构,您只能使用一个私有根中心来满足所有内部PKI需求。 例如,上图显示了一个多层层次结构,其中一个中间证书颁发机构用于验证/解密SSL,另一个则用于内部计算机(笔记本电脑,服务器,台式计算机等)。
在此方案中,您无需将CA放置在所有客户端上,因为顶级CA由GlobalSign托管,从而解决了保护私钥和有效期的问题。
这种方法的另一个优点是可以出于任何原因撤消SSL证书颁发机构。 取而代之的是,它仅创建一个绑定到原始私有根目录的新目录,您可以立即使用它。
尽管存在所有矛盾,但企业越来越多地将SSL流量检查作为PKI内部或私有基础结构的一部分来实施。 使用私有PKI的其他选项包括:颁发用于验证设备或用户的证书,用于内部服务器的SSL,以及根据CA /浏览器论坛的要求在公共可信证书中不允许的各种配置。
浏览器抗拒
应当指出,浏览器开发人员正在努力应对这一趋势,并保护最终用户免受MiTM的侵害。 例如,几天前,Mozilla
决定在Firefox的以下浏览器版本之一中包含默认的DoH协议(DNS-over-HTTPS)。 DoH协议对DPI系统隐藏了DNS查询,从而使SSL检查变得困难。
Google于2019年9月10日
宣布了针对Chrome浏览器的类似计划。
适用
于企业的PKI解决方案的 特殊条件在2019年11月30日之前有效,促销代码为AL002HRFR,适用于新客户。 有关详细信息,请与经理联系,电话+7(499)678 2210,sales-ru@globalsign.com。