2012-02-24

SSL Decryption. Установление правил игры.

Относительно недавно был в оффлайне разговор о фичах SSL Decryption в современных МСЭ. Принцип работы здесь заключается в том, что прямо на МСЭ поднимается C.A. Этот Certificate Authority выдает временные сертификаты по именам любых серверов к которым осуществляется доступ по SSL. Естественно, что сертификат выдается не серверу, а самому МСЭ. Далее МСЭ используя поддельный сертификат притворяется сервером. Соответсвенно, МСЭ получает возможность расшивровывать траффик от клиента.

МСЭ далее обращается к настоящему серверу и получает необходимый контент. В результате, получаем два SSL соединения. Первое, от клиента к МСЭ с поддельным сертификатом. Второе, от МСЭ к настоящему серверу. МСЭ имеет возможность проанализировать траффик за счет того, что он видит расшифрованный траффик. Это позволит выполнить антивирусную проверку или пресечь инсайдерскую деятельность.

Слабость такого подхода заключается в том, что поддельный сертификат выдает внутренний С.А. Априори, доверие к этому С.А. нет. Так что, броузер покажет что с сертификатом есть проблема и предложит пользователю самому выбрать стоит ли посещять данный сайт. Если вы контролируете рабочие станции можно, конечно, заранее настроить доверие внутреннему С.А. В таком случае,  броузер не заметит проблемы. Пытливый пользователь (большая редкость) может заметить что сертификаты на все https сайты которые он посещяет, были выдан корпоративным центром сертификации.

Было предложение, почему бы не использовать С.А., дочерний от настоящего коммерческого С.А. Так как весь мир доверяет этому коммерческому С.А., то доверие вашему дочернему центру будет автоматически. На это я ответил, что ни один уважающий свой бизнес коммерческий С.А. на это не пойдет.

Как выяснилось буквально через несколько дней, я ошибся. Trustwave CA таки сделал это. Они выдали сертификат для дочернего СА сторонней компании. Дабы те могли неограниченно выпускать сертификаты с полным доверием. Причем сделано это было именно для SSL Decryption!

http://www.opennet.ru/opennews/art.shtml?num=33034

Оправдываются они тем, что единственный такой сертификат был выдан не правительтественной структуре, провайдеру, или правохранительным органам. А частной компании для защиты от инсайда. С намеком на то, что угрозе вскрытия зашиврованной передачи данных подвержено относительно малое (от количества Интернет-пользователей вообще) количество людей, являющихся сотрудниками компании-клиента.

This single certificate was issued for an internal corporate network customer and not to a 'government', 'ISP' or to 'law enforcement'.
Первым отреагировала на это Mozilla Foundation. Компании Trustwave CA был дан ультиматум. Грозит Mozilla Foundation отзывом доверия.


Mozilla конечно не весь мир, но некоторым влиянием обладает. Это влияние прямо пропорцианально доле рынка броузера Mozilla Firefox. Если коммерческий СА лишается доверия, то контору можно закрывать. Так произошло с DigiNotar. Название этой компании, видимо, исходило из 'Цифровой Нотариус'.


Все это приведет либо к полному беспределу, когда будет можно расшифровывать почти любой SSL. Либо, к установлению неких правил игры, ограчивающих деятельность коммерчеcких C.A.

Собственно сама компания Trustwave CA решила отказаться от практики предоставления дочерних СА сторонним компаниям (имеется ввиду компании не являющиеся СА).

Trustwave has decided to be open about this decision as well as stating that we will no longer enable systems of this type and are effectively ending this short journey into this type of offering.

Возможность расшифровки SSL посредством внутренних удостоверяющих центров останется в любом случае. С другой стороны, в этом не всегда есть смысл. Развитие 3G/4G сетей дают инсайдеру много возможностей получить быстрый канал в обход корпоративного МСЭ.