Вопрос или проблема
Я веду научный веб-сайт, назовем его site.org, который зеркалится в трех местах, все из которых указаны в DNS как site.org, чтобы клиенты могли случайным образом выбирать конкретное зеркало. Индивидуальные зеркала — это server1.site.org и т. д. Сертификат LetsEncrypt охватывает site.org и имена зеркал. Все зеркала находятся внутри университетов, которые предоставляют пропускную способность; у меня нет финансирования, чтобы оплачивать пропускную способность самостоятельно.
Один университет, univ.edu, недавно решил, что для “контроля безопасности HTTPS-коммуникации” (их слова) все сайты внутри их сети должны использовать их сертификат-дикий *.univ.edu. Их реализация заключается в том, что на межсетевом экране, когда они видят соединение по порту 443, они перехватывают SSL-рукопожатие и заменяют его своим сертификатом. Мой сервер никогда не видит рукопожатие сертификата. Браузер клиента видит сертификат *.univ.edu и отклоняет его, потому что он не охватывает site.org. Я попросил, чтобы IP моего сервера был внесен в белый список для пропускания, но они сказали, что это “невозможно”.
Для меня замена их сертификата на мой выглядит как атака “человек посередине”. Честно говоря, я не знаю, сидят ли они на самом деле и наблюдают за трафиком, но я не вижу ничего, что бы помешало им это делать. Мне все равно на мониторинг для моих собственных целей (все на сайте и так публично), но, по-моему, это просто плохая идея, хотя это значительно упрощает им управление сертификатами для сайтов внутри univ.edu.
Итак: нормально ли для крупных организаций использовать подход AITM для управления сертификатами? Это действительно только потому, что они хотят подглядывать за всеми (входящими, но не исходящими) соединениями? Есть ли причины, о которых я не подумал, почему это плохая идея?
В конечном итоге я ищу убедительные аргументы, которые мог бы использовать, чтобы отговорить их от их позиции. Если они не уступят, я боюсь, что мне придется закрыть зеркало, что будет печально для моих пользователей, потому что это зеркало имеет гораздо лучшую пропускную способность к континенту, на котором оно расположено. (Буду признателен за альтернативные предложения!)
Абсолютно нормально, что организация (университет, компания и т. д.) хочет контроля над трафиком внутри своей сети. Это включает в себя инспекцию и фильтрацию трафика по соображениям безопасности и соблюдения правил, возможно, с некоторыми исключениями для конфиденциальности. В конце концов, это их сеть, и они несут за нее ответственность.
Тоже обычно, что зеркальные сайты, размещенные третьими сторонами, не все являются поддоменами общего доменного имени, но вместо этого имеют домены, отражающие организацию, к которой они принадлежат. Я не знаю, что делает невозможным для вас следовать этому подходу.
Индивидуальные зеркала — это server1.site.org и т. д. Сертификат LetsEncrypt охватывает site.org и имена зеркал.
Я не уверен, означает ли это, что все эти сайты используют один и тот же сертификат, включая один и тот же закрытый ключ. В таком случае закрытый ключ распределяется не только между несколькими серверами, но и эти серверы (или, по крайней мере, инфраструктура, на которой размещены серверы) также управляются различными организациями. Это увеличивает риск компрометации закрытого ключа. Лучше использовать отдельные сертификаты.
Ответ или решение
Субституция сертификата SSL одной организацией для HTTPS-соединений с использованием сертификатов другой организации — это практика, которая вызывает опасения и недовольство с точки зрения безопасности. Рассмотрим ваш вопрос более подробно:
Основные аспекты
-
Атака «человек посередине» (MITM):
Замена сертификата свидетельствует о том, что трафик проходит через сервер вашей университетской сети, что может представлять собой потенциальную уязвимость. Хотя университет утверждает, что это делается для управления безопасностью, такая практика также потенциально позволяет им «подслушивать» трафик, что вызывает обоснованные опасения, особенно когда речь идет о шифровании. Даже если вы не против мониторинга своего публичного трафика, важно понимать, что такая политика может создать прецедент для других, менее надежных действий. -
Управление сертификатами:
То, что университет применяет свою политику управления сертификатами, объясняется необходимостью контроля за трафиком в рамках их сети. Однако они могли бы рассмотреть возможность создания исключений для определенных сертификатов или доменов, чтобы избежать необходимости в MITM. -
Риски использования одного сертификата:
Если все зеркала используют один сертификат и ключ, это увеличивает риск компрометации. Лучше использовать отдельные сертификаты для каждого сервера, чтобы минимизировать этот риск и улучшить общую безопасность.
Возможные варианты решения проблемы
-
Обсуждение политики с университетом:
Попробуйте провести серию встреч с IT-подразделением университета, чтобы объяснить ваши риски и проблемы, связанные с их подходом. Попросите обосновать их решение, предложите возможные компромиссы, такие как исключение вашего домена из их политики или использование VPN для безопасного подключения. -
Альтернативные решения:
Если университет не будет готов изменить свою политику, используйте VPN-туннелирование, чтобы обойти их систему MITM. Это позволит вашему трафику оставаться за границей их контроля, хотя могут потребоваться дополнительные ресурсы и техническая поддержка для настройки этого процесса. -
Изменение доменной структуры:
Рассмотрите возможность переноса зеркал на домены, контролируемые университетами. Если это возможно, это решит проблему комплаенса и позволит им управлять сертификатами, не прибегая к MITM. -
Информирование пользователей:
Позаботьтесь о том, чтобы пользователи были осведомлены об изменениях и о том, как это может повлиять на их доступ к контенту. Убедите пользователей в том, что вашим приоритетом остается безопасность и отказ от практик, которые могут навредить их сигналам.
Заключение
Подводя итог, можно сказать, что замещение SSL-сертификатов является далеко не идеальной практикой и, хотя она может быть оправдана в определенных случаях, она создает множество вопросов о безопасности и конфиденциальности. Ваши опасения вполне оправданы, и вам следует попытаться обсудить этот вопрос с университетом, ищущим более безопасные альтернативы для управления трафиком внутри сети.