Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Тотальное шифрование HTTP2
Популярная тема: давайте сделаем шифрование обязательным элементом HTTP. Речь, понятно, о новой версии протокола HTTP2 (2.0). Это такой способ борьбы с массовой “слежкой через Интернет”, которая сейчас регулярно фигурирует в газетных заголовках. Конечно, шифрование полезно. Но в случае с HTTP есть интересные моменты.
Так, с трафиком работает большое количество разнообразных программно-аппаратных комплексов, не занимающихся “слежкой” как таковой. Хороший пример: системы обнаружения атак и средства противодействия этим атакам. С зашифрованным трафиком они работать не смогут, так как там, по определению, не существует сигнатур, связанных с атаками уровня протокола HTTP, да и вообще – анализировать, с целью обнаружения атак, особенно нечего. Скажем, сейчас, при работе защищаемого веб-ресурса по HTTPS, анализаторы трафика (специальные брандмауэры и разные “гарды”) используют сеансовые ключи, которые в их сторону экспортирует веб-сервер. Эти ключи позволяют просматривать, фильтровать трафик и отрабатывать атаки. Естественно, в случае с тотальным шифрованием – владельцам важных веб-ресурсов поступать придётся точно так же, а ведь именно их трафик и представляет интерес.
Что это означает? А вот что: за периметром, во внутренней сети, трафик всё равно будет нешифрованным. И тотальное введение шифрования HTTP всего лишь сузит круг тех организаций, которые смогут читать “шифрованный” трафик, резко подняв порог доступа. Да, не смогут работать провайдерские системы DPI, пытающиеся балансировать нагрузку и выявлять всякую вредоносную активность, а попутно – строить поведенческие профили пользователей. Но если для анализа трафика используется порт, установленный во внутренней сети крупного сервиса, проблем с анализом не будет. И, естественно, если сервис передаёт вам сеансовые ключи, то трафик можно расшифровывать самостоятельно, записывая его на любой доступной точке.
()
Похожие записки:
- Техническое: связь SCT-меток с логами Certificate Transparency
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- HTTPS-запись в DNS для dxdt.ru
- Техническое описание TLS: обновление 2022
- Сорок лет Интернету
- Пресертификаты в Certificate Transparency
- "Пасхалки" в трафике
- DNS как транспорт для сигналов и данных
- Десятилетие DNSSEC в российских доменах
- Ретроспектива заметок: деанонимизация по географии
- TLS-сертификаты dxdt.ru
- Обновление темы dxdt.ru
- Про цепочки, RSA и ECDSA
- Браузеры и перехват TLS без участия УЦ
- Удостоверяющий центр TLS ТЦИ
- Экспериментальный сервер TLS 1.3: замена сертификатов
Комментарии читателей блога: 3
1. 27th November 2013, 22:54 // Читатель jno написал:
да, не сильно лучше HTTPS’а…
2. 28th November 2013, 18:52 // Читатель sarin написал:
чем вводить тотальное шифрование не пойми чем гораздо важнее разработать надёжные протоколы шифрования. что толку от тотального шифрования, если корневые ключи доступны условному противнику?
3. 28th November 2013, 21:58 // Читатель jno написал:
чьи ключи доступны??