« Tüm yayınlar

TLS Interception: Kurumsal Proxy'ler Şifreli Trafiği Nasıl Okur

Kurumsal ağlarda 'SSL inspection' adıyla satılan TLS interception, şifrelemeyi kırmadan uç noktayı proxy'ye taşır. Mekanizması, güvenlik riskleri ve tespit yöntemleri.

Kurumsal firewall ve güvenli web ağ geçitlerinde standart bir özellik olan TLS interception, şifreli HTTPS trafiğini kırmadan araya girer: kuruluş, yönetilen cihazlara kendi kök sertifika otoritesini kurar, proxy bağlantıyı sonlandırıp istenen alan adı için anında yeni bir sertifika üretir ve tarayıcı bunu güvenilir kabul eder. Sonuçta trafik proxy'ye kadar şifrelidir, proxy düz metni görür ve istediği gibi loglar; kriptografi kırılmaz, uç nokta yer değiştirir.

Bu tekniğin güvenlik maliyeti teoride kalmıyor. Mozilla, Google, Cloudflare ve akademisyenlerin 2017 NDSS çalışması, araya giren kutuların çoğunun istemcinin sunduğundan daha zayıf kriptografi kabul ettiğini, hatta sertifika doğrulamasını tamamen atladığını gösterdi; ABD-CERT bu bulgu üzerine resmi uyarı yayımladı. 2015'teki Lenovo Superfish skandalı ve Kazakistan'ın 2019-2020'de dayattığı 'ulusal güvenlik sertifikası' -ki tarayıcı üreticileri bunu doğrudan kara listeye aldı- aynı mekanizmanın tüketici ve devlet seviyesinde ne kadar tehlikeli olabileceğini gösteriyor.

Mühendisler için pratik sonuç net: yönetilen bir cihazda sertifika zincirinin kök yayıncısını kontrol etmek, ağlar arası karşılaştırma yapmak ve sertifika pinleme başarısızlıklarını izlemek interception'ı tespit etmenin yollarıdır. Uçtan uca şifreleme ise TLS katmanının ötesinde çalıştığı için bu saldırıya karşı dayanıklı kalan tek tasarımdır; anahtarlar proxy'ye hiç uğramaz. Gerçekten gizli kalması gereken her şey için transport şifrelemesine değil, uçtan uca şifrelemeye güvenilmelidir.