Internet Engineering Task Force (IETF) vừa đưa ra một bản thảo mới cho một tiêu chuẩn cho phép mọi người bỏ qua các thiết bị giám sát trên mạng của họ để duy trì các kết nối an toàn.
Trước đó đã có một số bản thảo nghiên cứu hoạt động của ba nhân viên thuộc công ty Cisco ghi nhận rằng các middleboxes – nơi kiểm soát và giải mã các kết nối – thường được triển khai để kiểm soát và cải tiến an ninh mạng, nhưng có thể kết thúc bằng việc phá vỡ các dịch vụ ứng dụng bằng cách chấm dứt các kết nối TLS. Middlebox cũng có thể bị các tổ chức và ISP (các nhà cung cấp dịchvụ internet) sử dụng để giám sát nhân viên và những người dùng.
Như vậy, tiêu chuẩn mới được đề xuất sẽ nâng sự bắt tay TLS lên ngăn xếp OSI cho lớp ứng dụng bằng cách vận chuyển các bản ghi TLS trong các cơ quan thông báo HTTP. Họ đang gọi nó là “TLS lớp ứng dụng” hoặc ATLS (TLS là người kế nhiệm SSL).
ATLS cho phép khách hàng và máy chủ kết nối an toàn và riêng tư với nhau thậm chí nếu có hộp đen ngăn chặn truy cập mạng của họ, và nó hoạt động bằng cách không tin tưởng thiết bị nói trên.
Trong một môi trường doanh nghiệp, trong đó các middleboxes được cài đặt để giữ các tab trên các hoạt động trên mạng của nhân viên cũng như bắt bất kỳ phần mềm hoặc phần mềm nào di chuyển xung quanh mạng, các hệ thống quản trị phải cấu hình máy trạm và các thiết bị khác để chấp nhận thiết bị nghe trộm dưới dạng các chứng chỉ tin cậy, để hộp gián điệp có thể giải mã thành công HTTPS và các kết nối TLS / SSL được bảo vệ khác.
Tuy nhiên, nó chỉ hoạt động tốt khi có một topology điều khiển được kiểm soát tập trung, có thể đẩy cài đặt tới tất cả các thiết bị đầu cuối theo yêu cầu. Nhiều mạng doanh nghiệp thực tế phức tạp và kéo dài hơn, mọi người thường xuyên thêm và tháo gỡ nhiều thiết bị khách hàng khác nhau.
Có khả năng là bộ phận CNTT liên tục chống chọi với đám cháy để giữ cho mọi người và các thiết bị và máy tính khác nhau của họ kết nối qua các hộp giữa khi đang tung ra các cập nhật và điều chỉnh mạng.
Thay vì yêu cầu thời gian và sự kiên nhẫn của mọi người, đề xuất của IETF đơn giản chỉ cung cấp cơ chế chuẩn cho việc truyền dữ liệu an toàn thông qua middlebox mà không cần phải liên quan đến các cơ quan cấp chứng chỉ gốc, có thể sẽ giúp giảm được công sức khi thực hiện. Mục tiêu là làm cho tiêu chuẩn tương thích hoàn toàn với cả phiên bản TLS trong quá khứ và tương lai để giữ cho bất kỳ cấu hình lại ở mức tối thiểu.
Đề xuất của ATLS cũng lưu ý rằng nó sẽ “tránh giới thiệu logic xử lý giao thức TLS hoặc ngữ nghĩa vào lớp ứng dụng HTTP, nghĩa là giao thức TLS và logic được xử lý bởi ngăn xếp TLS, HTTP chỉ là một phương tiện nằm ngoài lề không can dự.”
Cách tiếp cận này làm không chỉ làm cho cuộc sống của các quản trị viên dễ dàng hơn, nó cũng sẽ đi kèm với lợi ích bổ sung, các tác giả khẳng định:
Có một số lợi ích để sử dụng một phần mềm TLS tiêu chuẩn stack để thiết lập một lớp ứng dụng đảm bảo an toàn kênh truyền thông giữa khách hàng và dịch vụ như:
- Không cần phải xác định một cuộc đàm phán mã hoá mới. Giao thức trao đổi giữa khách hàng và dịch vụ
- Tự động được hưởng lợi từ bộ mật mã mới bằng cách nâng cấp phần mềm TLS stack
- Tự động được hưởng lợi từ các tính năng mới, sửa lỗi, v.v. trong nâng cấp phần mềm TLS.
Ý tưởng cơ bản là khách hàng sẽ tạo ra hai kết nối TLS độc lập, một ở tầng vận chuyển trực tiếp với dịch vụ, có thể qua hộp giữa và một ở tầng ứng dụng. Một khách hàng có thể sử dụng ATLS chỉ như là một dự phòng nếu kết nối lớp vận chuyển bị phá vỡ do nhiễu trung gian. Các phiên TLS với nhiều khách hàng được theo dõi thông qua một nhận dạng trong các thư JSON được gửi trong các yêu cầu POST và cách tiếp cận sẽ dẫn đến một kiểu nội dung HTTP mới: application / atls + json.
(Theo The Register)