O que é descriptografia SSL?

Por que a descriptografia SSL é importante?

Com a crescente popularidade da nuvem e dos aplicativos SaaS, fica mais provável que um determinado arquivo ou sequência de dados atravesse a Internet em algum momento. Se esses dados forem confidenciais ou sensíveis, eles podem ser um alvo. Portanto, a criptografia é essencial para manter a segurança de pessoas e dados. É por isso que, atualmente, a maioria dos navegadores, sites e aplicativos em nuvem criptografam os dados de saída, bem como trocam esses dados usando conexões criptografadas.

É claro que funciona nos dois sentidos — se a criptografia pode ser usada para ocultar dados sensíveis, também pode ser usada para ocultar ameaças. Isso torna o processo de descriptografia SSL igualmente essencial, pois permite que uma empresa inspecione totalmente o conteúdo do tráfego descriptografado antes de bloqueá-lo ou criptografá-lo novamente para que possa continuar seu caminho.

SSL vs. TLS

Hora de um esclarecimento. Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos criptográficos que regem a criptografia e a transmissão de dados entre dois pontos. Então, qual é a diferença?

O agora extinto Netscape desenvolveu o SSL nos anos 90, lançando o SSL 3.0 no final de 1996. O TLS 1.0, baseado em uma versão melhorada do SSL 3.0, surgiu em 1999. O TLS 1.3, lançado pela Internet Engineering Task Force (IETF) em 2018, era a versão mais recente e segura no momento desta redação. Atualmente, o SSL não é mais desenvolvido ou suportado — até 2015, a IETF tinha declarado todas as versões do SSL como depreciadas devido a vulnerabilidades (por exemplo, para ataques indiretos, tipo 'man in the middle') e falta de recursos críticos de segurança.

Apesar disso e de décadas de mudanças, fora de um sentido estritamente técnico, a maioria das pessoas ainda usa "SSL" como um termo genérico para protocolos criptográficos. Em outras palavras, quando se vê as siglas SSL, TLS, SSL/TLS, HTTPS e similares, quase sempre todas significam a mesma coisa. Para os fins deste artigo, esclareceremos conforme necessário.

Benefícios da descriptografia SSL

Atualmente, implementar o recurso de descriptografia e inspeção SSL ajuda as empresas a manter a segurança de seus dados, clientes e usuários finais, com a capacidade de:

• Evitar violações de dados, encontrando malware oculto e impedindo que hackers burlem as defesas
• Ver e entender o que os funcionários estão enviando para fora da empresa, de forma intencional ou acidental
• Atender aos requisitos de conformidade regulamentar, garantindo que os funcionários não estejam colocando dados confidenciais em risco
• Apoiar uma estratégia de defesa de várias camadas que preserve a segurança de toda a empresa

A necessidade da descriptografia SSL

Apesar do aumento no uso da criptografia, muitas empresas ainda inspecionam apenas parte do tráfego SSL/TLS, permitindo que o tráfego de redes de entrega de conteúdo (CDNs) e certos sites "confiáveis" fiquem sem inspeção. Isso pode ser arriscado, porque:

• Páginas web podem mudar facilmente. Algumas extraem de várias fontes para exibir centenas de objetos — cada um deles deve ser considerado não confiável, não importa a fonte.
• Autores de malware geralmente usam criptografia para ocultar seus ataques. Com mais de 100 autoridades certificadoras em todo o mundo atualmente, é fácil e barato obter um certificado SSL válido.
• A maior parte do tráfego é criptografado. A qualquer momento, cerca de 70% do tráfego que a Zscaler Cloud processa é criptografado, acentuando a importância de poder descriptografar o tráfego SSL.

Então, por que isso não é feito por todo mundo? Basicamente, é necessário muito cálculo para descriptografar, inspecionar, e recriptografar o tráfego SSL, e, sem a tecnologia certa, isso pode ter um impacto devastador no desempenho da rede. A maioria das empresas não pode se dar ao luxo de interromper os negócios e os fluxos de trabalho, portanto não há outra escolha a não ser desviar a inspeção de aparelhos que não conseguem acompanhar as demandas de processamento.

Como funciona a descriptografia SSL

Existem algumas abordagens diferentes para a descriptografia e inspeção SSL. Vamos analisar as mais comuns e as principais considerações para cada uma delas.

Melhores práticas de descriptografia SSL

A necessidade de implementar um recurso de descriptografia e inspeção SSL para proteger sua empresa tornou-se grande demais para ignorar. Mesmo assim, ao implantar a inspeção SSL, há coisas importantes a considerar, algumas mais técnicas do que outras:

• Comece com um pequeno local ou laboratório de testes para garantir que sua equipe compreenda o recurso e que ele funcione como pretendido antes de ativá-lo de forma mais ampla.
• Para reduzir o trabalho de solução de problemas, considere atualizar suas notificações para usuários finais para informá-los sobre a nova política de inspeção SSL.
• (Opcional) Ao definir a política de inspeção SSL, crie uma lista de URLs e categorias de URLs, bem como de aplicativos em nuvem e categorias de aplicativos em nuvem nos quais as transações SSL não serão descriptografadas.
• No início, ative a inspeção somente para categorias de risco — conteúdo adulto e jogos de azar, por exemplo, ou que representem riscos de privacidade ou responsabilidade. Depois, quando estiver tudo pronto, ative a inspeção para todas as categorias de URL, com exceção de finanças e saúde, para aliviar as preocupações com privacidade.
• Tome nota dos aplicativos que sua empresa utiliza que potencializam a validação de certificados, em que o aplicativo só aceita o certificado de um cliente específico. Esses aplicativos podem não funcionar com a inspeção SSL, então será necessário incluí-los na lista do que não deve ser descriptografado.
• Ative a autenticação do usuário para permitir que seu serviço de inspeção SSL aplique políticas de usuário.

E quanto às implicações da inspeção SSL em termos de privacidade?

O recurso de descriptografia e inspeção SSL pode melhorar drasticamente a higiene de segurança, mas pode não ser tão simples quanto descriptografar tudo. Dependendo do seu setor, região e das leis e regulamentos vigentes, talvez você lide com determinado tráfego que não deve ser descriptografado, tais como dados médicos ou financeiros. Nesse caso, será necessário configurar filtros e políticas para manter a privacidade desses tipos de conexão.

Fora das preocupações legais e regulamentares, sua organização deve geralmente inspecionar o máximo de tráfego SSL possível para reduzir o risco e manter seus usuários e dados em segurança.

Zscaler e a descriptografia SSL

A plataforma Zscaler Zero Trust Exchange™ permite uma inspeção SSL completa em larga escala, sem latência ou limitações de capacidade. Ao combinar a inspeção SSL com nossa pilha de segurança completa como um serviço na nuvem, você obtém proteção superior sem as restrições dos aparelhos.

Capacidade ilimitada

Inspecione todo o tráfego SSL de seus usuários, dentro ou fora da rede, com um serviço dimensionado de forma elástica para atender às suas demandas de tráfego.

Administração mais enxuta

Pare de administrar certificados individualmente em todos os gateways. Os certificados carregados na Zscaler Cloud são imediatamente disponibilizados nos mais de 150 data centers da Zscaler em todo o mundo.

Controle granular de políticas

Garanta a conformidade com flexibilidade para excluir tráfego criptografado de usuários para categorias confidenciais do site, tais como a área de saúde ou finanças.

Segurança e proteção

Tenha cobertura sempre, com suporte para os mais recentes pacotes de criptografia AES/GCM e DHE para o sigilo de encaminhamento perfeito. Dados de usuários nunca são armazenados na nuvem.

Gerenciamento simplificado de certificados

Utilize os nossos certificados ou traga os seus próprios. Use nossa API para alternar facilmente seus certificados sempre que necessário.