Поддержка работы с TLS-трафиком, зашифрованного ГОСТ-алгоритмами

UserGate первым из вендоров реализовал возможность расшифровывать TLS-трафик на уровне шлюза в случае использования алгоритмов, поддерживающих национальные стандарты ГОСТ.

По последним данным более 90% соединений в Интернете осуществляются с применением клиент-серверного шифрования, то есть с использованием SSL/TLS сертификатов. Развитие этой сферы не стоит на месте и вопрос доверия к сертификатам и к ресурсам, их использующих, все еще не решен на 100%. На данный момент споры на тему "нужно ли расшифровывать TLS 1.3" утихли, однако появился следующий вопрос - что делать с TLS ГОСТ?

Реализация протокола TLS с использованием алгоритмов ГОСТ была придумана для того, чтобы иностранные удостоверяющие центры не могли отзывать сертификаты каких-либо ресурсов, тем самым нарушая их доступность для посетителей. В настоящее время организация работы порталов с использованием алгоритмов ГОСТ осложняется другой проблемой - известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают пользователей к посещению. Для корректной доступности в такие ресурсы пользователю нужно иметь соответствующий браузер (на данный момент насчитывается 2 таких браузера на рынке) или импортозамещенную операционную систему.

В использовании TLS с поддержкой ГОСТ алгоритмов шифрования есть две основные проблемы:

  1. Проблема инфраструктуры.

    Далеко не все устройства готовы к использованию совместимых сертификатов, особенно это касается мобильных устройств. В данном случае UserGate позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже по понятным внутрикорпоративным сертификатам. Таким образом, отпадает необходимость использовать специальные браузеры для доступа к ресурсам. Пользователи могут не мигрировать с привычных продуктов.

  2. Проблема безопасности.

    К сожалению, наличие сертификата гарантирует только то, что портал организации относится действительно к той организации, которую он представляет. Если сайт был скомпрометирован, если были украдены сертификаты (такие случаи тоже известны), либо если в рамках защищенного соединения передается зловредный файл, то это все будет спокойно реализовано с помощью TLS ГОСТ. При этом ни одно решение не готово раскрывать трафик с отечественными алгоритмами шифрования для детального анализа содержимого. Решение UserGate умеет работать с таким трафиком, проводить глубокую инспекцию и выявлять опасные, подозрительные и зловредные элементы даже внутри защищенного трафика.