Добавить в корзинуПозвонить
Найти в Дзене
Академия Безопасности Батранкова
314 подписчиков

Секрет Полишинеля 2026: SSL Decryption больше не работает

45
1 мин
Certificate pinning, mTLS с private PKI, ECH, QUIC и постквантовая криптография превращают NGFW в бесполезный черный ящик. Главный инструмент видимости уровня приложений - SSL Inspection (MITM). Раньше прокси или NGFW подменяли сертификат и инспектировали трафик. Сегодня этот способ редко работает. Банковские приложения и мобильный софт жестко контролируют сертификат сервера (Certificate Pinning). Подмена вызывает мгновенный разрыв соединения. Инженеры вынуждены перенаправлять огромные объемы данных в обход инспекции (Bypass). Изменения в выдаче публичных сертификатов усложнили взаимную проверку подлинности (mTLS). Компании отказываются от расшифрования таких сессий из-за необходимости создания собственной инфраструктуры PKI. 🔹Технология Encrypted Client Hello (ECH) шифрует имя сайта. NGFW больше не видит куда идет пользователь. 🔹Протокол QUIC (HTTP/3) тоже усложняет анализ на лету. 🔹Блокировка UDP-порта 443 заставляет браузеры переходить на медленный TCP. Скорость падает, пользо

Секрет Полишинеля 2026: SSL Decryption больше не работает.

Certificate pinning, mTLS с private PKI, ECH, QUIC и постквантовая криптография превращают NGFW в бесполезный черный ящик.

Главный инструмент видимости уровня приложений - SSL Inspection (MITM). Раньше прокси или NGFW подменяли сертификат и инспектировали трафик. Сегодня этот способ редко работает.

Банковские приложения и мобильный софт жестко контролируют сертификат сервера (Certificate Pinning). Подмена вызывает мгновенный разрыв соединения. Инженеры вынуждены перенаправлять огромные объемы данных в обход инспекции (Bypass). Изменения в выдаче публичных сертификатов усложнили взаимную проверку подлинности (mTLS). Компании отказываются от расшифрования таких сессий из-за необходимости создания собственной инфраструктуры PKI.

🔹Технология Encrypted Client Hello (ECH) шифрует имя сайта. NGFW больше не видит куда идет пользователь.

🔹Протокол QUIC (HTTP/3) тоже усложняет анализ на лету.

🔹Блокировка UDP-порта 443 заставляет браузеры переходить на медленный TCP. Скорость падает, пользователи жалуются на задержки.

🔹Постквантовая криптография и даже юридические ограничения (ФЗ-152) окончательно закрывают доступ к содержимому пакетов.

Анализ зашифрованного трафика (ETA) на базе нейросетей находит аномалии, но точность метода без данных с компьютеров (EDR/XDR) остается низкой.

Как строить защиту в тумане

Безопасность требует смены архитектуры. Удаленная изоляция браузера (RBI) выносит риск за периметр. Подозрительные сайты открываются в облачной песочнице, а человек видит только демонстрацию страницы. Работа внутри корпоративного Яндекс Браузера позволяет анализировать контент до момента шифрования. Концепция нулевого доверия (ZTNA) проверяет личность сотрудника и состояние устройства вместо расшифрования каждого байта.

Эпоха всевидящего ока закончилась. Наступило время архитектуры, где сетевой экран работает в связке с защитой конечных точек. Измерьте долю трафика в списках исключений. В 2026 году показатель часто достигает 40%.

Поделитесь опытом в комментариях. Какую стратегию выбрали для работы с протоколом QUIC: блокируете или используете глубокую инспекцию?

Почему тотальная инспекция умерла и как теперь строить безопасность — большая статья

#NGFW #сети #Экспертам #TLS

Топ Кибербезопасности в Telegram и MAX

1