SSL (Secure Sockets Layer) και ο διάδοχός του, TLS (Ασφάλεια επιπέδου μεταφοράς), είναι πρωτόκολλα για τη δημιουργία επαληθευμένων και κρυπτογραφημένων συνδέσμων μεταξύ υπολογιστών δικτύου. Αν και το πρωτόκολλο SSL καταργήθηκε με την κυκλοφορία του TLS 1.0 το 1999, είναι ακόμη κοινό να αναφέρονται σε αυτές τις σχετικές τεχνολογίες ως "SSL" ή "SSL /TLS" Η πιο πρόσφατη έκδοση είναι TLS 1.3, ορίζεται σε RFC 8446 (Αύγουστος 2018).
Διαβάστε παρακάτω για να μάθετε περισσότερα σχετικά με:
- Συχνές Ερωτήσεις σχετικά με το SSL /TLS
- Κλειδιά, πιστοποιητικά και χειραψίες
- SSL /TLS και Ασφαλής περιήγηση στο Web
- Απόκτηση SSL /TLS Πιστοποιητικό
Ή, για μια γρήγορη εισαγωγή TL; DR στο SSL, απλά προχωρήστε για να παρακολουθήσετε ένα σύντομο βίντεο.
Συχνές Ερωτήσεις
SSL (Secure Sockets Layer) και ο διάδοχός του, TLS (Ασφάλεια επιπέδου μεταφοράς), είναι πρωτόκολλα για τη δημιουργία επαληθευμένων και κρυπτογραφημένων συνδέσμων μεταξύ υπολογιστών δικτύου. Αν και το πρωτόκολλο SSL καταργήθηκε με την κυκλοφορία του TLS 1.0 το 1999, είναι ακόμη κοινό να αναφέρονται σε αυτές τις σχετικές τεχνολογίες ως "SSL" ή "SSL /TLS. "
An Πιστοποιητικό SSL (επίσης γνωστό ως TLS ή SSL /TLS πιστοποιητικό) είναι ένα ψηφιακό έγγραφο που συνδέει την ταυτότητα ενός ιστότοπου με ένα ζεύγος κρυπτογραφικών κλειδιών που αποτελείται από ένα δημόσιο κλειδί και ένα ιδιωτικό κλειδί. Το δημόσιο κλειδί, που περιλαμβάνεται στο πιστοποιητικό, επιτρέπει σε ένα πρόγραμμα περιήγησης ιστού να κινήσει μια κρυπτογραφημένη συνεδρία επικοινωνίας με έναν διακομιστή Ιστού μέσω του TLS και HTTPS πρωτόκολλα. Το ιδιωτικό κλειδί διατηρείται ασφαλές στον διακομιστή και χρησιμοποιείται για την ψηφιακή υπογραφή ιστοσελίδων και άλλων εγγράφων (όπως εικόνες και αρχεία JavaScript).
Ένα πιστοποιητικό SSL περιλαμβάνει επίσης την αναγνώριση πληροφοριών σχετικά με έναν ιστότοπο, συμπεριλαμβανομένου του ονόματος τομέα του και, προαιρετικά, την αναγνώριση πληροφοριών σχετικά με τον κάτοχο του ιστότοπου. Εάν το πιστοποιητικό SSL του διακομιστή ιστού είναι υπογεγραμμένο από μια δημόσια αξιόπιστη αρχή έκδοσης πιστοποιητικών (CA), όπως SSL.com, το ψηφιακά υπογεγραμμένο περιεχόμενο από το διακομιστή θα θεωρείται αξιόπιστο από τα προγράμματα περιήγησης ιστού των τελικών χρηστών και τα λειτουργικά συστήματα ως αυθεντικά.
Ένα πιστοποιητικό SSL είναι ένας τύπος Πιστοποιητικό X.509.
TLS (Ασφάλεια επιπέδου μεταφοράς), κυκλοφόρησε το 1999, είναι ο διάδοχος του SSL (Secure Sockets Layer) πρωτόκολλο για έλεγχο ταυτότητας και κρυπτογράφηση. TLS 1.3 ορίζεται στο RFC 8446 (Αύγουστος 2018).
Κάποτε ήταν υποχρεωτική απαίτηση να υπάρχει αποκλειστική IP για κάθε πιστοποιητικό SSL σε διακομιστή ιστού. Αυτό δεν συμβαίνει πλέον λόγω μιας τεχνολογίας που ονομάζεται Ένδειξη ονόματος διακομιστή (SNI). Η πλατφόρμα φιλοξενίας σας θα πρέπει συγκεκριμένα να υποστηρίζει SNI. Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με το SNI σε αυτό Άρθρο SSL.com.
Για μέγιστη συμβατότητα, θύρα 443 είναι η τυπική θύρα που χρησιμοποιείται για ασφαλή SSL /TLS διαβιβάσεις. Ωστόσο, μπορεί να χρησιμοποιηθεί οποιαδήποτε θύρα.
TLS 1.3, ορίστηκε τον Αύγουστο του 2018 από RFC 8446, είναι η πιο πρόσφατη έκδοση του SSL /TLS. TLS 1.2 (RFC 5246) ορίστηκε τον Αύγουστο του 2008 και παραμένει σε ευρεία χρήση. Εκδόσεις SSL /TLS πριν TLS 1.2 θεωρούνται ανασφαλείς και δεν πρέπει πλέον να χρησιμοποιούνται.
TLS Οι εκδόσεις 1.0 και 1.1 επηρεάζονται από μεγάλο αριθμό ευπαθειών πρωτοκόλλου και εφαρμογής που έχουν δημοσιευτεί από ερευνητές ασφαλείας τις τελευταίες δύο δεκαετίες. Επιθέσεις όπως ΡΟΜΠΟΤ επηρέασε τον αλγόριθμο ανταλλαγής κλειδιών RSA, ενώ LogJam και Ασθενές έδειξε ότι πολλά TLS οι διακομιστές θα μπορούσαν να εξαπατηθούν χρησιμοποιώντας εσφαλμένες παραμέτρους για άλλες βασικές μεθόδους ανταλλαγής. Ο συμβιβασμός μιας ανταλλαγής κλειδιών επιτρέπει στους εισβολείς να διακυβεύσουν πλήρως την ασφάλεια του δικτύου και να αποκρυπτογραφήσουν συνομιλίες.
Επιθέσεις σε συμμετρικά κρυπτογράφους, όπως BEAST or Lucky13, έχουν αποδείξει ότι υποστηρίχθηκαν διάφορες κρυπτογραφήσεις στο TLS 1.2 και νωρίτερα, με παραδείγματα RC4 or Λειτουργία CBC κρυπτογράφησης, δεν είναι ασφαλείς.
Ακόμη και οι υπογραφές επηρεάστηκαν, με Η πλαστογράφηση υπογραφής RSA του Bleichenbacher επίθεση και άλλες παρόμοιες επιθέσεις padding.
Οι περισσότερες από αυτές τις επιθέσεις έχουν μετριαστεί TLS 1.2 (υπό την προϋπόθεση ότι TLS οι παρουσίες έχουν ρυθμιστεί σωστά), παρόλο που TLS 1.2 είναι ακόμη ευάλωτο σε επιθέσεις υποβάθμισης, Όπως ΣΓΟΥΡΟΜΑΛΛΟ ΣΚΥΛΑΚΙ, FREAK, ή Ανταλλαγή καμπύλης. Αυτό οφείλεται στο γεγονός ότι όλες οι εκδόσεις του TLS το πρωτόκολλο πριν από το 1.3 δεν προστατεύει τη διαπραγμάτευση χειραψίας (η οποία αποφασίζει την έκδοση του πρωτοκόλλου που θα χρησιμοποιηθεί σε όλη την ανταλλαγή).
Κλειδιά, πιστοποιητικά και χειραψίες
SSL /TLS λειτουργεί δεσμεύοντας τις ταυτότητες οντοτήτων όπως ιστότοποι και εταιρείες σε κρυπτογραφικές ζεύγη κλειδιών μέσω ψηφιακών εγγράφων γνωστών ως Πιστοποιητικά X.509. Κάθε ζεύγος κλειδιών αποτελείται από ένα ιδιωτικό κλειδί και σε έναν Δημόσιο κλειδί. Το ιδιωτικό κλειδί διατηρείται ασφαλές και το δημόσιο κλειδί μπορεί να διανεμηθεί ευρέως μέσω πιστοποιητικού.
Η ειδική μαθηματική σχέση μεταξύ των ιδιωτικών και δημόσιων κλειδιών σε ένα ζεύγος σημαίνει ότι είναι δυνατή η χρήση του δημόσιου κλειδιού για την κρυπτογράφηση ενός μηνύματος που μπορεί να αποκρυπτογραφηθεί μόνο με το ιδιωτικό κλειδί. Επιπλέον, ο κάτοχος του ιδιωτικού κλειδιού μπορεί να το χρησιμοποιήσει υπογράψουν άλλα ψηφιακά έγγραφα (όπως ιστοσελίδες) και οποιοσδήποτε έχει το δημόσιο κλειδί μπορεί να επαληθεύσει αυτήν την υπογραφή.
Εάν το SSL /TLS το ίδιο το πιστοποιητικό υπογράφεται από ένα δημόσια αξιόπιστη αρχή έκδοσης πιστοποιητικών (CA), Όπως SSL.com, το πιστοποιητικό θα εμπιστευθεί σιωπηρά από λογισμικό πελάτη όπως προγράμματα περιήγησης ιστού και λειτουργικά συστήματα. Οι δημόσια αξιόπιστες ΑΠ έχουν εγκριθεί από μεγάλους προμηθευτές λογισμικού για την επικύρωση ταυτοτήτων που θα είναι αξιόπιστες στις πλατφόρμες τους. Οι δημόσιες διαδικασίες επικύρωσης και έκδοσης πιστοποιητικών υπόκεινται σε τακτικούς, αυστηρούς ελέγχους για τη διατήρηση αυτής της αξιόπιστης κατάστασης.
Μέσω του SSL /TLS χειραψία, τα ιδιωτικά και δημόσια κλειδιά μπορούν να χρησιμοποιηθούν με ένα δημόσια αξιόπιστο πιστοποιητικό για τη διαπραγμάτευση μιας κρυπτογραφημένης και επικυρωμένης περιόδου επικοινωνίας μέσω του Διαδικτύου, ακόμη και μεταξύ δύο μερών που δεν έχουν συναντηθεί ποτέ. Αυτό το απλό γεγονός είναι το θεμέλιο της ασφαλούς περιήγησης στο Διαδίκτυο και του ηλεκτρονικού εμπορίου, όπως είναι γνωστό σήμερα.
SSL /TLS και Ασφαλής περιήγηση στο Web
Η πιο κοινή και γνωστή χρήση του SSL /TLS είναι ασφαλής περιήγηση στον ιστό μέσω του HTTPS πρωτόκολλο. Ένας σωστά διαμορφωμένος δημόσιος ιστότοπος HTTPS περιλαμβάνει SSL /TLS πιστοποιητικό που υπογράφεται από μια δημόσια αξιόπιστη αρχή. Οι χρήστες που επισκέπτονται έναν ιστότοπο HTTPS μπορούν να είναι σίγουροι για:
- Αυθεντικότητα. Ο διακομιστής που παρουσιάζει το πιστοποιητικό διαθέτει το ιδιωτικό κλειδί που ταιριάζει με το δημόσιο κλειδί στο πιστοποιητικό.
- Ακεραιότητα. έγγραφα υπογραφεί από το πιστοποιητικό (π.χ. ιστοσελίδες) δεν έχουν τροποποιηθεί κατά τη μεταφορά από ένα άνθρωπος στη μέση.
- Κρυπτογράφηση. Οι επικοινωνίες μεταξύ του πελάτη και του διακομιστή είναι κρυπτογραφημένες.
Λόγω αυτών των ιδιοτήτων, SSL /TLS και το HTTPS επιτρέπει στους χρήστες να διαβιβάζουν με ασφάλεια εμπιστευτικές πληροφορίες, όπως αριθμούς πιστωτικών καρτών, αριθμούς κοινωνικής ασφάλισης και διαπιστευτήρια σύνδεσης μέσω του Διαδικτύου και να είστε βέβαιοι ότι ο ιστότοπος στον οποίο τους στέλνουν είναι αυθεντικός. Με έναν μη ασφαλή ιστότοπο HTTP, αυτά τα δεδομένα αποστέλλονται ως απλό κείμενο, άμεσα διαθέσιμα σε οποιονδήποτε υποκλοπές με πρόσβαση στη ροή δεδομένων. Επιπλέον, οι χρήστες αυτών των μη προστατευμένων ιστότοπων δεν έχουν καμία αξιόπιστη διαβεβαίωση από τρίτους ότι ο ιστότοπος που επισκέπτονται είναι αυτός που ισχυρίζεται ότι είναι.
Αναζητήστε τις ακόλουθες ενδείξεις στη γραμμή διευθύνσεων του προγράμματος περιήγησής σας για να βεβαιωθείτε ότι ένας ιστότοπος που επισκέπτεστε προστατεύεται με αξιόπιστο SSL /TLS πιστοποιητικό (στιγμιότυπο οθόνης από τον Firefox 70.0 σε macOS):
- Ένα κλειστό εικονίδιο λουκέτου στα αριστερά του URL. Ανάλογα με το πρόγραμμα περιήγησής σας και τον τύπο του πιστοποιητικού που έχει εγκαταστήσει ο ιστότοπος, το λουκέτο μπορεί να είναι πράσινο και / ή να συνοδεύεται από πληροφορίες αναγνώρισης σχετικά με την εταιρεία που το εκτελεί.
- Εάν εμφανιστεί, το πρωτόκολλο στην αρχή του URL πρέπει να είναι
https://, Δενhttp://. Σημειώστε ότι δεν εμφανίζονται όλα τα προγράμματα περιήγησης στο πρωτόκολλο.
Τα σύγχρονα προγράμματα περιήγησης επιτραπέζιων υπολογιστών προειδοποιούν επίσης τους επισκέπτες για μη ασφαλείς ιστότοπους που δεν διαθέτουν SSL /TLS πιστοποιητικό. Το παρακάτω στιγμιότυπο οθόνης είναι ενός μη ασφαλούς ιστότοπου που προβάλλεται στον Firefox και δείχνει ένα διαγραμμένο λουκέτο στα αριστερά της διεύθυνσης URL:
Απόκτηση SSL /TLS Πιστοποιητικό
Είστε έτοιμοι να εξασφαλίσετε τον δικό σας ιστότοπο; Η βασική διαδικασία για την αίτηση ενός αξιόπιστου SSL /TLS Το πιστοποιητικό ιστότοπου έχει ως εξής:
- Το άτομο ή ο οργανισμός που ζητά το πιστοποιητικό δημιουργεί ένα ζευγάρι δημόσιων και ιδιωτικών κλειδιών, κατά προτίμηση στον διακομιστή για προστασία.
- Το δημόσιο κλειδί, μαζί με τα ονόματα τομέα που προστατεύονται και (για πιστοποιητικά OV και EV) οργανωτικές πληροφορίες σχετικά με την εταιρεία που ζητά το πιστοποιητικό, χρησιμοποιείται για τη δημιουργία αίτημα υπογραφής πιστοποιητικού (CSR).
- Παρακαλώ δες αυτό το FAQ για οδηγίες σχετικά με τη δημιουργία πληκτρολογίου και CSR σε πολλές πλατφόρμες διακομιστών.
- Η CSR αποστέλλεται σε μια δημόσια αξιόπιστη αρχή (όπως SSL.com). Η ΑΠ επικυρώνει τις πληροφορίες στο CSR και δημιουργεί ένα υπογεγραμμένο πιστοποιητικό που μπορεί να εγκατασταθεί στον διακομιστή ιστού του αιτούντος.
- Για οδηγίες σχετικά με την παραγγελία SSL /TLS πιστοποιητικά από το SSL.com, δείτε αυτό το πώς.
SSL /TLS τα πιστοποιητικά διαφέρουν ανάλογα με τις μεθόδους επικύρωσης που χρησιμοποιούνται και το επίπεδο εμπιστοσύνης που παρέχουν, με εκτεταμένη επικύρωση (EV) προσφέροντας το υψηλότερο επίπεδο εμπιστοσύνης. Για πληροφορίες σχετικά με τις διαφορές μεταξύ των κύριων μεθόδων επικύρωσης (DV, OV και EV), ανατρέξτε στο άρθρο μας, Πιστοποιητικά DV, OV και EV.
