SSL (Secure Sockets Layer) и его преемник, TLS (Безопасность транспортного уровня), являются протоколами для установления аутентифицированных и зашифрованных соединений между компьютерами в сети. Хотя протокол SSL устарел с выпуском TLS 1.0 в 1999 году, эти связанные технологии все еще часто называют «SSL» или «SSL /TLS. » Самая последняя версия TLS 1.3, определенный в RFC 8446 (Август 2018).
Читайте дальше, чтобы узнать больше о:
- Часто задаваемые вопросы о SSL /TLS
- Ключи, сертификаты и рукопожатия
- SSL /TLS и безопасный просмотр веб-страниц
- Получение SSL /TLS Сертификация
Или, для быстрого ознакомления с TL; DR в SSL, просто посмотрите короткое видео.
Часто задаваемые вопросы
SSL (Secure Sockets Layer) и его преемник, TLS (Безопасность транспортного уровня), являются протоколами для установления аутентифицированных и зашифрованных соединений между компьютерами в сети. Хотя протокол SSL устарел с выпуском TLS 1.0 в 1999 году, эти связанные технологии все еще часто называют «SSL» или «SSL /TLS".
An SSL сертификат (также известный как TLS или SSL /TLS сертификат) - это цифровой документ, который связывает идентификационные данные веб-сайта с парой криптографических ключей, состоящей из открытого и закрытого ключей. Открытый ключ, включенный в сертификат, позволяет веб-браузеру инициировать зашифрованный сеанс связи с веб-сервером через TLS и HTTPS протоколы. Закрытый ключ хранится в безопасности на сервере и используется для цифровой подписи веб-страниц и других документов (таких как изображения и файлы JavaScript).
Сертификат SSL также включает идентифицирующую информацию о веб-сайте, включая его доменное имя и, при необходимости, идентифицирующую информацию о владельце сайта. Если сертификат SSL веб-сервера подписан общедоступным доверенным центром сертификации (ЦС), например SSL.com, контент с цифровой подписью с сервера будет считаться подлинным веб-браузерами и операционными системами конечных пользователей.
Сертификат SSL - это тип Сертификат X.509.
TLS (Безопасность транспортного уровня), выпущенный в 1999 году, является преемником SSL (Secure Sockets Layer) протокол для аутентификации и шифрования. TLS 1.3 определено в RFC 8446 (Август 2018).
Когда-то было обязательным требованием иметь выделенный IP-адрес для каждого SSL-сертификата на веб-сервере. Это больше не так из-за технологии, называемой указанием имени сервера (SNI). Ваша хостинговая платформа должна будет поддерживать SNI. Вы можете узнать больше о SNI в этом Статья SSL.com.
Для максимальной совместимости, порт 443 является стандартным, поэтому рекомендуется, порт, используемый для защищенного SSL /TLS коммуникации. Тем не менее, любой порт может быть использован.
TLS 1.3, определенный в августе 2018 года RFC 8446, это самая последняя версия SSL /TLS. TLS 1.2 (RFC 5246) был определен в августе 2008 года и также остается широко используемым. Версии SSL /TLS до TLS 1.2 считаются небезопасными и больше не должны использоваться.
TLS версии 1.0 и 1.1 подвержены влиянию большого числа уязвимостей протокола и реализации, которые были опубликованы исследователями безопасности за последние два десятилетия. Нападения как РОБОТ повлиял на алгоритм обмена ключами RSA, в то время как затор и Слабый DH показал, что многие TLS серверы могут быть обмануты в использовании неверных параметров для других методов обмена ключами. Компрометация обмена ключами позволяет злоумышленникам полностью поставить под угрозу безопасность сети и расшифровать разговоры.
Атаки на симметричные шифры, такие как BEAST or Lucky13, продемонстрировали, что различные шифры поддерживаются в TLS 1.2 и ранее, с примерами, включающими RC4 or CBC-режим шифры не защищены.
Даже подписи были затронуты, с Подпись Блейхенбахера RSA подделка атака и другие подобные атаки дополнения.
Большинство из этих атак были смягчены в TLS 1.2 (при условии, что TLS экземпляры настроены правильно), хотя TLS 1.2 все еще уязвим для понижать атаки, Такие, как ПУДЕЛЬ, ИГРАили КриваяОбмен, Это связано с тем, что все версии TLS Протокол до 1.3 не защищает согласование рукопожатия (которое определяет версию протокола, которая будет использоваться на протяжении обмена).
Ключи, сертификаты и рукопожатия
SSL /TLS работает, связывая идентификаторы объектов, таких как веб-сайты и компании, с криптографической пары ключей через цифровые документы, известные как Сертификаты X.509, Каждая пара ключей состоит из закрытый ключ и еще один Открытый ключ, Закрытый ключ хранится в безопасности, а открытый ключ может широко распространяться через сертификат.
Специальные математические отношения между закрытым и открытым ключами в паре означают, что можно использовать открытый ключ для шифрования сообщения, которое может быть расшифровано только с помощью закрытого ключа. Кроме того, владелец закрытого ключа может использовать его для подпись другие цифровые документы (например, веб-страницы), и любой человек с открытым ключом может проверить эту подпись.
Если SSL /TLS Сам сертификат подписан публично доверенный центр сертификации (CA), Такие, как SSL.com, сертификат будет безоговорочно доверять клиентскому программному обеспечению, например веб-браузерам и операционным системам. Центры сертификации, пользующиеся всеобщим доверием, были одобрены основными поставщиками программного обеспечения для проверки удостоверений, которым будут доверять их платформы. Процедуры проверки и выдачи сертификатов публичного ЦС подлежат регулярным строгим аудитам для поддержания этого статуса доверия.
С помощью SSL /TLS рукопожатиезакрытый и открытый ключи могут использоваться с публично доверенным сертификатом для согласования зашифрованного и аутентифицированного сеанса связи через Интернет, даже между двумя сторонами, которые никогда не встречались. Этот простой факт является основой безопасного просмотра веб-страниц и электронной коммерции, как это известно сегодня.
SSL /TLS и безопасный просмотр веб-страниц
Наиболее распространенное и известное использование SSL /TLS безопасный просмотр веб-страниц через HTTPS протокол. Правильно настроенный общедоступный веб-сайт HTTPS включает SSL /TLS сертификат, подписанный публично доверенным центром сертификации. Пользователи, посещающие веб-сайт HTTPS, могут быть уверены в:
- Подлинность. Сервер, представляющий сертификат, обладает закрытым ключом, который соответствует открытому ключу в сертификате.
- Целостность. Документы подписанный сертификатом (например, веб-страницы) не были изменены в пути Человек в середине.
- Шифрование. Связь между клиентом и сервером зашифрована.
Из-за этих свойств SSL /TLS и HTTPS позволяют пользователям безопасно передавать конфиденциальную информацию, такую как номера кредитных карт, номера социального страхования и учетные данные для входа в систему через Интернет, и быть уверенными, что веб-сайт, на который они отправляют их, является подлинным. На небезопасном веб-сайте HTTP эти данные отправляются в виде простого текста, который легко доступен любому перехватчику, имеющему доступ к потоку данных. Кроме того, пользователи этих незащищенных веб-сайтов не имеют никаких доверенных сторонних гарантий того, что веб-сайт, который они посещают, является тем, чем он себя считает.
Поищите следующие индикаторы в адресной строке браузера, чтобы убедиться, что веб-сайт, который вы посещаете, защищен надежным SSL /TLS сертификат (скриншот из Firefox 70.0 на macOS):
- Значок закрытого замка слева от URL. В зависимости от вашего браузера и типа сертификата, установленного на веб-сайте, замок может быть зеленого цвета и / или сопровождаться идентификационной информацией о компании, которая его эксплуатирует.
- Если показано, протокол в начале URL должен быть
https://, Неhttp://, Обратите внимание, что не все браузеры отображают протокол.
Современные настольные браузеры также предупреждают посетителей о небезопасных веб-сайтах, не имеющих SSL /TLS сертификат. На приведенном ниже снимке экрана показан небезопасный веб-сайт, просматриваемый в Firefox, с зачеркнутым замком слева от URL-адреса:
Получение SSL /TLS Сертификация
Готовы защитить свой собственный сайт? Базовая процедура запроса публично доверенного SSL /TLS Сертификат сайта выглядит следующим образом:
- Человек или организация, запрашивающая сертификат, генерирует пару открытых и закрытых ключей, предпочтительно на защищаемом сервере.
- Открытый ключ вместе с доменным именем (именами), которые должны быть защищены, и (для сертификатов OV и EV) организационная информация о компании, запрашивающей сертификат, используется для создания запрос на подпись сертификата (CSR).
- См. этот FAQ для инструкций по генерации пары ключей и CSR на многих серверных платформах.
- Ассоциация CSR отправляется в общедоступный доверенный центр сертификации (например, SSL.com). CA проверяет информацию в CSR и генерирует подписанный сертификат, который можно установить на веб-сервере запрашивающей стороны.
- Инструкции по заказу SSL /TLS сертификаты от SSL.com, см. это как.
SSL /TLS сертификаты различаются в зависимости от используемых методов проверки и уровня доверия, которое они предоставляют, с расширенной проверкой (EV) предлагая самый высокий уровень доверия. Для получения информации о различиях между основными методами проверки (DV, OV и EV), пожалуйста, обратитесь к нашей статье, Сертификаты DV, OV и EV.
