Co je SSL?

SSL (Secure Sockets Layer) a jeho nástupce, TLS (Zabezpečení transportní vrstvy), jsou protokoly pro vytváření ověřených a šifrovaných spojení mezi počítači v síti. Ačkoli byl protokol SSL s vydáním zastaralý TLS 1.0 v roce 1999 je stále běžné označovat tyto související technologie jako „SSL“ nebo „SSL /TLS. “ Nejnovější verze je TLS 1.3, definované v RFC 8446 (Srpen 2018).

Čtěte dále a dozvíte se více o:

Nebo pro rychlý TL; DR úvod do SSL, jen skok dopředu sledovat krátký video.

Potřebujete certifikát? SSL.com vás pokrývá. Porovnejte možnosti zde najít tu správnou volbu pro vás S/MIME a certifikáty pro podepisování kódu a další.

OBJEDNAT TEĎ

Často kladené otázky

Co je SSL?

SSL (Secure Sockets Layer) a jeho nástupce, TLS (Zabezpečení transportní vrstvy), jsou protokoly pro vytváření ověřených a šifrovaných spojení mezi počítači v síti. Ačkoli byl protokol SSL s vydáním zastaralý TLS 1.0 v roce 1999 je stále běžné označovat tyto související technologie jako „SSL“ nebo „SSL /TLS. "

Co je certifikát SSL?

An SSL certifikát (také známý jako TLS nebo SSL /TLS certifikát) je digitální dokument, který váže identitu webové stránky na pár kryptografických klíčů skládající se z veřejného klíče a soukromého klíče. Veřejný klíč, který je součástí certifikátu, umožňuje webový prohlížeč zahájit šifrovaná komunikační relace s webovým serverem prostřednictvím TLS a HTTPS protokoly. Soukromý klíč je na serveru zabezpečen a slouží k digitálnímu podepisování webových stránek a dalších dokumentů (například obrázků a souborů JavaScriptu).

Certifikát SSL zahrnuje také identifikační informace o webu, včetně jeho názvu domény a případně identifikační údaje o vlastníkovi webu. Pokud je certifikát SSL webového serveru podepsán veřejně důvěryhodnou certifikační autoritou (CA), například SSL.com„digitálně podepsaný obsah ze serveru bude webovým prohlížečům a operačním systémům koncových uživatelů důvěryhodný jako autentický.

Certifikát SSL je typ Certifikát X.509.

Co je to TLS?

TLS (Zabezpečení transportní vrstvy), který byl vydán v roce 1999, je nástupcem SSL (Secure Sockets Layer) protokol pro autentizaci a šifrování. TLS 1.3 je definován v RFC 8446 (Srpen 2018).

Potřebuji k použití SSL / vyhrazenou IP adresuTLS?

Najednou to byl povinný požadavek mít vyhrazenou IP pro každý certifikát SSL na webovém serveru. To již neplatí kvůli technologii nazvané Server Name Indication (SNI). Vaše hostitelská platforma bude muset konkrétně podporovat SNI. Více informací o SNI naleznete v tomto dokumentu Článek SSL.com.

Jaký port se doporučuje použít SSL /TLS přes?

Pro maximální kompatibilitu port 443 je standardní, tedy doporučený port používaný pro zabezpečený SSL /TLS komunikace. Lze však použít libovolný port.

Jaká je aktuální verze SSL /TLS?

TLS 1.3, definovaná v srpnu 2018 RFC 8446, je nejnovější verze SSL /TLS. TLS 1.2 (RFC 5246) byl definován v srpnu 2008 a také se stále používá. Verze SSL /TLS dříve než TLS 1.2 jsou považovány za nezabezpečené a neměly by se nadále používat.

Jaké jsou bezpečnostní problémy se staršími verzemi TLS?

TLS verze 1.0 a 1.1 jsou ovlivněny velkým počtem zranitelností v protokolu a implementaci, které publikovali výzkumníci v oblasti bezpečnosti v posledních dvou desetiletích. Útoky jako ROBOT ovlivnil algoritmus výměny klíčů RSA Nakupení plaveného dříví a Slabý DH ukázal to mnoho TLS servery by se daly oklamat použitím nesprávných parametrů pro jiné metody výměny klíčů. Kompromisní výměna klíčů umožňuje útočníkům zcela ohrozit zabezpečení sítě a dešifrovat rozhovory.

Útoky na symetrické šifry, například BESTIE or Lucky13, prokázali, že různé šifry podporované v TLS 1.2 a starší, včetně příkladů RC4 or Režim CBC šifry, nejsou bezpečné.

Byly ovlivněny i podpisy Padělání podpisu RSA Bleichenbachera útok a další podobné útoky na polstrování.

Většina těchto útoků byla zmírněna TLS 1.2 (za předpokladu, že TLS instance jsou nakonfigurovány správně), i když TLS 1.2 je stále zranitelný downgrade útoky, Jako PUDL, FREAKnebo Křivka Výměna. Důvodem je skutečnost, že všechny verze TLS Protokol před 1.3 neochrání vyjednávání handshake (které rozhoduje o verzi protokolu, která bude použita během výměny).

Přejít na začátek

Klíče, certifikáty a handshakes

SSL /TLS funguje tak, že k kryptografickému dílu zavazuje identitu entit, jako jsou webové stránky a společnosti klíčové páry prostřednictvím digitálních dokumentů známých jako X. 509 certifikátů. Každý pár klíčů se skládá z a soukromý klíč a veřejný klíč. Soukromý klíč je zabezpečený a veřejný klíč může být široce distribuován prostřednictvím certifikátu.

Speciální matematický vztah mezi soukromým a veřejným klíčem v páru znamená, že je možné použít veřejný klíč k šifrování zprávy, kterou lze dešifrovat pouze soukromým klíčem. Držitel soukromého klíče jej dále může použít podepsat jiné digitální dokumenty (například webové stránky) a kdokoli s veřejným klíčem může tento podpis ověřit.

Pro detailní srovnání dvou nejpoužívanějších algoritmů digitálního podpisu používaných v SSL /TLS, přečtěte si náš článek, Porovnání ECDSA vs RSA.

Pokud SSL /TLS samotný certifikát je podepsán a veřejně důvěryhodná certifikační autorita (CA), Jako SSL.com, certifikátu bude implicitně důvěřovat klientský software, jako jsou webové prohlížeče a operační systémy. Veřejně důvěryhodné certifikační autority byly schváleny hlavními dodavateli softwaru k ověření totožnosti, které budou na jejich platformách důvěryhodné. Postupy ověřování a vydávání certifikátů veřejného CA podléhají pravidelným a přísným auditům za účelem udržení tohoto důvěryhodného stavu.

Via SSL /TLS stisk ruky , soukromé a veřejné klíče lze použít s veřejně důvěryhodným certifikátem k vyjednávání šifrované a ověřené komunikační relace přes internet, dokonce i mezi dvěma stranami, které se nikdy nesetkaly. Tento jednoduchý fakt je základem bezpečného prohlížení webu a elektronického obchodování, jak je známo dnes.

Ne všechny aplikace SSL /TLS vyžadovat důvěru veřejnosti. Společnost může například vydat vlastní důvěryhodné certifikáty pro interní použití. Další informace naleznete v našem článku Soukromé vs. veřejné PKI.
Přejít na začátek

SSL /TLS a zabezpečené prohlížení webu

Nejběžnější a nejznámější použití SSL /TLS je bezpečné procházení webu přes HTTPS protokol. Správně nakonfigurovaný veřejný web HTTPS obsahuje SSL /TLS certifikát, který je podepsán veřejně důvěryhodnou CA. Uživatelé navštěvující webové stránky HTTPS si mohou být jisti:

  • Pravost. Server představující certifikát je vlastníkem soukromého klíče, který odpovídá veřejnému klíči v certifikátu.
  • Integrita. Dokumenty podepsaný certifikátem (např. webové stránky) nebyly během přepravy změněny Muž ve středu.
  • Šifrování. Komunikace mezi klientem a serverem je šifrována.

Kvůli těmto vlastnostem SSL /TLS a HTTPS umožňují uživatelům bezpečně přenášet důvěrné informace, jako jsou čísla kreditních karet, čísla sociálního zabezpečení a přihlašovací údaje, přes internet, a ujistěte se, že web, na který je odesílají, je autentický. S nezabezpečenou webovou stránkou HTTP jsou tato data odesílána jako prostý text a jsou snadno dostupná každému odposlouchávajícímu s přístupem k datovému toku. Uživatelé těchto nechráněných webů navíc nemají důvěryhodnou záruku třetích stran, že web, který navštěvují, je tím, co tvrdí.

V adresním řádku prohlížeče vyhledejte následující indikátory, abyste se ujistili, že web, který navštěvujete, je chráněn důvěryhodným SSL /TLS certifikát (screenshot z Firefoxu 70.0 na MacOS):

adresní řádek

  • Ikona zavřeného zámku na levé straně od adresy URL. V závislosti na vašem prohlížeči a typu certifikátu, který web nainstaloval, může být visací zámek zelený a / nebo doplněný identifikačními informacemi o společnosti, která jej provozuje.
  • Pokud je zobrazen, měl by být protokol na začátku adresy URL https://, Ne http://. Protokol není zobrazen ve všech prohlížečích.

Moderní stolní prohlížeče také upozorňují návštěvníky na nezabezpečené webové stránky, které nemají SSL /TLS osvědčení. Snímek obrazovky níže je nezabezpečeným webem zobrazeným ve Firefoxu a na levé straně od adresy URL zobrazuje přeškrtnutý visací zámek:Firefox 69 (MacOS)

Přejít na začátek

Získání SSL /TLS Osvědčení

Jste připraveni zabezpečit si vlastní web? Základní postup pro vyžádání veřejně důvěryhodného SSL /TLS certifikát webové stránky je následující:

  • Osoba nebo organizace požadující certifikát generuje pár veřejných a soukromých klíčů, nejlépe na serveru, který má být chráněn.
  • Veřejný klíč spolu s názvy domén, které mají být chráněny, a (u certifikátů OV a EV) o organizaci společnosti, která požaduje certifikát, se používá k vygenerování žádost o podpis certifikátu (CSR).
    • Podívejte se prosím tento FAQ pokyny pro generování klíčenky a CSR na mnoha serverových platformách.
  • Projekt CSR se odesílá veřejně důvěryhodnému CA (například SSL.com). CA ověří informace v CSR a vygeneruje podepsaný certifikát, který lze nainstalovat na webový server žadatele.
    • Pokyny k objednání SSL /TLS certifikáty od SSL.com, viz to jak na to.

SSL /TLS certifikáty se liší v závislosti na použitých metodách ověřování a úrovni důvěry, kterou poskytují, s rozšířenou validací (EV) nabízející nejvyšší úroveň důvěry. Informace o rozdílech mezi hlavními metodami ověřování (DV, OV a EV) naleznete v našem článku, Certifikáty DV, OV a EV.

Přejít na začátek

 

Video

Děkujeme, že jste si vybrali SSL.com! Pokud máte nějaké dotazy, kontaktujte nás e-mailem na adrese Support@SSL.com, volání 1-877-SSL-SECURE, nebo jednoduše klikněte na odkaz chat v pravé dolní části této stránky.

Tým podpory SSL

Všechny příspěvky

Související časté dotazy

Zobrazit všechny časté dotazy

Sledujte nás

facebook X Youtube GitHub

Co je SSL /TLS?

Přehrát video

Přihlaste se k odběru zpravodaje SSL.com

Nenechte si ujít nové články a aktualizace z SSL.com

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.

Zúčastněte se průzkumu