SSL (Secure Sockets Layer) og dens efterfølger, TLS (Transportlagsikkerhed), er protokoller til oprettelse af godkendte og krypterede links mellem computere i netværket. Selvom SSL-protokollen blev udfaset med frigivelsen af TLS 1.0 i 1999 er det stadig almindeligt at henvise til disse relaterede teknologier som “SSL” eller “SSL /TLS. ” Den nyeste version er TLS 1.3, defineret i RFC 8446 (August 2018).
Læs videre for at finde ud af mere om:
- Ofte stillede spørgsmål om SSL /TLS
- Taster, certifikater og håndtryk
- SSL /TLS og sikker webbrowsing
- Sådan får du en SSL /TLS certifikat
Eller for en hurtig TL; DR-introduktion til SSL, bare hoppe foran for at se en kort video.
Ofte stillede spørgsmål
SSL (Secure Sockets Layer) og dens efterfølger, TLS (Transportlagsikkerhed), er protokoller til oprettelse af godkendte og krypterede links mellem computere i netværket. Selvom SSL-protokollen blev udfaset med frigivelsen af TLS 1.0 i 1999 er det stadig almindeligt at henvise til disse relaterede teknologier som “SSL” eller “SSL /TLS".
An SSL-certifikat (også kendt som en TLS eller SSL /TLS certifikat) er et digitalt dokument, der binder identiteten af et websted til et kryptografisk nøglepar bestående af en offentlig nøgle og en privat nøgle. Den offentlige nøgle, der er inkluderet i certifikatet, tillader en webbrowser at indlede en krypteret kommunikationssession med en webserver via TLS og HTTPS protokoller. Den private nøgle opbevares sikker på serveren og bruges til digital signering af websider og andre dokumenter (såsom billeder og JavaScript-filer).
Et SSL-certifikat inkluderer også identificerende oplysninger om et websted, herunder dets domænenavn og eventuelt identificerende oplysninger om webstedets ejer. Hvis webserverens SSL-certifikat er underskrevet af en offentligt betroet certifikatmyndighed (CA), f.eks SSL.com, vil digitalt signeret indhold fra serveren være tillid til af slutbrugernes webbrowsere og operativsystemer som autentiske.
Et SSL-certifikat er en type X.509-certifikat.
TLS (Transportlagsikkerhed), udgivet i 1999, er efterfølgeren til SSL (Secure Sockets Layer) protokol til godkendelse og kryptering. TLS 1.3 er defineret i RFC 8446 (August 2018).
På et tidspunkt var det et obligatorisk krav at have en dedikeret IP til hvert SSL-certifikat på en webserver. Dette er ikke længere tilfældet på grund af en teknologi kaldet Server Name Indication (SNI). Din hostingplatform skal specifikt understøtte SNI. Du kan finde ud af mere information om SNI i dette SSL.com-artikel.
For maksimal kompatibilitet, port 443
er den standardport, der således anbefales, anvendt til sikret SSL /TLS kommunikation. Dog kan enhver port bruges.
TLS 1.3, defineret i august 2018 af RFC 8446, er den seneste version af SSL /TLS. TLS 1.2 (RFC 5246) blev defineret i august 2008 og forbliver også i vid udstrækning. Versioner af SSL /TLS før TLS 1.2 betragtes som usikre og bør ikke længere bruges.
TLS version 1.0 og 1.1 påvirkes af et stort antal protokol- og implementeringssårbarheder, der er blevet offentliggjort af sikkerhedsforskere i de sidste to årtier. Angreb som ROBOT påvirkede RSA-nøgleudvekslingsalgoritmen, mens dødvande og Svag DH viste, at mange TLS servere kunne blive narret til at bruge forkerte parametre til andre nøgleudvekslingsmetoder. Kompromis med en nøgleudveksling giver angribere mulighed for fuldstændigt at kompromittere netværkssikkerhed og dekryptere samtaler.
Angreb på symmetriske cifre, f.eks BEAST or Lucky13, har vist, at forskellige cifre understøttet i TLS 1.2 og tidligere, med eksempler inklusive RC4 or CBC-tilstand cifre, er ikke sikre.
Selv underskrifter blev påvirket med Bleichenbacher's RSA signaturforfalskning angreb og andre lignende polstringangreb.
De fleste af disse angreb er blevet reduceret TLS 1.2 (forudsat at TLS tilfælde er konfigureret korrekt), selvom TLS 1.2 er stadig sårbar over for nedgradere angreb, Såsom POODLE, FREAK eller CurveSwap. Dette skyldes det faktum, at alle versioner af TLS protokol før 1.3 beskytter ikke håndtrykforhandlingerne (som beslutter den protokolversion, der skal bruges i hele udvekslingen).
Taster, certifikater og håndtryk
SSL /TLS fungerer ved at binde identiteter af enheder som websteder og virksomheder til kryptografisk nøglepar via digitale dokumenter kendt som X.509-certifikater. Hvert nøglepar består af en privat nøgle og en offentlig nøgle. Den private nøgle holdes sikker, og den offentlige nøgle kan distribueres bredt via et certifikat.
Det specielle matematiske forhold mellem de private og offentlige nøgler i et par betyder, at det er muligt at bruge den offentlige nøgle til at kryptere en meddelelse, der kun kan dekrypteres med den private nøgle. Endvidere kan indehaveren af den private nøgle bruge den til underskrive andre digitale dokumenter (såsom websider), og enhver med den offentlige nøgle kan bekræfte denne signatur.
Hvis SSL /TLS selve certifikatet er underskrevet af en offentligt betroet certifikatmyndighed (CA), Såsom SSL.com, vil certifikatet være implicit betroet af klientsoftware såsom webbrowsere og operativsystemer. Offentligt tillidte CA'er er godkendt af større softwareleverandører til at validere identiteter, der er tillid til på deres platforme. En offentlig CA's validerings- og certifikatudstedelsesprocedurer er underlagt regelmæssige, strenge revisioner for at opretholde denne pålidelige status.
Via SSL /TLS håndtryk, kan de private og offentlige nøgler bruges med et offentligt betroet certifikat til at forhandle om en krypteret og godkendt kommunikationssession over internettet, selv mellem to parter, der aldrig har mødt. Denne enkle kendsgerning er fundamentet for sikker webbrowsing og elektronisk handel, som det er kendt i dag.
SSL /TLS og sikker webbrowsing
Den mest almindelige og velkendte brug af SSL /TLS er sikker webbrowsing via HTTPS protokol. Et korrekt konfigureret offentligt HTTPS-websted indeholder en SSL /TLS certifikat, der er underskrevet af en offentligt betroet CA. Brugere, der besøger et HTTPS-websted, kan være sikre på:
- Ægthed. Serveren, der præsenterer certifikatet, er i besiddelse af den private nøgle, der matcher den offentlige nøgle i certifikatet.
- Integritet. Dokumenter underskrevet af certifikatet (f.eks. websider) er ikke ændret under transit af en mand i midten.
- Kryptering. Kommunikation mellem klienten og serveren er krypteret.
På grund af disse egenskaber, SSL /TLS og HTTPS giver brugerne mulighed for sikkert at overføre fortrolige oplysninger, såsom kreditkortnumre, personnummer og loginoplysninger over internettet, og være sikre på, at webstedet, de sender dem til, er autentisk. Med et usikkert HTTP-websted sendes disse data som almindelig tekst, der er let tilgængelig for enhver aflytter med adgang til datastrømmen. Desuden har brugere af disse ubeskyttede websteder ingen betroet tredjeparts forsikring om, at det websted, de besøger, er, hvad det hævder at være.
Se efter følgende indikatorer i din browsers adresselinje for at være sikker på, at et websted, du besøger, er beskyttet med en betroet SSL /TLS certifikat (skærmbillede fra Firefox 70.0 på macOS):
- Et lukket hængelåsikon til venstre for URL'en. Afhængig af din browser og den type certifikat, som websitet har installeret, kan hængelåsen være grøn og / eller ledsages af identificerende oplysninger om det firma, der driver det.
- Hvis det vises, skal protokollen i starten af URL'en være
https://
, Ikkehttp://
. Bemærk, at ikke alle browsere viser protokollen.
Moderne desktop-browsere advarer også besøgende om usikre websteder, der ikke har SSL /TLS certifikat. Skærmbillede nedenfor er fra et usikkert websted, der ses i Firefox, og viser en krydset hængelås til venstre for URL:
Sådan får du en SSL /TLS certifikat
Klar til at sikre dit eget websted? Den grundlæggende procedure for anmodning om en offentligt betroet SSL /TLS websted certifikat er som følger:
- Personen eller organisationen, der anmoder om certifikatet, genererer et par offentlige og private nøgler, helst på serveren, der skal beskyttes.
- Den offentlige nøgle sammen med det eller de domænenavne, der skal beskyttes, og (til OV- og EV-certifikater) organisatoriske oplysninger om det firma, der anmoder om certifikatet, bruges til at generere en anmodning om underskrivelse af certifikat (CSR).
- Se venligst denne ofte stillede spørgsmål til instruktioner om generering af et tastatur og CSR på mange serverplatforme.
- CSR sendes til en offentligt betroet CA (såsom SSL.com). CA validerer oplysningerne i CSR og genererer et underskrevet certifikat, der kan installeres på rekvirentens webserver.
- For instruktioner om bestilling af SSL /TLS certifikater fra SSL.com, se venligst denne vej.
SSL /TLS certifikater varierer afhængigt af de anvendte valideringsmetoder og det tillidsniveau, de giver, med udvidet validering (EV) der tilbyder det højeste niveau af tillid. For information om forskellene mellem de vigtigste valideringsmetoder (DV, OV og EV), se vores artikel, DV-, OV- og EV-certifikater.