Was ist ein SSL /TLS Handschlag?
An SSL /TLS Handschlag ist eine Verhandlung zwischen zwei Parteien in einem Netzwerk - wie einem Browser und einem Webserver -, um die Details ihrer Verbindung herzustellen. Es bestimmt, welche Version von SSL /TLS wird in der Sitzung verwendet, welche Chiffresuite die Kommunikation verschlüsselt, den Server überprüft (und manchmal auch den Auftraggeber) und stellt fest, dass eine sichere Verbindung besteht, bevor Daten übertragen werden.
Zum Glück geschieht dies alles im Hintergrund. Jedes Mal, wenn Sie Ihren Browser auf eine sichere Site leiten, findet eine komplexe Interaktion statt, um sicherzustellen, dass Ihre Daten sicher sind.
Das ist die einfache Version. Möglicherweise stellen Sie fest, dass jedes Dutzend Beschreibungen mehr oder weniger diesem Format entspricht, während sie sich im Detail auf ein Dutzend verschiedene Arten unterscheiden - manchmal verwirrend. Lassen Sie uns ein Diagramm erstellen, das ein breites Modell dafür zeigt, wie a TLS Handschlag funktioniert, sollen wir?
Obligatorisches SSL /TLS Handshake-Grafik
Alle SSL /TLS-bezogene Websites haben ihre eigene Version eines Handshake-Diagramms - hier ist unsere! (Zum Vergrößern anklicken.)
Lassen Sie uns einige Verwirrung beseitigen, wenn wir können
Einige Verwirrung darüber, wie SSL /TLS Handshakes funktionieren, weil der Handshake nur der ist Auftakt zur eigentlichen, gesicherten Sitzung selbst. Lassen Sie uns versuchen, einige gemeinsame Punkte anzusprechen:
Asymmetrische vs symmetrische Verschlüsselung
Der Handschlag selbst verwendet asymmetrische Verschlüsselung - Es werden zwei separate Schlüssel verwendet, ein öffentlicher und ein privater. Da asymmetrische Verschlüsselungssysteme einen viel höheren Overhead haben, können sie nicht verwendet werden, um eine echte Vollzeitsicherheit zu gewährleisten. Daher wird der öffentliche Schlüssel nur während des Handshakes zur Verschlüsselung und der private Schlüssel zur Entschlüsselung verwendet, sodass die beiden Parteien einen neu erstellten „gemeinsam genutzten Schlüssel“ vertraulich einrichten und austauschen können. Die Sitzung selbst verwendet diesen einzelnen gemeinsam genutzten Schlüssel zur Ausführung symmetrische Verschlüsselungund dies macht eine sichere Verbindung in der Praxis möglich (der Overhead ist erheblich geringer). Also die vollständige und richtige Antwort auf “Ist SSL /TLS Verschlüsselung asymmetrisch oder symmetrisch? " is "Erst einer, dann der andere."
Was ist eine "Chiffresuite"?
Der Handshake selbst besteht aus mehreren Phasen, die jeweils nach unterschiedlichen Regeln verwaltet werden. Die Details finden Sie hier hier Aber die Nuss davon ist, dass die Parteien anstelle einer Reihe von getrennten Hin- und Her-Verhandlungen (über die zu verwendenden Schlüssel, die Verschlüsselung des Handshakes selbst, die Authentifizierung des Handshakes usw.) vereinbaren können, a zu verwenden "Chiffresuite" - eine bereits vorhandene Auswahl oder ein Kit vereinbarter Komponenten. (Denken Sie daran, dass asymmetrische Verschlüsselung zeit- und ressourcenintensiv ist. Die Verwendung der Cipher Suite als Verknüpfung beschleunigt den Handshake selbst.) TLS Spezifikationen ermöglichen eine ziemliche a Anzahl der Chiffresuitenund der Client und der Server haben fast immer Zugriff auf einen, den sie beide verwenden können.
Grundlegender oder gegenseitig authentifizierter Handshake
Ein weiterer verwirrender Punkt ist, dass das oben beschriebene Grundmodell es dem Client ermöglicht, den Server und die überwiegende Mehrheit der durch gesicherten Sitzungen zu überprüfen TLS benötigen nur dies. Bei einigen Cipher Suites muss der Client dies jedoch tun ebenfalls Senden Sie ein Zertifikat und einen öffentlichen Schlüssel zur gegenseitigen Authentifizierung beider Parteien. Dies bidirektionale Authentifizierung Dies erhöht natürlich den Overhead für den Handshake. In einigen Fällen (z. B. wenn zwei Banken eine sichere Verbindung für Geldtransfers aushandeln) besteht die Cipher Suite darauf, und die zusätzliche Sicherheit wird als wertvoll erachtet.
Unterschiedliche Sitzungen haben unterschiedliche Sicherheitsparameter
Jeder neue Handshake erstellt eine neue Sitzung, und die in einer verwendeten Einstellungen können sich je nach gewählter Verschlüsselungssuite drastisch von der anderen unterscheiden. Dies ist einer der Gründe, warum es so viele verschiedene Iterationen dieses verdammten Handshake-Diagramms gibt und warum wir hier einen ziemlich breiten Überblick geben. Beachten Sie auch, dass Sitzungen Parameter festlegen können, die möglicherweise nicht genau Ihren Erwartungen entsprechen. Abhängig von der Cipher Suite können einige Schritte ausgeführt werden hinzugefügt (wie die Anforderung für die bidirektionale Authentifizierung) oder abwesend. Tatsächlich gibt es Cipher Suites, die eine zu verwendende Sitzung aushandeln Keine Verschlüsselung. (Ja, wir wissen, eine HTTPS-Verbindung über Port 443, die Daten im Klartext sendet, macht auch für uns keinen Sinn. SSL.com empfiehlt Ihnen dringend nicht mach das - sei dir nur bewusst, dass es im Bereich des Möglichen liegt.)
Wir hoffen, dass diese Informationen Ihnen helfen, das zu verstehen TLS Handshake-Prozess. Lassen Sie uns wissen, wenn Sie Fragen oder Kommentare haben - denken Sie daran, SSL.com glaubt, dass ein sichereres Internet ein besseres Internet ist. “
