SSL (Secure Sockets Layer) ja sen seuraaja, TLS (Kuljetuskerroksen turvallisuus), ovat protokollia todennettujen ja salattujen linkkien muodostamiseksi verkkoon kytkettyjen tietokoneiden välille. Vaikka SSL-protokolla oli vanhentunut TLS 1.0 vuonna 1999, on edelleen yleistä viitata näihin liittyviin tekniikoihin nimellä "SSL" tai "SSL /TLS. ” Uusin versio on TLS 1.3, määritelty RFC 8446 (Elokuu 2018).
Lue lisää saadaksesi lisätietoja:
- Usein kysytyt kysymykset SSL: stä /TLS
- Avaimet, sertifikaatit ja kättelyt
- SSL /TLS ja Suojattu Web-selaus
- SSL: n hankinta /TLS Todistus
Tai nopeaan TL; DR-esittelyyn SSL: stä, hyppää eteenpäin katsomaan lyhyttä video-.
Usein kysytyt kysymykset
SSL (Secure Sockets Layer) ja sen seuraaja, TLS (Kuljetuskerroksen turvallisuus), ovat protokollia todennettujen ja salattujen linkkien muodostamiseksi verkkoon kytkettyjen tietokoneiden välille. Vaikka SSL-protokolla oli vanhentunut TLS 1.0 vuonna 1999, on edelleen yleistä viitata näihin liittyviin tekniikoihin nimellä "SSL" tai "SSL /TLS"
An SSL-sertifikaatti (tunnetaan myös nimellä TLS tai SSL /TLS todistus) on digitaalinen asiakirja, joka sitoo verkkosivuston identiteetin salaiseen avainpariin, joka koostuu julkisesta ja yksityisestä avaimesta. Varmenteen sisältämä julkinen avain sallii verkkoselaimen aloittaa salattu viestintäistunto verkkopalvelimen kanssa TLS ja HTTPS protokollia. Yksityinen avain pidetään suojatuna palvelimella, ja sitä käytetään verkkosivujen ja muiden asiakirjojen (kuten kuvien ja JavaScript-tiedostojen) digitaaliseen allekirjoittamiseen.
SSL-varmenne sisältää myös verkkosivuston tunnistetiedot, mukaan lukien sen verkkotunnus, ja mahdollisesti tunnistetiedot sivuston omistajasta. Jos verkkopalvelimen SSL-varmenteen allekirjoittaa julkisesti luotettu varmentaja (CA), kuten SSL.com, loppukäyttäjien verkkoselaimet ja käyttöjärjestelmät luottavat palvelimelta digitaalisesti allekirjoitettuun sisältöön aitona.
SSL-varmenne on eräänlainen X.509-sertifikaatti.
TLS (Kuljetuskerroksen turvallisuus), julkaistu vuonna 1999, on SSL (Secure Sockets Layer) protokolla todentamista ja salausta varten. TLS 1.3 on määritelty kohdassa RFC 8446 (Elokuu 2018).
Kerralla se oli pakollinen vaatimus, että omistettu IP on jokaisella SSL-varmenteella verkkopalvelimella. Näin ei enää ole SNI-nimisen tekniikan vuoksi. Isäntäympäristösi on erityisesti tuettava SNI: tä. Löydät lisätietoja SNI: stä tästä SSL.com -artikkeli.
Parhaan yhteensopivuuden saavuttamiseksi portti 443
on vakio, siis suositeltava portti, jota käytetään suojatulle SSL /TLS viestintää. Mitä tahansa porttia voidaan kuitenkin käyttää.
TLS 1.3, määritelty elokuussa 2018 RFC 8446, on viimeisin SSL /TLS. TLS 1.2 (RFC 5246) määriteltiin elokuussa 2008, ja se on edelleen laajalti käytössä. SSL / -ohjelman versiotTLS ennen TLS 1.2 pidetään epävarmoina eikä niitä pitäisi enää käyttää.
TLS Versioihin 1.0 ja 1.1 vaikuttaa suuri joukko protokolla- ja toteutusheikkouksia, jotka turvallisuustutkijat ovat julkaissut kahden viimeisen vuosikymmenen aikana. Hyökkäykset kuten ROBOTTI vaikutti RSA-avaintenvaihtoalgoritmiin, kun taas pattitilanne ja Heikko DH osoitti, että monet TLS palvelimia voidaan huijata käyttämään vääriä parametreja muihin avaintenvaihtomenetelmiin. Avaimenvaihdon kompromitointi antaa hyökkääjille mahdollisuuden vaarantaa verkon turvallisuus kokonaan ja purkaa keskustelut.
Hyökkäykset symmetrisiin salauksiin, kuten BEAST or Lucky13ovat osoittaneet, että erilaiset salakirjat tuivat vuonna XNUMX TLS 1.2 ja aikaisemmat esimerkit sisältäen RC4 or CBC-moodi salaus, eivät ole turvassa.
Jopa allekirjoituksia tehtiin, Bleichenbacherin RSA-allekirjoitusten väärentäminen hyökkäys ja muut vastaavat täytehyökkäykset.
Suurin osa näistä hyökkäyksistä on lievennetty vuonna XNUMX TLS 1.2 (edellyttäen, että TLS esiintymät on määritetty oikein), vaikka TLS 1.2 on edelleen haavoittuvainen heikentää hyökkäyksiä, Kuten villakoira, FREAKtai Käyränvaihto. Tämä johtuu siitä, että kaikki TLS 1.3 -protokollaa edeltävä protokolla ei suojaa kättelyneuvottelua (joka päättää koko vaihdossa käytettävän protokollaversion).
Avaimet, sertifikaatit ja kättelyt
SSL /TLS toimii sitomalla sivustojen ja yritysten, kuten sivustojen ja yritysten, identiteetit salaustekniikkaan avainparit digitaalisten asiakirjojen kautta, jotka tunnetaan nimellä X.509-varmenteet. Jokainen näppäinpari koostuu a yksityinen avain ja julkinen avain. Yksityinen avain pidetään turvassa, ja julkinen avain voidaan jakaa laajasti varmenteen avulla.
Parin yksityisten ja julkisten avainten välinen erityinen matemaattinen suhde tarkoittaa, että julkisen avaimen avulla on mahdollista salata viesti, joka voidaan salata vain yksityisellä avaimella. Lisäksi yksityisen avaimen haltija voi käyttää sitä merkki muut digitaaliset asiakirjat (kuten verkkosivut), ja kuka tahansa julkisella avaimella voi vahvistaa tämän allekirjoituksen.
Jos SSL /TLS todistuksen itse allekirjoittaa julkisesti luotettu varmentaja (CA), Kuten SSL.com, asiakasohjelmistot, kuten selaimet ja käyttöjärjestelmät, varmentavat implisiittisesti. Suuret ohjelmistotoimittajat ovat hyväksyneet julkisesti luotettavat varmentajat vahvistamaan identiteettejä, joihin heidän alustoillaan luotetaan. Julkisen varmentajan varmennus- ja varmenteiden myöntämismenettelyihin tehdään säännöllisiä ja tarkkoja tarkastuksia tämän luotettavan tilan säilyttämiseksi.
Via SSL /TLS kädenpuristus, yksityisiä ja julkisia avaimia voidaan käyttää julkisesti luotettavan varmenteen kanssa salatun ja todennetun viestintäistunnon neuvottelemiseen Internetissä, jopa kahden osapuolen välillä, jotka eivät ole koskaan tavanneet. Tämä yksinkertainen tosiasia on turvallisen verkkoselaamisen ja sähköisen kaupan perusta, sellaisena kuin se nykyään tunnetaan.
SSL /TLS ja Suojattu Web-selaus
SSL: n yleisin ja tunnetuin käyttöTLS on turvallinen selaaminen HTTPS protokolla. Oikein määritetty julkinen HTTPS-verkkosivusto sisältää SSL /TLS varmenne, jonka on allekirjoittanut yleisesti luotettava CA. HTTPS-verkkosivustoa käyvät käyttäjät voivat olla varmoja:
- Aitous. Varmennetta esittävällä palvelimella on yksityinen avain, joka vastaa varmenteen julkista avainta.
- Eheys. asiakirjat allekirjoitettu todistuksella (esim. verkkosivut) ei ole muutettu kuljetuksen aikana mies keskellä.
- Salaus. Viestintä asiakkaan ja palvelimen välillä on salattu.
Näiden ominaisuuksien vuoksi SSL /TLS ja HTTPS: n avulla käyttäjät voivat siirtää turvallisesti luottamuksellisia tietoja, kuten luottokorttinumeroita, sosiaaliturvatunnuksia ja kirjautumistietoja Internetissä, ja olla varma, että verkkosivusto, johon he lähettävät heitä, on aito. Epävarmassa HTTP-verkkosivustossa nämä tiedot lähetetään selkeänä tekstinä, joka on helposti kaikkien salakuuntelijoiden käytettävissä, joilla on pääsy tietovirtaan. Lisäksi näiden suojaamattomien verkkosivustojen käyttäjillä ei ole luotettavaa kolmannen osapuolen vakuutusta siitä, että heidän käyttämäsi verkkosivusto on mitä se väittää olevansa.
Etsi seuraavat indikaattorit selaimen osoiteriviltä varmistaaksesi, että vierailemasi verkkosivusto on suojattu luotetulla SSL: llä /TLS todistus (kuvakaappaus Firefox 70.0: sta macOS: lla):
- Suljettu riippulukon kuvake URL-osoitteen vasemmalla puolella. Selaimesta ja verkkosivuston asentaman varmenteen tyypistä riippuen riippulukko voi olla vihreä ja / tai liitettävä sitä käyttävän yrityksen tunnistetietoihin.
- Jos osoitettu, protokollan URL-osoitteen alussa tulisi olla
https://
, Eihttp://
. Huomaa, että kaikki selaimet eivät näytä protokollaa.
Nykyaikaiset työpöytäselaimet myös varoittavat kävijöitä epävarmoista verkkosivustoista, joilla ei ole SSL /TLS todistus. Seuraava kuvakaappaus on epävarmasta verkkosivustosta, jota tarkastellaan Firefoxissa, ja osoittaa URL-osoitteen vasemmalla puolella ylitetyn riippulukon:
SSL: n hankinta /TLS Todistus
Oletko valmis suojaamaan oman verkkosivustosi? Perusmenettely julkisesti luotettavan SSL: n /TLS verkkosivustovarmenne on seuraava:
- Varmennetta pyytävä henkilö tai organisaatio luo pari julkisia ja yksityisiä avaimia, mieluiten suojattavalla palvelimella.
- Julkista avainta sekä suojattavia verkkotunnuksia tai suojattuja verkkotunnuksia ja (OV- ja EV-varmenteille) varmennetta pyytävän yrityksen organisaatiotietoja käytetään generoimaan sertifikaatin allekirjoituspyyntö (CSR).
- Katso tämä FAQ ohjeita näppäinparin luomiseksi ja CSR monilla palvelinalustoilla.
- - CSR lähetetään julkisesti luotetulle varmentajalle (kuten SSL.com). Varmentaja vahvistaa tiedot CSR ja luo allekirjoitetun varmenteen, joka voidaan asentaa pyynnön tekijän Web-palvelimeen.
- Ohjeita SSL: n /TLS SSL.com-sertifikaatit, katso tämä miten.
SSL /TLS varmenteet vaihtelevat käytetyistä validointimenetelmistä ja niiden luottamustasosta riippuen, laaja-alaisella validoinnilla (EV), joka tarjoaa korkeimman tason luottamuksen. Tietoja tärkeimpien validointimenetelmien (DV, OV ja EV) eroista on artikkelissamme, DV-, OV- ja EV-sertifikaatit.