Qu'est-ce qu'un SSL /TLS Poignée de main?
An SSL /TLS poignée de main est une négociation entre deux parties sur un réseau - comme un navigateur et un serveur Web - pour établir les détails de leur connexion. Il détermine quelle version de SSL /TLS sera utilisé dans la session, quelle suite de chiffrement chiffrera la communication, vérifie le serveur (et parfois aussi le client) et établit qu'une connexion sécurisée est en place avant le transfert des données.
Tout cela se passe en arrière-plan, heureusement - chaque fois que vous dirigez votre navigateur vers un site sécurisé, une interaction complexe a lieu pour vous assurer que vos données sont en sécurité.
C'est la version simple. Vous remarquerez peut-être qu'une douzaine de descriptions correspondront plus ou moins à ce format, tout en différant en détail d'une douzaine de façons différentes - parfois de manière déroutante. Jetons un graphique qui montre un large modèle de la façon dont un TLS poignée de main fonctionne, allons-nous?
SSL obligatoire /TLS Graphique de la poignée de main
Tous SSL /TLSLes sites associés ont leur propre version d'un diagramme de poignée de main - voici la nôtre! (Cliquez pour enbiggen.)
Clarifions une certaine confusion, si nous pouvons
Une certaine confusion sur la façon dont SSL /TLS le travail des poignées de main est dû au fait que la poignée de main prélude à la session réelle et sécurisée elle-même. Essayons d'aborder quelques points communs:
Cryptage asymétrique vs symétrique
La poignée de main elle-même utilise chiffrement asymétrique - deux clés distinctes sont utilisées, une publique et une privée. Étant donné que les systèmes de chiffrement asymétriques ont une surcharge beaucoup plus élevée, ils ne sont pas utilisables pour fournir une sécurité réelle à plein temps. Ainsi, la clé publique est utilisée pour le cryptage et la clé privée pour le décryptage uniquement pendant la poignée de main, ce qui permet aux deux parties de configurer et d'échanger en toute confidentialité une «clé partagée» nouvellement créée. La session elle-même utilise cette clé partagée unique pour effectuer cryptage symétrique, et c'est ce qui rend possible une connexion sécurisée dans la pratique réelle (la surcharge est considérablement plus faible). Donc, la réponse complète et correcte à "Est SSL /TLS cryptage asymétrique ou symétrique? » is "D'abord l'un, puis l'autre."
Qu'est-ce qu'une «suite de chiffrement»?
La poignée de main elle-même comporte plusieurs étapes, chacune gérée selon des règles différentes. Les détails peuvent être trouvés ici, mais l'essentiel est qu'au lieu d'une série de négociations séparées (sur les clés à utiliser, comment crypter la poignée de main elle-même, comment authentifier la poignée de main, etc.), les parties peuvent convenir d'utiliser un "Suite de chiffrement" - une sélection préexistante ou un kit de composants convenus. (N'oubliez pas que le chiffrement asymétrique est coûteux en temps et en ressources - l'utilisation de la suite de chiffrement comme raccourci accélère la négociation elle-même.) TLS les spécifications permettent tout à fait un nombre de suites de chiffrement, et le client et le serveur auront presque toujours accès à celui qu'ils peuvent tous deux utiliser.
Prise de contact de base vs authentification mutuelle
Un autre point déroutant est que le modèle de base que nous avons décrit ci-dessus permet au client de vérifier le serveur et la grande majorité des sessions sécurisées par TLS l'exige seulement. Cependant, certaines suites de chiffrement exigeront que le client aussi envoyer un certificat et une clé publique pour l'authentification mutuelle des deux parties. Ce authentification bidirectionnelle va bien sûr ajouter des frais généraux à la poignée de main - cependant, dans certains cas (par exemple, lorsque deux banques négocient une connexion sécurisée pour les transferts de fonds), la suite de chiffrement insistera dessus, et la sécurité supplémentaire en vaut la peine.
Différentes sessions auront différents paramètres de sécurité
Chaque nouvelle poignée de main crée une nouvelle session, et les paramètres utilisés dans l'une peuvent différer considérablement d'une autre en fonction de la suite de chiffrement choisie. C'est l'une des raisons pour lesquelles il existe tant d'itérations différentes de ce sacré tableau de poignée de main, et pourquoi nous donnons ici un aperçu assez large. Sachez également que les sessions peuvent définir des paramètres qui ne correspondent peut-être pas exactement à vos attentes. Selon la suite de chiffrement, certaines étapes peuvent être ajoutée (comme l'exigence d'une authentification bidirectionnelle) ou absent. En fait, il existe en fait des suites de chiffrement qui négocient une session à utiliser aucun cryptage que ce soit. (Oui, nous le savons, une connexion HTTPS sur le port 443 qui décide d'envoyer des données en clair n'a pas non plus de sens pour nous. SSL.com vous recommande fortement pas faites ceci - sachez simplement que c'est dans le domaine du possible.)
Nous espérons que ces informations vous aideront à comprendre TLS processus de poignée de main. Faites-nous savoir si vous avez des questions ou des commentaires. N'oubliez pas que SSL.com pense qu'un Internet plus sûr est un meilleur Internet. »
