SSL (Secure Sockets Layer) és utódja, TLS (Közlekedési réteg biztonsága), protokollok a hálózati számítógépek közötti hitelesített és titkosított kapcsolatok létrehozására. Bár az SSL protokoll elavult a TLS Az 1.0-es 1999 verzióban még mindig gyakran használják ezeket a kapcsolódó technológiákat „SSL” vagy „SSL /TLS. ” A legfrissebb verzió az TLS 1.3, meghatározva RFC 8446 (2018 augusztus).
Olvassa tovább, hogy többet megtudjon a következőkről:
- Gyakran feltett kérdések az SSL-ről /TLS
- Kulcsok, igazolások és kézfogások
- SSL /TLS és biztonságos böngészés
- SSL megszerzése /TLS Bizonyítvány
Vagy egy gyors TL; DR bevezetéshez az SSL-hez csak ugorjon előre és nézzen meg egy rövidet videó.
Gyakran ismételt kérdések
SSL (Secure Sockets Layer) és utódja, TLS (Közlekedési réteg biztonsága), protokollok a hálózati számítógépek közötti hitelesített és titkosított kapcsolatok létrehozására. Bár az SSL protokoll elavult a TLS Az 1.0-es 1999 verzióban még mindig gyakran használják ezeket a kapcsolódó technológiákat „SSL” vagy „SSL /TLS. "
An SSL tanúsítvány (más néven a TLS vagy SSL /TLS tanúsítvány) egy digitális dokumentum, amely egy webhely identitását egy nyilvános és egy magánkulcsból álló kriptográfiai kulcspárhoz köti. A tanúsítványba foglalt nyilvános kulcs lehetővé teszi a webböngésző számára kezdeményez egy titkosított kommunikációs munkamenet egy webkiszolgálóval a TLS és a HTTPS protokollok. A magánkulcsot biztonságban tartják a szerveren, és weboldalak és egyéb dokumentumok (például képek és JavaScript fájlok) digitális aláírására használják.
Az SSL-tanúsítvány tartalmaz egy webhely azonosító adatait is, beleértve annak domain nevét, és opcionálisan a webhely tulajdonosával kapcsolatos információkat is. Ha a webkiszolgáló SSL tanúsítványát nyilvánosan megbízható tanúsító hatóság (CA) írja alá, például SSL.com, a szerverről digitálisan aláírt tartalmat a végfelhasználók böngészői és operációs rendszerei hitelesnek fogják bízni.
Az SSL tanúsítvány egy típusa X.509 tanúsítvány.
TLS (Közlekedési réteg biztonsága), 1999-ben megjelent, a SSL (Secure Sockets Layer) protokoll a hitelesítéshez és a titkosításhoz. TLS Az 1.3 meghatározása a RFC 8446 (2018 augusztus).
Egy időben kötelező követelmény volt, hogy minden egyes SSL-tanúsítványhoz dedikált IP-címmel rendelkezzen egy webkiszolgálón. A kiszolgálónév-jelzés (SNI) nevű technológia miatt ez már nem így van. A tárhely platformjának kifejezetten támogatnia kell az SNI-t. Ebben további információt találhat az SNI-ről SSL.com cikk.
A maximális kompatibilitás érdekében port 443 a szabványos, ezért ajánlott port a biztonságos SSL /TLS kommunikációt. Bármelyik port használható.
TLS 1.3., Amelyet 2018. augusztusban határozott meg RFC 8446, az SSL legújabb verziója /TLS. TLS 1.2 (RFC 5246) 2008 augusztusában határozták meg, és továbbra is széles körben használják. Az SSL verziói /TLS előtt TLS Az 1.2 nem biztonságosnak tekinthető, ezért azokat már nem szabad használni.
TLS Az 1.0 és az 1.1 verziót számos protokoll és megvalósítási sérülékenység érinti, amelyeket a biztonsági kutatók az utóbbi két évtizedben közzétettek. Támad, mint ROBOT befolyásolta az RSA kulcscsere algoritmust, míg Szálfatorlódás folyón és a GyengeDH megmutatta, hogy sokan TLS A kiszolgálókat becsaphatják a helytelen paraméterek használatába más kulcscsere-módszereknél. A kulcscsere kompromittálása lehetővé teszi a támadók számára, hogy teljes mértékben veszélyeztessék a hálózati biztonságot és visszafejtsék a beszélgetéseket.
Támadások a szimmetrikus rejtjelekhez, például VADÁLLAT or Lucky13, bebizonyították, hogy a különböző rejtjelek támogatottak TLS 1.2 és korábbi, példákkal együtt RC4 or CBC-üzemmód rejtjelek, nem biztonságosak.
Még az aláírásokat is érintette, a Bleichenbacher RSA aláírás-hamisítása támadás és más hasonló párnázási támadások.
E támadások többségét enyhítették TLS 1.2 (feltéve, hogy TLS példányok helyesen vannak konfigurálva), bár TLS Az 1.2 továbbra is veszélyeztetett downgrade támadások, Mint például a USZKÁR, FREAKvagy CurveSwap. Ennek oka az a tény, hogy a TLS Az 1.3-nál korábbi protokoll nem védi a kézfogás-tárgyalásokat (ez határozza meg a csere során használt protokollverziót).
Kulcsok, igazolások és kézfogások
SSL /TLS úgy működik, hogy a kriptográfiai adatokhoz köti az olyan szervezetek azonosítását, mint például a webhelyek és a vállalatok kulcspárok digitális dokumentumokon keresztül X.509 tanúsítványok. Minden kulcspár egyből áll magánkulcs és egy nyilvános kulcs. A privát kulcs biztonságban van, és a nyilvános kulcs széles körben terjeszthető egy tanúsítvánnyal.
A magán- és a nyilvános kulcsok közötti speciális matematikai kapcsolat egy párban azt jelenti, hogy a nyilvános kulcsot olyan üzenet titkosításához lehet használni, amelyet csak a privát kulcsmal lehet visszafejteni. Ezenkívül a magánkulcs birtokosa felhasználhatja <p></p> más digitális dokumentumok (például weboldalak), és bárki, aki rendelkezik a nyilvános kulcsmal, ellenőrizheti ezt az aláírást.
Ha az SSL /TLS maga a tanúsítványt egy a nyilvánosan megbízható tanúsító hatóság (CA), Mint például a SSL.com, a tanúsítványt hallgatólagosan megbízzák az ügyfélszoftverek, például a böngészők és az operációs rendszerek. A nyilvánosan megbízható hitelesítésszolgáltatókat a nagy szoftver-beszállítók jóváhagyták, hogy ellenőrizzék a platformjaikban megbízható azonosságokat. A megbízható státusz fenntartása érdekében a nyilvános CA érvényesítési és tanúsítvány-kibocsátási eljárásait rendszeresen, szigorúan ellenőrzik.
A SSL /TLS kézfogás, a magán- és nyilvános kulcsok egy nyilvános megbízható tanúsítvánnyal használhatók titkosított és hitelesített kommunikációs munkamenet megbeszélésére az interneten keresztül, még két olyan fél között, akik még soha nem találkoztak. Ez az egyszerű tény a biztonságos internetes böngészés és az elektronikus kereskedelem alapja, ahogy ma ismert.
SSL /TLS és biztonságos böngészés
Az SSL leggyakoribb és legismertebb használataTLS biztonságos böngészés a HTTPS jegyzőkönyv. Egy megfelelően konfigurált nyilvános HTTPS webhely tartalmaz SSL /TLS egy nyilvánosan megbízható CA által aláírt tanúsítvány. A HTTPS webhelyet látogató felhasználók biztosak lehetnek a következőkben:
- Hitelesség. A tanúsítványt bemutató szerver rendelkezik a magánkulccsal, amely megegyezik a tanúsítványban szereplő nyilvános kulcsmal.
- Integritását. dokumentumok aláírt a tanúsítvánnyal (pl. weboldalak) nem változtak meg tranzitban a közbeékelődéses.
- Titkosítás. A kliens és a szerver közötti kommunikáció titkosítva van.
Ezen tulajdonságok miatt az SSL /TLS A HTTPS és a HTTPS lehetővé teszi a felhasználók számára, hogy biztonságosan továbbítsák a bizalmas információkat, például a hitelkártya-számokat, a társadalombiztosítási számokat és a bejelentkezési hitelesítő adatokat az interneten keresztül, és győződjenek meg arról, hogy az általuk elküldött webhely hiteles. Nem biztonságos HTTP webhely esetén ezeket az adatokat sima szövegként küldik el, amely minden adatgyűjtő számára könnyen elérhető. Ezen túlmenően, a nem védett webhelyek felhasználói nem bíznak abban, hogy harmadik fél garantálják, hogy az általuk látogatott webhely az, amire állítják.
Keresse meg a következő mutatókat a böngésző címsorában, hogy megbizonyosodjon arról, hogy a felkeresett webhelyet megbízható SSL védi /TLS igazolás (screenshot a Firefox 70.0-tól MacOS-on):
- Zárt lakat ikon az URL bal oldalán. Az Ön böngészőjétől és a webhely által telepített tanúsítvány típusától függően a lakatok lehetnek zöldek és / vagy azonosító információkat tartalmazhatnak az azt üzemeltető cégről.
- Ha látható, akkor az URL elején lévő protokollnak meg kell egyeznie
https://és nemhttp://. Vegye figyelembe, hogy nem minden böngésző jeleníti meg a protokollt.
A modern asztali böngészők figyelmeztetik a látogatókat olyan nem biztonságos webhelyekre is, amelyek nem rendelkeznek SSL /TLS bizonyítvány. Az alábbi képernyőkép egy nem biztonságos webhelyről, amelyet a Firefoxban néztek meg, és áthúzott lakatot mutat az URL bal oldalán:
SSL megszerzése /TLS Bizonyítvány
Készen áll a saját webhelyének biztonságára? A nyilvánosan megbízható SSL kérésének alapvető eljárása /TLS a webhely tanúsítványa a következő:
- A tanúsítványt kérő személy vagy szervezet pár nyilvános és magánkulcsot generál, lehetőleg a védendő kiszolgálón.
- A nyilvános kulcsot a védendő domain név (nevekkel) és (az OV és EV tanúsítványok esetében) a tanúsítványt igénylő vállalattal kapcsolatos szervezeti információkkal kell létrehozni egy igazolás aláírási igény (CSR).
- További részleteket az ez a GYIK a kulcspáros létrehozására vonatkozó utasításokat és CSR sok szerver platformon.
- A CSR egy nyilvánosan megbízható hitelesítésszolgáltatóhoz (például SSL.com) kerül elküldésre. A CA ellenőrzi a CSR és létrehoz egy aláírt tanúsítványt, amely telepíthető az igénylő webszerverére.
- Az SSL /TLS az SSL.com tanúsítványait, kérjük, lásd ez a hogyan.
SSL /TLS a tanúsítványok az alkalmazott hitelesítési módszerektől és az általuk biztosított bizalom szintjétől függnek, kiterjesztett validációval (EV), amely a legmagasabb szintű bizalmat kínálja. A fő érvényesítési módszerek (DV, OV és EV) különbségeiről bővebben a cikkben olvashat, DV, OV és EV tanúsítványok.
