Cos'è un SSL /TLS Stretta di mano?
An SSL /TLS stretta di mano è una negoziazione tra due parti su una rete, ad esempio un browser e un server web, per stabilire i dettagli della loro connessione. Determina quale versione di SSL /TLS verrà utilizzato nella sessione, quale suite di cifratura crittograferà la comunicazione, verifica il server (e talvolta anche il file cliente) e stabilisce che sia attiva una connessione sicura prima del trasferimento dei dati.
Tutto questo avviene in background, per fortuna: ogni volta che indirizzi il tuo browser a un sito protetto, si verifica un'interazione complessa per assicurarti che i tuoi dati siano al sicuro.
Questa è la versione semplice. Potresti notare che una dozzina di descrizioni si adatteranno più o meno a questo formato, mentre differiscono nei dettagli in una dozzina di modi diversi, a volte in modo confuso. Facciamo un grafico che mostra un ampio modello di come a TLS la stretta di mano funziona, vero?
SSL obbligatorio /TLS Stretta di mano grafica
Tutti SSL /TLSi siti correlati hanno la propria versione di un diagramma di stretta di mano: ecco la nostra! (Fare clic per enbiggen.)
Chiariamo un po 'di confusione, se possiamo
Un po 'di confusione su come SSL /TLS il lavoro delle strette di mano è dovuto al fatto che la stretta di mano è solo la preludio alla sessione effettiva e protetta stessa. Proviamo ad affrontare alcuni punti comuni:
Crittografia asimmetrica vs simmetrica
La stretta di mano stessa utilizza crittografia asimmetrica - vengono utilizzate due chiavi separate, una pubblica e una privata. Poiché i sistemi di crittografia asimmetrica hanno un sovraccarico molto più elevato, non sono utilizzabili per fornire sicurezza a tempo pieno e reale. Pertanto, la chiave pubblica viene utilizzata per la crittografia e la chiave privata per la decrittografia solo durante l'handshake, il che consente alle due parti di impostare e scambiare in modo confidenziale una "chiave condivisa" appena creata. La sessione stessa utilizza questa singola chiave condivisa per eseguire crittografia simmetrica, e questo è ciò che rende possibile una connessione sicura nella pratica (il sovraccarico è molto più basso). Quindi la risposta completa e corretta a "È SSL /TLS crittografia asimmetrica o simmetrica? " is "Prima uno, poi l'altro."
Che cos'è una "suite di crittografia"?
La stretta di mano stessa ha più fasi, ognuna gestita secondo regole diverse. I dettagli possono essere trovati qui, ma il nocciolo della questione è che invece di una serie di negoziazioni separate avanti e indietro (su quali chiavi usare, come crittografare la stretta di mano stessa, come autenticare la stretta di mano e così via) le parti possono accettare di utilizzare un "Cipher suite" - una selezione o kit preesistente di componenti concordati. (Ricorda che la crittografia asimmetrica è costosa in termini di tempo e risorse: utilizzare la suite di crittografia come scorciatoia accelera la stretta di mano stessa.) TLS le specifiche consentono abbastanza a numero di suite di crittografiae il client e il server avranno quasi sempre accesso a uno che entrambi possono impiegare.
Stretta di mano di base vs reciprocamente autenticata
Un altro punto confuso è che il modello di base sopra descritto consente al client di verificare il server e la maggior parte delle sessioni protette da TLS richiede solo questo. Tuttavia, alcune suite di crittografia richiederanno il client anche inviare un certificato e una chiave pubblica per l'autenticazione reciproca di entrambe le parti. Questo autenticazione a due vie ovviamente aggiungerà un sovraccarico alla stretta di mano - tuttavia, in alcuni casi (ad esempio, dove due banche stanno negoziando una connessione sicura per i trasferimenti di fondi) la suite di cifratura insisterà su di essa e la sicurezza extra sarà ritenuta utile.
Sessioni diverse avranno parametri di sicurezza diversi
Ogni nuova stretta di mano crea una nuova sessione e le impostazioni utilizzate in una possono differire drasticamente da un'altra a seconda della suite di cifratura scelta. Questo è uno dei motivi per cui esistono così tante diverse iterazioni di quel dannato grafico della stretta di mano, e perché qui stiamo dando una panoramica abbastanza ampia. Sappi anche che le sessioni possono impostare parametri che potrebbero non essere esattamente quelli che ti aspetti. A seconda della suite di crittografia, alcuni passaggi potrebbero essere aggiunto (come il requisito per l'autenticazione a due vie) o assente. In realtà, ci sono in realtà suite di crittografia che negoziano una sessione da utilizzare nessuna crittografia di sorta. (Sì, lo sappiamo, una connessione HTTPS sulla porta 443 che decide di inviare dati in chiaro non ha senso neanche per noi. SSL.com ti consiglia vivamente non fallo - sii consapevole che è nel regno del possibile.)
Speriamo che queste informazioni ti aiutino a capire TLS processo di stretta di mano. Facci sapere se hai domande o commenti: ricorda, SSL.com crede che un Internet più sicuro sia un Internet migliore ".
