Hva er en SSL /TLS Håndtrykk?
An SSL /TLS håndtrykk er en forhandling mellom to parter i et nettverk - for eksempel en nettleser og webserver - for å fastslå detaljene i forbindelsen. Den bestemmer hvilken versjon av SSL /TLS vil bli brukt i økten, hvilken krypteringspakke som vil kryptere kommunikasjon, verifiserer serveren (og noen ganger også kunde), og fastslår at en sikker forbindelse er på plass før dataoverføring.
Alt dette skjer i bakgrunnen, heldigvis - hver gang du retter nettleseren din til et sikkert nettsted, skjer det en kompleks interaksjon for å sikre at dataene dine er trygge.
Det er den enkle versjonen. Du vil kanskje legge merke til at noen dusin beskrivelser vil hugge mer eller mindre til dette formatet, mens de varierer i detalj et dusin forskjellige måter - noen ganger forvirrende. La oss kaste et diagram som viser en bred modell av hvordan en TLS håndtrykk fungerer, skal vi?
Obligatorisk SSL /TLS Grafikk for håndtrykk
Alt SSL /TLS-relaterte nettsteder har sin egen versjon av et håndtrykkdiagram - her er vårt! (Klikk for å forenkle.)
La oss fjerne litt forvirring, hvis vi kan
Noe forvirring om hvordan SSL /TLS håndtrykk arbeid skyldes at håndtrykk bare er forspill til selve den sikrede økten. La oss prøve å ta opp noen vanlige punkter:
Asymmetrisk vs symmetrisk kryptering
Selve håndtrykkene bruker asymmetrisk kryptering - to separate nøkler brukes, en offentlig og en privat. Siden asymmetriske krypteringssystemer har mye høyere overhead, er de ikke brukbare for å gi heltid, ekte sikkerhet. Dermed brukes den offentlige nøkkelen til kryptering og den private nøkkelen for dekryptering bare under håndtrykk, som gjør det mulig for de to partene å konfidensielt sette opp og utveksle en nyopprettet "delt nøkkel". Økten bruker denne enkeltdelte nøkkelen til å utføre symmetrisk kryptering, og det er dette som gjør en sikker tilkobling gjennomførbar i praksis (overhead er langt lavere). Så det fulle og riktige svaret på “Er SSL /TLS kryptering asymmetrisk eller symmetrisk? ” is "Først den ene, så den andre."
Hva er en "cipher suite"?
Selve håndtrykkene har flere etapper, som hver administreres etter forskjellige regler. Detaljene finner du her., men nøtten til det er at snarere enn en serie separate frem og tilbake forhandlinger (om hvilke nøkler som skal brukes, hvordan man krypterer håndtrykket i seg selv, hvordan man autentiserer håndtrykket og så videre) partene kan bli enige om å bruke et “Krypteringssuite” - et eksisterende utvalg eller sett med avtalte komponenter. (Husk at asymmetrisk kryptering er kostbar tids- og ressursmessig - ved å bruke krypteringssuiten som en snarvei, økes selve håndtrykket.) TLS spesifikasjoner gir mulighet for ganske antall chiffer-suiter, og klienten og serveren vil nesten alltid ha tilgang til en de begge kan ansette.
Grunnleggende vs gjensidig autentisert håndtrykk
Et annet forvirrende poeng er at den grunnleggende modellen vi beskrev ovenfor lar klienten verifisere serveren, og de aller fleste økter sikret av TLS bare krever dette. Noen chiffer-suiter vil imidlertid kreve at klienten gjør det også sende et sertifikat og en offentlig nøkkel for gjensidig godkjenning av begge parter. Dette toveis autentisering vil selvfølgelig legge overhånd til håndtrykket - men i noen tilfeller (for eksempel hvor to banker forhandler om en sikker forbindelse for fondoverføringer) vil krypteringssuiten insistere på det, og den ekstra sikkerheten anses å være verdt det.
Ulike økter vil ha forskjellige sikkerhetsparametere
Hvert nye håndtrykk skaper en ny økt, og innstillingene som brukes i en kan avvike drastisk fra en annen, avhengig av valgt krypteringspakke. Dette er blant årsakene til at det finnes så mange forskjellige gjentakelser av det skjulte håndtrykkskartet, og hvorfor vi gir en ganske bred oversikt her. Vet også at økter kan angi parametere som kanskje ikke er akkurat det du forventer. Avhengig av krypteringssuiten, kan noen trinn være la til (som kravet om toveis autentisering) eller fraværende. Faktisk er det faktisk chiffer-suiter som forhandler om en økt å bruke ingen kryptering overhodet. (Ja, vi vet, en HTTPS-forbindelse over port 443 som bestemmer seg for å sende data i det klare, gir ingen mening for oss heller. SSL.com anbefaler deg på det sterkeste ikke gjør dette - bare vær oppmerksom på at det er i det mulige.)
Vi håper denne informasjonen hjelper deg med å forstå TLS håndtrykk prosess. Gi oss beskjed hvis du har spørsmål eller kommentarer - husk at SSL.com mener at et tryggere internett er et bedre internett. "
