SSL (Secure Sockets Layer) og dens etterfølger, TLS (Transportlagsikkerhet), er protokoller for å etablere autentiserte og krypterte lenker mellom datamaskiner i nettverk. Selv om SSL-protokollen ble avviklet med utgivelsen av TLS 1.0 i 1999, er det fortsatt vanlig å referere til disse relaterte teknologiene som “SSL” eller “SSL /TLS. ” Den nyeste versjonen er TLS 1.3, definert i RFC 8446 (August xnumx).
Les videre for å finne ut mer om:
- Ofte stilte spørsmål om SSL /TLS
- Nøkler, sertifikater og håndtrykk
- SSL /TLS og sikker nettlesing
- Få en SSL /TLS Sertifikat
Eller, for en rask TL; DR-introduksjon til SSL, er det bare å hoppe fremover for å se en kort video.
Ofte Stilte Spørsmål
SSL (Secure Sockets Layer) og dens etterfølger, TLS (Transportlagsikkerhet), er protokoller for å etablere autentiserte og krypterte lenker mellom datamaskiner i nettverk. Selv om SSL-protokollen ble avviklet med utgivelsen av TLS 1.0 i 1999, er det fortsatt vanlig å referere til disse relaterte teknologiene som “SSL” eller “SSL /TLS».
An SSL-sertifikat (også kjent som en TLS eller SSL /TLS sertifikat) er et digitalt dokument som binder identiteten til et nettsted til et kryptografisk nøkkelpar som består av en offentlig nøkkel og en privat nøkkel. Den offentlige nøkkelen, inkludert i sertifikatet, lar en nettleser initiere en kryptert kommunikasjonsøkt med en webserver via TLS og HTTPS protokoller. Den private nøkkelen holdes sikker på serveren, og brukes til å signere websider og andre dokumenter (for eksempel bilder og JavaScript-filer) digitalt.
Et SSL-sertifikat inkluderer også identifiserende informasjon om et nettsted, inkludert domenenavn og eventuelt identifiserende informasjon om nettstedets eier. Hvis webserverens SSL-sertifikat er signert av en offentlig klarert sertifikatmyndighet (CA), som SSL.com, vil digitalt signert innhold fra serveren være klarert av sluttbrukernes nettlesere og operativsystemer som autentiske.
Et SSL-sertifikat er en type X.509 sertifikat.
TLS (Transportlagsikkerhet), utgitt i 1999, er etterfølgeren til SSL (Secure Sockets Layer) protokoll for autentisering og kryptering. TLS 1.3 er definert i in RFC 8446 (August xnumx).
På en gang var det et obligatorisk krav å ha en dedikert IP for hvert SSL-sertifikat på en webserver. Dette er ikke lenger tilfelle på grunn av en teknologi som heter Server Name Indication (SNI). Hostingplattformen din må spesifikt støtte SNI. Du kan finne ut mer informasjon om SNI i dette SSL.com-artikkel.
For maksimal kompatibilitet, port 443 er standard, og dermed anbefalt, port brukt for sikret SSL /TLS kommunikasjon. Imidlertid kan hvilken som helst port brukes.
TLS 1.3, definert i august 2018 av RFC 8446, er den siste versjonen av SSL /TLS. TLS 1.2 (RFC 5246) ble definert i august 2008 og er også fortsatt i vidt bruk. Versjoner av SSL /TLS før TLS 1.2 anses som usikre og skal ikke lenger brukes.
TLS versjoner 1.0 og 1.1 er berørt av et stort antall protokoll- og implementeringssårbarheter som har blitt publisert av sikkerhetsforskere de siste to tiårene. Angrep som ROBOT påvirket RSA nøkkelutvekslingsalgoritme, mens logjam og Svak DH viste at mange TLS servere kan bli lurt til å bruke feil parametre for andre viktige utvekslingsmetoder. Å kompromittere en nøkkelutveksling lar angripere fullstendig kompromittere nettverkssikkerhet og dekryptere samtaler.
Angrep på symmetriske chiffer, som BEAST or Lucky13, har demonstrert at forskjellige chifferene støttet i TLS 1.2 og tidligere, med eksempler inkludert RC4 or CBC-modus chiffer, er ikke sikre.
Til og med underskrifter ble påvirket, med Bleichenbachers RSA signaturforfalskning angrep og andre lignende polstringangrep.
De fleste av disse angrepene er blitt redusert TLS 1.2 (forutsatt at TLS forekomster er konfigurert riktig), selv om TLS 1.2 er fremdeles sårbar for nedgradere angrep, Eksempel POODLE, FREAKeller CurveSwap. Dette skyldes det faktum at alle versjoner av TLS protokoll før 1.3 beskytter ikke håndtrykkforhandlingene (som bestemmer protokollversjonen som skal brukes under utvekslingen).
Nøkler, sertifikater og håndtrykk
SSL /TLS fungerer ved å binde identiteter til enheter som nettsteder og selskaper til kryptografisk nøkkelpar via digitale dokumenter kjent som X.509 sertifikater. Hvert nøkkelpar består av en privat nøkkel og en offentlig nøkkel. Den private nøkkelen holdes sikker, og den offentlige nøkkelen kan distribueres vidt via et sertifikat.
Det spesielle matematiske forholdet mellom private og offentlige nøkler i et par betyr at det er mulig å bruke den offentlige nøkkelen til å kryptere en melding som bare kan dekrypteres med den private nøkkelen. Videre kan innehaveren av den private nøkkelen bruke den til undertegne andre digitale dokumenter (for eksempel websider), og alle med den offentlige nøkkelen kan bekrefte denne signaturen.
Hvis SSL /TLS selve sertifikatet er signert av en offentlig pålitelig sertifikatmyndighet (CA), Eksempel SSL.com, vil sertifikatet være implisitt klarert av klientprogramvare som nettlesere og operativsystemer. Offentlige klarerte CAer har blitt godkjent av store programvareleverandører for å validere identiteter som vil være klarerte på deres plattformer. En offentlig CAs validering og sertifikatutstedelsesprosedyrer er underlagt regelmessige, strenge revisjoner for å opprettholde denne pålitelige statusen.
Via SSL /TLS håndtrykk, kan de private og offentlige nøklene brukes med et offentlig klarert sertifikat for å forhandle frem en kryptert og autentisert kommunikasjonsøkt over internett, selv mellom to parter som aldri har møttes. Dette enkle faktum er grunnlaget for sikker nettlesing og elektronisk handel som det er kjent i dag.
SSL /TLS og sikker nettlesing
Den vanligste og mest kjente bruken av SSL /TLS er sikker nettlesing via HTTPS protokoll. Et riktig konfigurert offentlig HTTPS-nettsted inkluderer en SSL /TLS sertifikat som er signert av en offentlig betrodd CA. Brukere som besøker et HTTPS nettsted kan være sikre på:
- Autentisitet. Serveren som presenterer sertifikatet er i besittelse av den private nøkkelen som samsvarer med den offentlige nøkkelen i sertifikatet.
- Integritet. dokumenter signert av sertifikatet (f.eks. nettsider) har ikke blitt endret i transitt av a Mannen i midten.
- Kryptering. Kommunikasjonen mellom klienten og serveren er kryptert.
På grunn av disse egenskapene, er SSL /TLS og HTTPS tillater brukere å overføre konfidensiell informasjon som kredittkortnummer, personnummer og innloggingsinformasjon på internett på en sikker måte, og være sikker på at nettstedet de sender dem til er autentisk. Med et usikkert HTTP-nettsted blir disse dataene sendt som ren tekst, lett tilgjengelig for enhver avlytters med tilgang til datastrømmen. Videre har brukere av disse ubeskyttede nettstedene ingen pålitelige tredjeparts forsikringer om at nettstedet de besøker er det det påstår å være.
Se etter følgende indikatorer i nettleserens adressefelt for å være sikker på at et nettsted du besøker er beskyttet med en pålitelig SSL /TLS sertifikat (skjermdump fra Firefox 70.0 på macOS):
- Et lukket hengelåsikon til venstre for URLen. Avhengig av nettleseren din og typen sertifikat nettstedet har installert, kan hengelåsen være grønn og / eller ledsaget av identifiserende informasjon om selskapet som driver det.
- Hvis vist, skal protokollen på begynnelsen av nettadressen være
https://, Ikkehttp://. Merk at ikke alle nettlesere viser protokollen.
Moderne stasjonære nettlesere varsler også besøkende om usikre nettsteder som ikke har SSL /TLS sertifikat. Skjermdumpen nedenfor er av et usikkert nettsted vist i Firefox, og viser en krysset hengelås til venstre for URLen:
Få en SSL /TLS Sertifikat
Klar til å sikre ditt eget nettsted? Den grunnleggende prosedyren for å be om en offentlig pålitelig SSL /TLS nettstedets sertifikat er som følger:
- Personen eller organisasjonen som ber om sertifikatet genererer et par offentlige og private nøkler, helst på serveren som skal beskyttes.
- Den offentlige nøkkelen, sammen med domenenavn (er) som skal beskyttes og (for OV- og EV-sertifikater) organisasjonsinformasjon om selskapet som ber om sertifikatet, brukes til å generere en sertifikatsigneringsforespørsel (CSR).
- Vær snill å se denne vanlige spørsmål for instruksjoner om generering av et tastatur og CSR på mange serverplattformer.
- De CSR blir sendt til et offentlig pålitelig CA (for eksempel SSL.com). CA bekrefter informasjonen i CSR og genererer et signert sertifikat som kan installeres på rekvirentens webserver.
- For instruksjoner om bestilling av SSL /TLS sertifikater fra SSL.com, se hvordan du gjør det.
SSL /TLS sertifikater varierer avhengig av valideringsmetodene som brukes og tillitsnivået de gir, med utvidet validering (EV) som tilbyr det høyeste nivået av tillit. For informasjon om forskjellene mellom de viktigste valideringsmetodene (DV, OV og EV), se artikkelen vår, DV-, OV- og EV-sertifikater.
