SSL (Secure Sockets Layer) และผู้สืบทอด TLS (ความปลอดภัยเลเยอร์การขนส่ง)เป็นโปรโตคอลสำหรับการสร้างการเชื่อมโยงที่พิสูจน์ตัวตนและเข้ารหัสระหว่างคอมพิวเตอร์เครือข่าย แม้ว่าโปรโตคอล SSL จะเลิกใช้งานด้วยการเปิดตัว TLS 1.0 ในปี 1999 ยังคงเป็นเรื่องปกติที่จะอ้างถึงเทคโนโลยีที่เกี่ยวข้องเหล่านี้ว่า“ SSL” หรือ“ SSL /TLS.” เวอร์ชันล่าสุดคือ TLS 1.3กำหนดไว้ใน RFC 8446 (สิงหาคม 2018)
อ่านต่อเพื่อหาข้อมูลเพิ่มเติมเกี่ยวกับ:
- คำถามที่พบบ่อยเกี่ยวกับ SSL /TLS
- กุญแจใบรับรองและการจับมือกัน
- SSL /TLS และท่องเว็บอย่างปลอดภัย
- การขอรับ SSL /TLS ใบรับรอง
หรือสำหรับ TL ที่รวดเร็ว; DR แนะนำให้รู้จักกับ SSL เพียงกระโดดไปข้างหน้าเพื่อดูสั้น ๆ วีดีโอ.
คำถามที่พบบ่อย
SSL (Secure Sockets Layer) และผู้สืบทอด TLS (ความปลอดภัยเลเยอร์การขนส่ง)เป็นโปรโตคอลสำหรับการสร้างการเชื่อมโยงที่พิสูจน์ตัวตนและเข้ารหัสระหว่างคอมพิวเตอร์เครือข่าย แม้ว่าโปรโตคอล SSL จะเลิกใช้งานด้วยการเปิดตัว TLS 1.0 ในปี 1999 ยังคงเป็นเรื่องปกติที่จะอ้างถึงเทคโนโลยีที่เกี่ยวข้องเหล่านี้ว่า“ SSL” หรือ“ SSL /TLS".
An ใบรับรอง SSL (หรือเรียกอีกอย่างว่า TLS หรือ SSL /TLS certificate) เป็นเอกสารดิจิทัลที่ผูกข้อมูลประจำตัวของเว็บไซต์กับคู่คีย์การเข้ารหัสซึ่งประกอบด้วยคีย์สาธารณะและคีย์ส่วนตัว คีย์สาธารณะที่รวมอยู่ในใบรับรองช่วยให้เว็บเบราว์เซอร์สามารถ เริ่มต้น เซสชันการสื่อสารที่เข้ารหัสกับเว็บเซิร์ฟเวอร์ผ่านไฟล์ TLS และ HTTPS โปรโตคอล คีย์ส่วนตัวจะถูกเก็บไว้อย่างปลอดภัยบนเซิร์ฟเวอร์และใช้เพื่อเซ็นชื่อแบบดิจิทัลหน้าเว็บและเอกสารอื่น ๆ (เช่นรูปภาพและไฟล์ JavaScript)
ใบรับรอง SSL ยังรวมถึงการระบุข้อมูลเกี่ยวกับเว็บไซต์รวมถึงชื่อโดเมนและระบุข้อมูลเกี่ยวกับเจ้าของไซต์อีกทางเลือกหนึ่ง หากใบรับรอง SSL ของเว็บเซิร์ฟเวอร์ลงนามโดยผู้ออกใบรับรอง (CA) ที่เชื่อถือได้แบบสาธารณะเช่น SSL.comเนื้อหาที่เซ็นชื่อแบบดิจิทัลจากเซิร์ฟเวอร์จะได้รับความไว้วางใจจากเว็บเบราว์เซอร์และระบบปฏิบัติการของผู้ใช้ปลายทางว่าเป็นของจริง
ใบรับรอง SSL คือประเภทของ ใบรับรอง X.509.
TLS (ความปลอดภัยเลเยอร์การขนส่ง)ซึ่งเปิดตัวในปี 1999 เป็นรุ่นต่อจาก SSL (Secure Sockets Layer) โปรโตคอลสำหรับการพิสูจน์ตัวตนและการเข้ารหัส TLS 1.3 ถูกกำหนดไว้ใน RFC 8446 (สิงหาคม 2018)
ในครั้งเดียวมันเป็นข้อกำหนดที่จำเป็นในการมี IP เฉพาะสำหรับใบรับรอง SSL แต่ละรายการบนเว็บเซิร์ฟเวอร์ นี่ไม่ใช่กรณีอีกต่อไปเนื่องจากเทคโนโลยีที่เรียกว่า Server Name Indication (SNI) แพลตฟอร์มโฮสติ้งของคุณจะต้องรองรับ SNI เป็นพิเศษ คุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ SNI ได้ในเรื่องนี้ บทความ SSL.com.
เพื่อความเข้ากันได้สูงสุดพอร์ต 443 เป็นมาตรฐานแนะนำดังนั้นพอร์ตที่ใช้สำหรับ SSL / ที่ปลอดภัยTLS คมนาคม อย่างไรก็ตามสามารถใช้พอร์ตใดก็ได้
TLS 1.3 กำหนดในเดือนสิงหาคม 2018 โดย RFC 8446เป็น SSL / เวอร์ชันล่าสุดTLS. TLS 1.2 (RFC 5246) ได้กำหนดไว้ในเดือนสิงหาคม 2008 และยังคงใช้งานได้อย่างกว้างขวาง เวอร์ชันของ SSL /TLS ก่อนที่จะ TLS 1.2 ถือว่าไม่ปลอดภัยและไม่ควรใช้อีกต่อไป
TLS รุ่น 1.0 และ 1.1 ได้รับผลกระทบจากโปรโตคอลจำนวนมากและช่องโหว่ในการติดตั้งที่เผยแพร่โดยนักวิจัยด้านความปลอดภัยในช่วงสองทศวรรษที่ผ่านมา การโจมตีที่ชอบ หุ่นยนต์ ส่งผลกระทบต่ออัลกอริทึมการแลกเปลี่ยนคีย์ RSA ในขณะที่ logjam และ อ่อนแอ แสดงให้เห็นว่าหลายคน TLS เซิร์ฟเวอร์อาจถูกหลอกให้ใช้พารามิเตอร์ที่ไม่ถูกต้องสำหรับวิธีการแลกเปลี่ยนคีย์อื่น ๆ การประนีประนอมการแลกเปลี่ยนกุญแจช่วยให้ผู้โจมตีสามารถลดความปลอดภัยของเครือข่ายและถอดรหัสการสนทนาได้อย่างสมบูรณ์
การโจมตีที่ ciphers แบบสมมาตรเช่น BEAST or Lucky13แสดงให้เห็นว่ายันต์ต่างๆสนับสนุน TLS 1.2 และรุ่นก่อนหน้าพร้อมตัวอย่าง ได้แก่ RC4 or โหมด CBC ยันต์ไม่ปลอดภัย
แม้แต่ลายเซ็นก็ได้รับผลกระทบด้วย การปลอมแปลงลายเซ็น RSA ของ Bleichenbacher การโจมตีและการโจมตีที่คล้ายกันอื่น ๆ
การโจมตีส่วนใหญ่เหล่านี้ได้รับการบรรเทา TLS 1.2 (โดยมีเงื่อนไขว่า TLS อินสแตนซ์ถูกกำหนดค่าอย่างถูกต้อง) แม้ว่า TLS 1.2 ยังคงเสี่ยงต่อการ ลดระดับการโจมตีเช่น สุนัขพูเดล, FREAK,หรือ CurveSwap. นี่คือสาเหตุที่ความจริงที่ว่าทุกรุ่นของ TLS โปรโตคอลก่อนหน้า 1.3 ไม่ป้องกันการเจรจาจับมือกัน (ซึ่งตัดสินใจรุ่นโปรโตคอลที่จะใช้ตลอดการแลกเปลี่ยน)
กุญแจใบรับรองและการจับมือกัน
SSL /TLS ทำงานโดยเชื่อมโยงตัวตนของเอนทิตีเช่นเว็บไซต์และ บริษัท เข้ากับการเข้ารหัส คู่กุญแจ ผ่านเอกสารดิจิทัลที่เรียกว่า ใบรับรอง X.509. คู่กุญแจแต่ละคู่ประกอบด้วย กุญแจส่วนตัว และ คีย์สาธารณะ. รหัสส่วนตัวจะถูกเก็บรักษาความปลอดภัยและกุญแจสาธารณะสามารถกระจายอย่างกว้างขวางผ่านใบรับรอง
ความสัมพันธ์ทางคณิตศาสตร์พิเศษระหว่างคีย์ส่วนตัวและกุญแจสาธารณะในคู่หมายความว่าเป็นไปได้ที่จะใช้กุญแจสาธารณะเพื่อเข้ารหัสข้อความที่สามารถถอดรหัสด้วยกุญแจส่วนตัวเท่านั้น นอกจากนี้ผู้ถือกุญแจส่วนตัวสามารถใช้งานได้ ลงชื่อ เอกสารดิจิทัลอื่น ๆ (เช่นหน้าเว็บ) และทุกคนที่มีกุญแจสาธารณะสามารถยืนยันลายเซ็นนี้ได้
หาก SSL /TLS ใบรับรองตัวเองลงนามโดย ผู้ออกใบรับรองที่เชื่อถือได้แบบสาธารณะ (CA)เช่น SSL.comใบรับรองนี้จะได้รับความเชื่อถือโดยปริยายจากซอฟต์แวร์ไคลเอ็นต์เช่นเว็บเบราว์เซอร์และระบบปฏิบัติการ CA ที่เชื่อถือได้แบบสาธารณะได้รับการรับรองจากซัพพลายเออร์ซอฟต์แวร์รายใหญ่ให้ตรวจสอบตัวตนที่จะเชื่อถือได้บนแพลตฟอร์มของตน ขั้นตอนการตรวจสอบความถูกต้องของ CA สาธารณะและการออกใบรับรองอยู่ภายใต้การตรวจสอบที่เข้มงวดและเข้มงวดเพื่อรักษาสถานะที่เชื่อถือได้นี้
ผ่านทาง SSL /TLS การจับมือกันกุญแจส่วนตัวและกุญแจสาธารณะสามารถใช้กับใบรับรองที่เชื่อถือได้แบบสาธารณะเพื่อเจรจาเซสชันการสื่อสารที่เข้ารหัสและรับรองความถูกต้องผ่านอินเทอร์เน็ตแม้ระหว่างสองฝ่ายที่ไม่เคยพบกัน ความจริงง่ายๆนี้เป็นรากฐานของการท่องเว็บที่ปลอดภัยและการพาณิชย์อิเล็กทรอนิกส์ที่เป็นที่รู้จักกันในปัจจุบัน
SSL /TLS และท่องเว็บอย่างปลอดภัย
การใช้ SSL / ที่เป็นที่รู้จักมากที่สุดและเป็นที่รู้จักมากที่สุดTLS คือการท่องเว็บที่ปลอดภัยผ่านทาง HTTPS มาตรการ. เว็บไซต์ HTTPS สาธารณะที่กำหนดค่าอย่างเหมาะสมมี SSL /TLS ใบรับรองที่ลงนามโดย CA ที่เชื่อถือได้แบบสาธารณะ ผู้ใช้ที่เข้าชมเว็บไซต์ HTTPS สามารถมั่นใจได้ใน:
- ของแท้ เซิร์ฟเวอร์ที่แสดงใบรับรองอยู่ในความครอบครองของคีย์ส่วนตัวที่ตรงกับกุญแจสาธารณะในใบรับรอง
- ความสมบูรณ์ เอกสาร ลงนาม โดยใบรับรอง (เช่นหน้าเว็บ) ยังไม่ได้รับการเปลี่ยนแปลงในการขนส่งโดย คนที่อยู่ตรงกลาง.
- การเข้ารหัสลับ การสื่อสารระหว่างไคลเอนต์และเซิร์ฟเวอร์ถูกเข้ารหัส
เนื่องจากคุณสมบัติเหล่านี้ SSL /TLS และ HTTPS ช่วยให้ผู้ใช้สามารถส่งข้อมูลที่เป็นความลับได้อย่างปลอดภัยเช่นหมายเลขบัตรเครดิตหมายเลขประกันสังคมและข้อมูลรับรองการเข้าสู่ระบบผ่านทางอินเทอร์เน็ตและตรวจสอบให้แน่ใจว่าเว็บไซต์ที่พวกเขาส่งไปนั้นเป็นของแท้ ด้วยเว็บไซต์ HTTP ที่ไม่ปลอดภัยข้อมูลเหล่านี้จะถูกส่งเป็นข้อความธรรมดาพร้อมใช้งานสำหรับผู้ดักฟังที่สามารถเข้าถึงสตรีมข้อมูลได้ นอกจากนี้ผู้ใช้งานของเว็บไซต์ที่ไม่มีการป้องกันเหล่านี้ไม่มีการรับประกันของบุคคลที่สามที่เชื่อถือได้ว่าเว็บไซต์ที่พวกเขากำลังเยี่ยมชมเป็นสิ่งที่พวกเขาอ้างว่าเป็น
มองหาตัวบ่งชี้ต่อไปนี้ในแถบที่อยู่ของเบราว์เซอร์เพื่อให้แน่ใจว่าเว็บไซต์ที่คุณกำลังเยี่ยมชมได้รับการปกป้องด้วย SSL / ที่เชื่อถือได้TLS ใบรับรอง (ภาพหน้าจอจาก Firefox 70.0 บน macOS):
- ไอคอนรูปกุญแจปิดทางด้านซ้ายของ URL ขึ้นอยู่กับเบราว์เซอร์ของคุณและประเภทของใบรับรองที่ติดตั้งเว็บไซต์กุญแจอาจเป็นสีเขียวและ / หรือมาพร้อมกับการระบุข้อมูลเกี่ยวกับ บริษัท ที่ดำเนินการอยู่
- หากแสดงโปรโตคอลที่จุดเริ่มต้นของ URL ควรเป็น
https://ไม่http://. โปรดทราบว่าไม่ใช่ทุกเบราว์เซอร์ที่แสดงโปรโตคอล
เบราว์เซอร์เดสก์ท็อปสมัยใหม่ยังแจ้งเตือนผู้เยี่ยมชมเว็บไซต์ที่ไม่ปลอดภัยที่ไม่มี SSL /TLS ใบรับรอง ภาพหน้าจอด้านล่างเป็นเว็บไซต์ที่ไม่ปลอดภัยที่ดูใน Firefox และแสดงกุญแจล็อคที่ขีดฆ่าทางด้านซ้ายของ URL:
การขอรับ SSL /TLS ใบรับรอง
พร้อมที่จะรักษาความปลอดภัยเว็บไซต์ของคุณเองหรือยัง? ขั้นตอนพื้นฐานในการขอ SSL / ที่เชื่อถือได้แบบสาธารณะTLS ใบรับรองเว็บไซต์เป็นดังนี้:
- บุคคลหรือองค์กรที่ขอใบรับรองสร้างคู่ของกุญแจสาธารณะและส่วนตัวโดยเฉพาะอย่างยิ่งบนเซิร์ฟเวอร์ที่จะได้รับการคุ้มครอง
- พับลิกคีย์พร้อมกับชื่อโดเมนที่จะได้รับการปกป้องและ (สำหรับใบรับรอง OV และ EV) ข้อมูลองค์กรเกี่ยวกับ บริษัท ที่ขอใบรับรองจะถูกใช้เพื่อสร้าง คำขอลงนามใบรับรอง (CSR).
- โปรดดูที่ คำถามที่พบบ่อยนี้ สำหรับคำแนะนำในการสร้าง keypair และ CSR บนแพลตฟอร์มเซิร์ฟเวอร์จำนวนมาก
- พื้นที่ CSR จะถูกส่งไปยัง CA ที่เชื่อถือได้แบบสาธารณะ (เช่น SSL.com) CA ตรวจสอบข้อมูลในไฟล์ CSR และสร้างใบรับรองที่ลงนามซึ่งสามารถติดตั้งบนเว็บเซิร์ฟเวอร์ของผู้ร้องขอ
- สำหรับคำแนะนำในการสั่งซื้อ SSL /TLS ใบรับรองจาก SSL.com โปรดดู วิธีการนี้.
SSL /TLS ใบรับรองแตกต่างกันไปขึ้นอยู่กับวิธีการตรวจสอบความถูกต้องที่ใช้และระดับความน่าเชื่อถือที่พวกเขามอบให้ด้วยการตรวจสอบเพิ่มเติมEV) เสนอระดับสูงสุดของความไว้วางใจ สำหรับข้อมูลเกี่ยวกับความแตกต่างระหว่างวิธีการตรวจสอบหลัก (DV, OV และ EV) โปรดดูบทความของเรา ใบรับรอง DV, OV และ EV.
