Witamy w przewodniku dla początkujących TLS i SSL. Będziemy głęboko zanurzyć się w zastosowaniach kartografii asymetrycznej lub klucza publicznego.
Co to jest kryptografia asymetryczna?
Kryptografia klucza publicznego została wprowadzona na początku 1970 roku. Wraz z tym przyszedł pomysł, że zamiast używać jednego klucza do szyfrowania i odszyfrowania informacji, należy użyć dwóch osobnych kluczy: szyfrowanie i deszyfrowanie. Oznacza to, że klucz używany do szyfrowania informacji nie jest istotny dla kwestii odszyfrowania tych informacji. Jest również znany jako asymetryczna kryptografia.
Jest to nowatorska koncepcja, a do dalszego rozwinięcia wymagałoby zastosowania bardzo skomplikowanego rachunku, więc zaoszczędzimy tę dyskusję na inny czas.
Co to są TLS i SSL?
TLS oznacza bezpieczeństwo warstwy transportowej, podczas gdy SSL jest skrótem dla bezpiecznej warstwy gniazda. Oba są aplikacjami kryptografii kluczy publicznych i razem sprawili, że internauci mogli przeprowadzać komunikację przez Internet.
Co dokładnie te dwa są wyjaśnione poniżej.
Czym różni się TLS od SSL?
Zarówno TLS, jak i SSL wykorzystują asymetryczne podejście do szyfrowania w celu zabezpieczenia komunikacji przez Internet (uściski dłoni). Podstawową różnicą między nimi polega na tym, że SSL wynikało z innowacji komercyjnych, a zatem nieruchomości dla swojej spółki macierzystej, która jest Netscape. Natomiast TLS to standard grupy zadaniowej inżynierii internetowej, nieco zaktualizowana wersja SSL. Nazwano inaczej, aby uniknąć problemów związanych z prawami autorskimi i potencjalnie procesem.
Mówiąc dokładniej, TLS ma niektóre atrybuty, które oddzielają go od SSL. W TSL uściski dłoni są ustalane bez bezpieczeństwa i są wzmacniane przez polecenie starttls, co nie jest w przypadku SSL.
TSL jest uważany za ulepszenie SSL, ponieważ pozwala na uściski dłoni, które są zwykle niebezpieczne lub niepewne na aktualizację do statusu zabezpieczonego.
Co sprawia, że połączenia TLS są bezpieczniejsze niż SSL?
Na rynkach bezpieczeństwa komputerowego trwała intensywna konkurencja. SSL 3.0 nie mogłem nadążyć za Internetem i został przestarzały w 2015 roku. Istnieje kilka powodów, głównie związane z lukami, których nie można było naprawić. Jedną z takich podatności jest kompatybilność SSL z szyframi, które są zdolne do wytrzymania nowoczesnych cyberataków.
Podatność pozostaje w przypadku TLS 1.0, ponieważ intruz może zmusić SSL 3.0 Połączenie na kliencie, a następnie wykorzystaj jego podatność. To już nie jest w przypadku nowej aktualizacji TLS.
Jakie środki możemy podjąć?
Jeśli jesteś na końcu, po prostu informuj przeglądarkę. W dzisiejszych czasach wszystkie przeglądarki mają wbudowane wsparcie dla TLS 1.2, dlatego utrzymanie bezpieczeństwa nie jest tak trudne dla klientów. Jednak użytkownicy powinni nadal podejmować środki ostrożności, gdy widzą czerwone flagi. Praktycznie wszystkie wiadomości ostrzegawcze z przeglądarek wskazują na takie czerwone flagi. Nowoczesne przeglądarki internetowe są wyjątkowe w wykrywaniu, czy na stronie internetowej dzieje się coś Shady.
Witryny hostingowe dla administratorów serwerów mają większe obowiązki na ramionach. W tym względzie jest wiele, ale zacznijmy wyświetlać wiadomość, gdy klient korzysta z przestarzałego oprogramowania.
Na przykład osoby wykorzystujące maszyny Apache jako serwery powinny to wypróbować:
$ Ssloptions +stdenvvars
$ Requestheade set x-ssl-protocol %ssl_protocol s
$ Requestheade set x-ssl-cipher %ssl_cipher s
Jeśli używasz PHP, wyszukaj $ _server w skrypcie. Jeśli natkniesz się na wszystko, co wskazuje, że TLS jest przestarzały, wiadomość zostanie odpowiednio wyświetlona.
Aby lepiej wzmocnić bezpieczeństwo serwera, istnieją bezpłatne narzędzia, że system testowy pod kątem podatności na niedociągnięcia TLS i SSL. Niektóre z nich mogą jeszcze lepiej skonfigurować serwer. Jeśli podoba Ci się ten pomysł, sprawdź generator konfiguracji Mozilla SSL, który zasadniczo wykonuje wszystkie prace nad ustawieniem serwera, aby zminimalizować ryzyko TLS i takie.
Jeśli chcesz przetestować swój serwer pod kątem podatności SSL, sprawdź Qualys SSL Labs. Uruchamia zautomatyzowaną konfigurację, która jest zarówno kompleksowa, jak i skomplikowana, jeśli jesteś zorientowany na szczegóły.
W podsumowaniu
Biorąc wszystko pod uwagę, ciężar odpowiedzialności leży na wszystkich ramionach.
Wraz z nadejściem współczesnych komputerów i technik z czasem stały się coraz bardziej wpływowe i na dużą skalę. Wszyscy internauci muszą mieć odpowiednią wiedzę na temat systemów chroniących ich prywatność online i podejmować niezbędne środki ostrożności, komunikując się przez Internet.
W każdym razie zawsze lepiej jest korzystać z open source, ponieważ są bezpieczniejsze, za darmo i możesz wykonać zadanie.