Ssl tls что это: Что Такое SSL/TLS И HTTPS? Установка Сертификата Безопасности

Что Такое SSL/TLS И HTTPS? Установка Сертификата Безопасности

SSL Глоссарий

access_time

24 января, 2019

hourglass_empty

5мин. чтения

Что такое SSL? SSL является аббревиатурой для Secure Sockets Layer. Это тип цифровой безопасности, которая позволяет зашифровать связь между веб-сайтом и веб-браузером. Технология в настоящее время устарела и полностью заменена TLS.

Что такое TLS? Это означает Transport Layer Security и обеспечивает конфиденциальность данных так же, как и SSL. Поскольку SSL фактически больше не используется, это правильный термин, который люди должны начать использовать.

Что таоке HTTPS? Это безопасное расширение HTTP. Веб-сайты, устанавливающие и настраивающие SSL/TLS-сертификат, могут использовать протокол HTTPS для установления безопасного соединения с сервером.

• Цель SSL/TLS — сделать соединение безопасным для передачи конфиденциальной информации, включая личные данные, информацию о платеже или регистрации.
• Это альтернатива простой передаче текстовых данных, в которой ваше соединение с сервером не зашифровано, и это затрудняет мошенникам и хакерам отслеживание соединения и кражу ваших данных.
• Большинство людей знают, что такое SSL/TLS. Это сертификаты, которые используются веб-мастерами для защиты своих веб-сайтов и обеспечения безопасного доступа для людей к транзакциям.
• Вы можете определить, использует ли веб-сайт сертификат безопасности, потому что рядом с URL-адресом в адресной строке появится значок маленького замочка.

В этом руководстве вы узнаете:

Как работают сертификаты SSL/TLS?

Сертификаты SSL/TLS работают путём цифровой привязки криптографического ключа к идентифицирующей информации компании. Это позволяет им шифровать передачу данных таким образом, что они не могут быть расшифрованы третьими лицами.

Получить Сертификат SSL

SSL/TLS работает, имея как частный, так и открытый ключ, а также ключи сеанса для каждого уникального безопасного сеанса. Когда посетитель вводит защищённый SSL-адрес в свой веб-браузер или переходит на безопасную страницу, браузер и веб-сервер устанавливают соединение.

Во время первоначального подключения общедоступные и закрытые ключи будут использоваться для создания ключа сеанса, который затем будет использоваться для шифрования и дешифрования передаваемых данных. Этот ключ сеанса останется действительным в течение ограниченного времени и будет использоваться только для данного сеанса.

Вы можете определить, использует ли сайт SSL, по значку замочка или зелёной полосе в верхней части браузера. Вы можете щёлкнуть по этому значку, чтобы просмотреть информацию о том, кому принадлежит сертификат, и управлять настройками SSL.

Когда и почему SSL/TLS необходимы?

SSL/TLS является обязательным, когда передаётся конфиденциальная информация, такая как имена пользователей и пароли или информация о платёжной обработке.

Цель SSL/TLS состоит в том, чтобы убедиться, что только один человек — лицо или организация, утверждённое пользователем, может получить доступ к передаваемым данным. Это особенно важно, когда вы думаете о том, между сколькими устройствами и серверами передаются данные до того, как они достигнут своего пункта назначения.

Получить Сертификат SSL

Существует три основных варианта использования SSL/TLS для вашего веб-сайта:

• Когда вам нужна аутентификация: любой сервер может претендовать на роль вашего сервера, захватив информацию, которую люди передают. SSL/TLS позволяет вам подтвердить личность вашего сервера, чтобы люди знали, что вы являетесь тем, кем вы говорите.
• Чтобы внушить доверие: если вы используете сайт электронной коммерции или спрашиваете пользователей о том, какие данные важны для них, вы должны поддерживать чувство доверия. Использование сертификата SSL/TLS является видимым способом показать посетителям, что они могут вам доверять, и это намного эффективнее всего, что вы могли бы сказать о себе.
• Когда вам нужно соблюдать отраслевые стандарты: в некоторых отраслях, таких как финансовая, вам необходимо будет поддерживать определённые базовые уровни безопасности. Существуют также правила в области платёжных карт (PCI), которых необходимо придерживаться, если вы хотите принять информацию о кредитной карте на своём веб-сайте. И одним из этих требований является использование сертификата SSL/TLS.

Помните, что SSL можно использовать практически на любом устройстве, что также делает его универсальным выбором безопасности в современном мире. Преимущества использования SSL-сертификата перевешивают время и денежные средства, необходимые для их настройки, так что вам нечего терять.

Влияет ли SSL/TLS на SEO?

Короткий ответ: да.

Google внёс изменения в свой алгоритм еще в 2014 году, чтобы определить приоритеты веб-сайтов, которые использовали SSL-сертификат, и с тех пор они продолжают уделять особое внимание сертификатам SSL. Они официально заявили, что сайты со статистикой SSL обойдут сайты без таковой, чтобы все остальные факторы были равны, и хотя защищённые сайты составляют только 1% результатов, 40% запросов возвращают хотя бы один защищённый SSL сайт на первую страницу.

Получить Сертификат SSL

На практике SSL не слишком сильно влияет, когда дело доходит до SEO, и простая установка SSL-сертификата на ваш сайт будет иметь гораздо меньшее значение, чем создание регулярного свежего контента и создание сильного профиля входящей ссылки. Но это не значит, что вы должны совсем забыть о них.

Также важно помнить, что поисковые системы используют целый ряд различных показателей, чтобы определить, где находится сайт. Одним из таких показателей является то, как часто люди возвращаются с вашего сайта на страницу результатов, и наличие сертификата SSL может повлиять на разницу между теми, кто покупает у вас, а кто проходит мимо. Множество других показателей, которые используются для ранжирования сайтов, могут быть затронуты, когда вы выбираете, использовать ли SSL-сертификат или нет.

Настройка SSL-сертификата повлияет на производительность поисковой системы (англ) вашего сайта, но вы должны использовать его не только по этой причине. Вместо этого настройте SSL-сертификат, чтобы повысить доверие между вашими посетителями и улучшить SEO в качестве бонуса.

Какое отношение имеют SSL/TLS к HTTPS?

Когда вы устанавливаете SSL-сертификат, вы настраиваете его для передачи данных с помощью HTTPS. Эти две технологии идут рука об руку, и вы не можете использовать одно без другого.

URL-адресам предшествует либо HTTP (Hypertext Transfer Protocol), либо протокол HTTPS (Hypertext Transfer Protocol Secure). Это эффективно определяет, как передаются любые данные, которые вы отправляете и получаете.

SSL/TLS не требуют огромных затрат. Найдите доступные SSL-предложения с Hostinger!

Это означает, что другой способ определить, использует ли сайт сертификат SSL, — это проверить URL-адрес и посмотреть, содержит ли он HTTP или HTTPS. Это связано с тем, что для соединений HTTPS требуется сертификат безопасности SSL.

Chrome указывает, использует ли сайт SSL/TLS

В большинстве основных браузеров, включая Google Chrome, Firefox и Microsoft Edge, наличие безопасного соединения будет заметно отображаться при доступе пользователей к сайту. Например, в Chrome вы увидите значок зелёного замочка в адресной строке рядом с сообщением Безопасный. Пользователи могут просмотреть более подробную информацию о сертификате SSL, щёлкнув по нему.

Кроме того, с момента введения Chrome 68 (англ) в июле 2018 года веб-сайты без сертификата SSL/TLS отображают предупреждение Небезопасно.

Поскольку браузеры активно показывают, безопасны ли сайты, в ваших интересах как владелец веб-сайта использовать подсказку и защитить свой сайт. Таким образом, посетители могут сразу увидеть, что ваш сайт надёжен, как только они его посещают.

Как добавить SSL/TLS на свой сайт?

Добавление SSL/TLS-сертификата на ваш сайт может быть запутанным и должно быть предпринято только профессионалом. Вы должны знать, есть ли у вас статья в бюджете на того, кто в этом разбирается.

Первый шаг — включить SSH-доступ перед установкой клиента ACME. На этом этапе вы можете создать свой сертификат SSL/TLS и установить его через область администрирования вашего веб-хоста. Мы написали полное руководство о том, как это сделать, что должно помочь, если вы готовы начать работу самостоятельно.

Если вы ищете платного поставщика сертификатов SSL/TLS, обратите внимание на Hostinger. Мы предлагаем пожизненную защиту SSL/TLS за одноразовую оплату. Кроме того, бесплатный сертификат поставляется вместе с нашим ежегодным планом хостинга Бизнес.

После того, как ваш сертификат готов, вы можете активировать HTTPS, вставив фрагмент кода в ваш файл .htaccess.

Как добавить SSL/TLS на сайт WordPress?

Немного легче начать работу с SSL/TLS в WordPress. Он предлагает плагины, такие как Really Simple SSL (англ) и SSL Insecure Content Fixer (англ), которые обрабатывают техническую часть для вас. Однако вам всё равно придётся приобретать SSL-сертификат у поставщика.

После того, как ваш SSL-сертификат был приобретён и установлен, вам всё равно нужно будет изменять настройки на панели инструментов WordPress (или использовать один из вышеупомянутых плагинов).

Хорошей новостью является то, что всё, что вам нужно сделать, это войти в WordPress и перейти в Настройки>Общие. Прокрутите вниз до полей WordPress Address (URL) и Site Address (URL) и измените их с HTTP на HTTPS. Обязательно сохраните изменения и проверьте свой сайт, чтобы убедиться, что всё работает как нужно.

Вывод

Что такое SSL? Это означает Secure Sockets Layer (в то время как TLS поддерживает Transport Layer Security) и показывает посетителям, что они могут безопасно передавать конфиденциальную информацию на сервер и с сервера. Он шифрует все передачи данных таким образом, что они не могут быть расшифрованы третьими сторонами, такими как хакеры и мошенники.

Вы можете узнать, использует ли веб-сайт SSL/TLS по значку висячего замочка или зелёной полосе в верхней части браузера. Обычно вы можете щёлкнуть по значку в своём браузере, чтобы узнать, кому принадлежит сертификат.

SSL/TLS влияют на безопасность, оптимизацию в поисковых системах и могут помочь вашему сайту превосходить конкурентов. С учётом сказанного, это не какой-то мощный инструмент для SEO, сертификаты SSL/TLS должны использоваться потому, что они являются лучшей практикой в вопросах безопасности, а не потому, что вы думаете, что они помогут вам повысить рейтинг в поисковых системах.

И, конечно, если вам нужна помощь при запуске сертификата SSL или если вы хотите воспользоваться пожизненной безопасностью SSL, свяжитесь с нами. Мы будем рады помочь!

Что такое TLS / Хабр

Данный текст является вольным переводом вот этой главы замечательной книги «High Performance Browser Networking» авторства Ильи Григорика. Перевод выполнялся в рамках написания курсовой работы, потому очень вольный, но тем не менее будет полезен тем, кто слабо представляет что такое TLS, и с чем его едят.

Общие сведения о TLS

Протокол TLS (transport layer security) основан на протоколе SSL (Secure Sockets Layer), изначально разработанном в Netscape для повышения безопасности электронной коммерции в Интернете. Протокол SSL был реализован на application-уровне, непосредственно над TCP (Transmission Control Protocol), что позволяет более высокоуровневым протоколам (таким как HTTP или протоколу электронной почты) работать без изменений. Если SSL сконфигурирован корректно, то сторонний наблюдатель может узнать лишь параметры соединения (например, тип используемого шифрования), а также частоту пересылки и примерное количество данных, но не может читать и изменять их.

Конкретное место TLS (SSL) в стеке протоколов Интернета показано на схеме:

После того, как протокол SSL был стандартизирован IETF (Internet Engineering Task Force), он был переименован в TLS. Поэтому хотя имена SSL и TLS взаимозаменяемы, они всё-таки отличаются, так как каждое описывает другую версию протокола.

Первая выпущенная версия протокола имела название SSL 2.0, но была довольно быстра заменена на SSL 3.0 из-за обнаруженных уязвимостей. Как уже упоминалось, SSL был разработан компанией Netscape, так что в январе 1999 года IETF открыто стандартизирует его под именем TLS 1. 0. Затем в апреле 2006 года была опубликована версия TLS 1.1, которая расширяла первоначальные возможности протокола и закрывала известные уязвимости. Актуальная версия протокола на данный момент – TLS 1.2, выпущенная в августе 2008 года.

Как уже говорилось, TLS был разработан для работы над TCP, однако для работы с протоколами дейтаграмм, такими как UDP (User Datagram Protocol), была разработана специальная версия TLS, получившая название DTLS (Datagram Transport Layer Security).

 

Шифрование, аутентификация и целостность

Протокол TLS предназначен для предоставления трёх услуг всем приложениям, работающим над ним, а именно: шифрование, аутентификацию и целостность. Технически, не все три могут использоваться, однако на практике, для обеспечения безопасности, как правило используются все три:

• Шифрование – сокрытие информации, передаваемой от одного компьютера к другому;
• Аутентификация – проверка авторства передаваемой информации;
• Целостность – обнаружение подмены информации подделкой.

Для того чтобы установить криптографически безопасный канал данных, узлы соединения должны согласовать используемые методы шифрования и ключи. Протокол TLS однозначно определяет данную процедуру, подробнее это рассмотрено в пункте TLS Handshake. Следует отметить, что TLS использует криптографию с открытым ключом, которая позволяет узлам установить общий секретный ключ шифрования без каких-либо предварительных знаний друг о друге.

Также в рамках процедуры TLS Handshake имеется возможность установить подлинность личности и клиента, и сервера. Например, клиент может быть уверен, что сервер, которые предоставляет ему информацию о банковском счёте, действительно банковский сервер. И наоборот: сервер компании может быть уверен, что клиент, подключившийся к нему – именно сотрудник компании, а не стороннее лицо (данный механизм называется Chain of Trust и будет рассмотрен в соответствующем разделе).

Наконец, TLS обеспечивает отправку каждого сообщения с кодом MAC (Message Authentication Code), алгоритм создания которого – односторонняя криптографическая функция хеширования (фактически – контрольная сумма), ключи которой известны обоим участникам связи. Всякий раз при отправке сообщения, генерируется его MAC-значение, которое может сгенерировать и приёмник, это обеспечивает целостность информации и защиту от её подмены.

Таким образом, кратко рассмотрены все три механизма, лежащие в основе криптобезопасности протокола TLS.

 

TLS Handshake

Перед тем, как начать обмен данными через TLS, клиент и сервер должны согласовать параметры соединения, а именно: версия используемого протокола, способ шифрования данных, а также проверить сертификаты, если это необходимо. Схема начала соединения называется TLS Handshake и показана на рисунке:

Разберём подробнее каждый шаг данной процедуры:

1. Так как TLS работает над TCP, для начала между клиентом и сервером устанавливается TCP-соединение.
2. После установки TCP, клиент посылает на сервер спецификацию в виде обычного текста (а именно версию протокола, которую он хочет использовать, поддерживаемые методы шифрования, etc).
3. Сервер утверждает версию используемого протокола, выбирает способ шифрования из предоставленного списка, прикрепляет свой сертификат и отправляет ответ клиенту (при желании сервер может так же запросить клиентский сертификат).
4. Версия протокола и способ шифрования на данном моменте считаются утверждёнными, клиент проверяет присланный сертификат и инициирует либо RSA, либо обмен ключами по Диффи-Хеллману, в зависимости от установленных параметров.
5. Сервер обрабатывает присланное клиентом сообщение, сверяет MAC, и отправляет клиенту заключительное (‘Finished’) сообщение в зашифрованном виде.
6. Клиент расшифровывает полученное сообщение, сверяет MAC, и если всё хорошо, то соединение считается установленным и начинается обмен данными приложений.

Ясно, что установление соединения TLS является, вообще говоря, длительным и трудоёмким процессом, поэтому в стандарте TLS есть несколько оптимизаций. В частности, имеется процедура под названием “abbreviated handshake”, которая позволяет использовать ранее согласованные параметры для восстановления соединения (естественно, если клиент и сервер устанавливали TLS-соединение в прошлом). Данную процедура рассмотрена подробнее в пункте «Возобновление сессии».

Также имеется дополнительное расширение процедуры Handshake, которое имеет название TLS False Start. Это расширение позволяет клиенту и серверу начать обмен зашифрованными данными сразу после установления метода шифрования, что сокращает установление соединения на одну итерацию сообщений. Об этом подробнее рассказано в пункте “TLS False Start”.

 

Обмен ключами в протоколе TLS

По различным историческим и коммерческим причинам чаще всего в TLS используется обмен ключами по алгоритму RSA: клиент генерирует симметричный ключ, подписывает его с помощью открытого ключа сервера и отправляет его на сервер. В свою очередь, на сервере ключ клиента расшифровывается с помощью закрытого ключа. После этого обмен ключами объявляется завершённым. Данный алгоритм имеет один недостаток: эта же пара отрытого и закрытого ключей используется и для аутентификации сервера. Соответственно, если злоумышленник получает доступ к закрытому ключу сервера, он может расшифровать весь сеанс связи. Более того, злоумышленник может попросту записать весь сеанс связи в зашифрованном варианте и занять расшифровкой потом, когда удастся получить закрытый ключ сервера. В то же время, обмен ключами Диффи-Хеллмана представляется более защищённым, так как установленный симметричный ключ никогда не покидает клиента или сервера и, соответственно, не может быть перехвачен злоумышленником, даже если тот знает закрытый ключ сервера. На этом основана служба снижения риска компрометации прошлых сеансов связи: для каждого нового сеанса связи создаётся новый, так называемый «временный» симметричный ключ. Соответственно, даже в худшем случае (если злоумышленнику известен закрытый ключ сервера), злоумышленник может лишь получить ключи от будущих сессий, но не расшифровать ранее записанные.

На текущий момент, все браузеры при установке соединения TLS отдают предпочтение именно сочетанию алгоритма Диффи-Хеллмана и использованию временных ключей для повышения безопасности соединения.

Следует ещё раз отметить, что шифрование с открытым ключом используется только в процедуре TLS Handshake во время первоначальной настройки соединения. После настройки туннеля в дело вступает симметричная криптография, и общение в пределах текущей сессии зашифровано именно установленными симметричными ключами. Это необходимо для увеличения быстродействия, так как криптография с открытым ключом требует значительно больше вычислительной мощности.

 

Возобновление сессии TLS

Как уже отмечалось ранее, полная процедура TLS Handshake является довольно длительной и дорогой с точки зрения вычислительных затрат. Поэтому была разработана процедура, которая позволяет возобновить ранее прерванное соединение на основе уже сконфигурированных данных.

Начиная с первой публичной версии протокола (SSL 2.0) сервер в рамках TLS Handshake (а именно первоначального сообщения ServerHello) может сгенерировать и отправить 32-байтный идентификатор сессии. Естественно, в таком случае у сервера хранится кэш сгенерированных идентификаторов и параметров сеанса для каждого клиента. В свою очередь клиент хранит у себя присланный идентификатор и включает его (конечно, если он есть) в первоначальное сообщение ClientHello. Если и клиент, и сервер имеют идентичные идентификаторы сессии, то установка общего соединения происходит по упрощённому алгоритму, показанному на рисунке. Если нет, то требуется полная версия TLS Handshake.

Процедура возобновления сессии позволяет пропустить этап генерации симметричного ключа, что существенно повышает время установки соединения, но не влияет на его безопасность, так как используются ранее нескомпрометированные данные предыдущей сессии.

Однако здесь имеется практическое ограничение: так как сервер должен хранить данные обо всех открытых сессиях, это приводит к проблеме с популярными ресурсами, которые одновременно запрашиваются тысячами и миллионами клиентов.

Для обхода данной проблемы был разработан механизм «Session Ticket», который устраняет необходимость сохранять данные каждого клиента на сервере. Если клиент при первоначальной установке соединения указал, что он поддерживает эту технологию, то в сервер в ходе TLS Handshake отправляет клиенту так называемый Session Ticket – параметры сессии, зашифрованные закрытым ключом сервера. При следующем возобновлении сессии, клиент вместе с ClientHello отправляет имеющийся у него Session Ticket. Таким образом, сервер избавлен от необходимости хранить данные о каждом соединении, но соединение по-прежнему безопасно, так как Session Ticket зашифрован ключом, известным только на сервере.

 

TLS False Start

Технология возобновления сессии бесспорно повышает производительность протокола и снижает вычислительные затраты, однако она не применима в первоначальном соединении с сервером, или в случае, когда предыдущая сессия уже истекла.

Для получения ещё большего быстродействия была разработана технология TLS False Start, являющаяся опциональным расширением протокола и позволяющая отправлять данные, когда TLS Handshake завершён лишь частично. Подробная схема TLS False Start представлена на рисунке:

Важно отметить, что TLS False Start никак не изменяет процедуру TLS Handshake. Он основан на предположении, что в тот момент, когда клиент и сервер уже знают о параметрах соединения и симметричных ключах, данные приложений уже могут быть отправлены, а все необходимые проверки можно провести параллельно. В результате соединение готово к использованию на одну итерацию обмена сообщениями раньше.

 

TLS Chain of trust

Аутентификация является неотъемлемой частью каждого TLS соединения. Рассмотрим простейший процесс аутентификации между Алисой и Бобом:

1. И Алиса, и Боб генерируют собственные открытые и закрытые ключи.
2. Алиса и Боб обмениваются открытыми ключами.
3. Алиса генерирует сообщение, шифрует его своим закрытым ключом и отправляет Бобу.
4. Боб использует полученный от Алисы ключ, чтобы расшифровать сообщение и таким образом проверяет подлинность полученного сообщения.

Очевидно, что данная схема построена на доверии между Алисой и Бобом. Предполагается, что обмен открытыми ключами произошёл, например, при личной встрече, и, таким образом, Алиса уверена, что получила ключ непосредственно от Боба, а Боб, в свою очередь, уверен, что получил открытый ключ Алисы.

Пусть теперь Алиса получает сообщение от Чарли, с которым она не знакома, но который утверждает, что дружит с Бобом. Чтобы это доказать, Чарли заранее попросил подписать собственный открытый ключ закрытым ключом Боба, и прикрепляет эту подпись к сообщению Алисе. Алиса же сначала проверяет подпись Боба на ключе Чарли (это она в состоянии сделать, ведь открытый ключ Боба ей уже известен), убеждается, что Чарли действительно друг Боба, принимает его сообщение и выполняет уже известную проверку целостности, убеждаясь, что сообщение действительно от Чарли:

Описанное в предыдущем абзаце и есть создание «цепочки доверия» (или «Chain of trust», если по-английски).

В протоколе TLS данные цепи доверия основаны на сертификатах подлинности, предоставляемых специальными органами, называемыми центрами сертификации (CA – certificate authorities). Центры сертификации производят проверки и, если выданный сертификат скомпрометирован, то данный сертификат отзывается.

Из выданных сертификатов складывается уже рассмотренная цепочка доверия. Корнем её является так называемый “Root CA certificate” – сертификат, подписанный крупным центром, доверие к которому неоспоримо. В общем виде цепочка доверия выглядит примерно таким образом:

Естественно, возникают случаи, когда уже выданный сертификат необходимо отозвать или аннулировать (например, был скомпрометирован закрытый ключ сертификата, или была скомпрометирована вся процедура сертификации). Для этого сертификаты подлинности содержат специальные инструкции о проверке их актуальности. Следовательно, при построении цепочки доверия, необходимо проверять актуальность каждого доверительного узла.

Механизм этой проверки прост и в его основе лежит т.н. «Список отозванных сертификатов» (CRL – «Certificate Revocation List»). У каждого из центров сертификации имеется данный список, представляющий простой перечень серийных номеров отозванных сертификатов. Соответственно любой, кто хочет проверить подлинность сертификата, попросту загружает данный список и ищет в нём номер проверяемого сертификата. Если номер обнаружится – это значит, что сертификат отозван.

Здесь очевидно присутствует некоторая техническая нерациональность: для проверки лишь одного сертификата требуется запрашивать весь список отозванных сертификатов, что влечёт замедление работы. Для борьбы с этим был разработан механизм под названием «Протокол статусов сертификатов» (OCSP – Online Certificate Status Protocol). Он позволяет осуществлять проверку статуса сертификата динамически. Естественно, это снижает нагрузку на пропускную способность сети, но в то же время порождает несколько проблем:

• Центры сертификации должны справляться с нагрузкой в режиме реального времени;
• Центры сертификации должны гарантировать свою доступность в любое время;
• Из-за запросов реального времени центры сертификации получают информацию о том, какие сайты посещал каждый конкретный пользователь.

Собственно, во всех современных браузерах оба решения (OCSP и CRL) дополняют друг друга, более того, как правило имеется возможность настройки предпочитаемой политики проверки статуса сертификата.

Таким образом, в данной статье рассмотрены все ключевые средства, предоставляемые протоколом TLS для защиты информации. За некоторую отсебятину в статье прошу прощения, это издержки изначальной цели выполнения перевода.

TLS и SSL: Необходимый минимум знаний

TLS и SSL упоминаются в последнее время все чаще и чаще, более актуальным становится использование цифровых сертификатов, и даже появились компании, готовые бесплатно предоставлять цифровые сертификаты всем желающим, чтобы гарантировать шифрование трафика между посещаемыми сайтами и браузером клиента. Нужно это, естественно, для безопасности, чтобы никто в сети не мог получить данные, которые передаются от клиента серверу и обратно. Как же это всё работает и как это использовать? Чтобы это понять, надо, пожалуй, начать с теории, а потом показать на практике. Итак, SSL и TLS.

Что такое SSL и что такое TLS?

SSL — Secure Socket Layer, уровень защищенных сокетов. TLS — Transport Layer Security, безопасность транспортного уровня. SSL является более ранней системой, TLS появился позднее и он основан на спецификации SSL 3.0, разработанной компанией Netscape Communications. Тем не менее, задача у этих протоколов одна — обеспечение защищенной передачи данных между двумя компьютерами в сети Интернет. Такую передачу используют для различных сайтов, для электронной почты, для обмена сообщениями и много еще для чего. В принципе, можно передавать любую информацию таким образом, об этом чуть ниже.

Безопасная передача обеспечивается при помощи аутентификации и шифрования передаваемой информации. По сути эти протоколы, TLS и SSL, работают одинаково, принципиальных различий нет. TLS, можно сказать, является преемником SSL, хотя они и могут использоваться одновременно, причем даже на одном и том же сервере. Такая поддержка необходима для того, чтобы обеспечить работу как с новыми клиентами (устройствами и браузерами), так и с устаревшими, которые TLS не поддерживают. Последовательность возникновения этих протоколов выглядит вот так:

SSL 1.0 — никогда не публиковался
SSL 2.0 — февраль 1995 года
SSL 3.0 — 1996 год
TLS 1.0 — январь 1999 года
TLS 1.1 — апрель 2006 года
TLS 1.2 — август 2008 года

Принцип работы SSL и TLS

Принцип работы SSL и TLS, как я уже сказал, один и тот же. Поверх протокола TCP/IP устанавливается зашифрованный канал, внутри которого передаются данные по прикладному протоколу — HTTP, FTP, и так далее. Вот как это можно представить графически:

Прикладной протокол «заворачивается» в TLS/SSL, а тот в свою очередь в TCP/IP. По сути данные по прикладному протоколу передаются по TCP/IP, но они зашифрованы. И расшифровать передаваемые данные может только та машина, которая установила соединения. Для всех остальных, кто получит передаваемые пакеты, эта информация будет бессмысленной, если они не смогут ее расшифровать.

Установка соединения обеспечивается в несколько этапов:

1) Клиент устанавливает соединение с сервером и запрашивает защищенное подключение. Это может обеспечиваться либо установлением соединения на порт, который изначально предназначен для работы с SSL/TLS, например, 443, либо дополнительным запросом клиентом установки защищенного соединения после установки обычного.

2) При установке соединения клиент предоставляет список алгоритмов шифрования, которые он «знает». Сервер сверяет полученный список со списком алгоритмов, которые «знает» сам сервер, и выбирает наиболее надежный алгоритм, после чего сообщает клиенту, какой алгоритм использовать

3) Сервер отправляет клиенту свой цифровой сертификат, подписанный удостоверяющим центром, и открытый ключ сервера.

4) Клиент может связаться с сервером доверенного центра сертификации, который подписал сертификат сервера, и проверить, валиден ли сертификат сервера. Но может и не связываться. В операционной системе обычно уже установлены корневые сертификаты центров сертификации, с которыми сверяют подписи серверных сертификатов, например, браузеры.

5) Генерируется сеансовый ключ для защищенного соединения. Это делается следующим образом:
— Клиент генерирует случайную цифровую последовательность
— Клиент шифрует ее открытым ключом сервера и посылает результат на сервер
— Сервер расшифровывает полученную последовательность при помощи закрытого ключа
Учитывая, что алгоритм шифрования является асимметричным, расшифровать последовательность может только сервер. При использовании асимметричного шифрования используется два ключа — приватный и публичный. Публичным отправляемое сообщение шифруется, а приватным расшифровывается. Расшифровать сообщение, имея публичный, ключ нельзя.

6) Таким образом устанавливается зашифрованное соединение. Данные, передаваемые по нему, шифруются и расшифровываются до тех пор, пока соединение не будет разорвано.

Корневой сертификат

Чуть выше я упомянул корневой сертификат. Это сертификат авторизационного центра, подпись которым подтверждает, что сертификат, который подписан, является именно тем, который принадлежит соответствующему сервису. В самом сертификате обычно содержится ряд информационных полей, в которых содержится информация об имени сервера, которому выдан сертификат, и сроках действия этого сертификата. Если срок действия сертификата истек, он признается недействительным.

Запрос на подпись (CSR, Certificate Sign Request)

Для получения подписанного серверного сертификата необходимо сгенерировать запрос на подпись (CSR, Certificate Sign Request) и отправить этот запрос авторизационному центру, который вернет подписанный сертификат, устанавливаемый непосредственно на сервер, чуть ниже посмотрим, как это сделать на практике. Сначала генерируется ключ для шифрования, затем на основании этого ключа генерируется запрос на подпись, CSR-файл.

Клиентский сертификат

Клиентский сертификат может быть сгенерирован как для использования в устройствах, так и для использования пользователями. Обычно такие сертификаты используются при двусторонней верификации, когда клиент верифицирует, что сервер действительно тот, за кого себя выдает, и сервер в ответ делает то же самое. Такое взаимодействие называется двусторонней аутентификацией или mutual authentication. Двусторонняя аутентификация позволяет повысить уровень безопасности по сравнению с односторонней, а также может служить заменой аутентификации с использованием логина и пароля.

Цепочка действий по генерации сертификатов

Давайте посмотрим на практике, как происходят действия, связанные с генерацией сертификатов, с самого начала, и при этом на практике.

Первое, что делается — это генерация корневого сертификата. Корневой сертификат подписывается самим собой. А потом уже этим сертификатом будут подписываться другие сертификаты.

$ openssl genrsa -out root.key 2048
Generating RSA private key, 2048 bit long modulus
..........+++
...........................................+++
e is 65537 (0x10001)

$ openssl req -new -key root.key -out root.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:N/A
Locality Name (eg, city) []:Saint-Petersburg
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
Organizational Unit Name (eg, section) []:IT Service
Common Name (e.g. server FQDN or YOUR name) []:My Company Root Certificate
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:My Company

$ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem
Signature ok
subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected]
Getting Private key

Таким образом мы сгенерировали сначала приватный ключ, затем запрос подписи, а затем своим ключом подписали свой же запрос и получили собственный цифровой сертификат, выданный на 10 лет. Пароль (challenge password) при генерации сертификата можно не вводить.

Приватный ключ ОБЯЗАТЕЛЬНО необходимо хранить в надежном месте, имея его можно подписать от вашего имени любой сертификат. А полученный корневой сертификат можно использовать для идентификации того, что сертификат, например, сервера подписан именно нами, а не кем-то еще. Именно такие действия выполняют авторизационные центры, когда генерируют собственные сертификаты. После создания корневого сертификата можно приступать к генерации сертификата сервера.

Просмотр информации о сертификате

Содержимое сертификата можно просмотреть таким образом:

$ openssl x509 -noout -issuer -enddate -in root.pem
issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected]
notAfter=Jan 22 11:49:41 2025 GMT

Мы видим, кто выдал этот сертификат и когда заканчивается срок его годности.

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ
2) Сгенерировать запрос на подпись
3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
...................................................................................+++
..........................+++
e is 65537 (0x10001)

$ openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:N/A
Locality Name (eg, city) []:Saint-Petersburg
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
Organizational Unit Name (eg, section) []:IT Service
Common Name (e.g. server FQDN or YOUR name) []:www.mycompany.com
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

$ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server.pem -days 365
Signature ok
subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected]
Getting CA Private Key

$ openssl x509 -noout -issuer -subject -enddate -in server.pem
issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected]
subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected]
notAfter=Jan 25 12:22:32 2016 GMT

Таким образом сертификат сервера подписан и мы будем знать, какой организацией выдан этот сертификат. После подписи готовый сертификат можно использовать по назначению, например, установить на веб-сервер.

Установка SSL/TLS-сертификата на сервер с nginx

Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:

1) Скопировать файлы .key и .pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private

2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):

server {
       listen 443;
       server_name www.mycompany.com;

       root html;
       index index.html index.htm;

       ssl on;
       ssl_certificate server.pem;
       ssl_certificate_key server.key;

       ssl_session_timeout 5m;

       # Не рекомендуется использовать SSLv3 !!!
       # Он здесь только для примера
       ssl_protocols SSLv3 TLSv1;
       ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;
       ssl_prefer_server_ciphers on;

       location / {
               try_files $uri $uri/ =404;
       }
}

3) Перезапустить nginx

4) Зайти браузером на 443 порт сервера — https://www.mycompany.com и проверить его работоспособность.

Установка SSL/TLS-сертификата на сервер с Apache

Установка SSL/TLS-сертификата на Apache выглядит примерно так же.

1) Скопировать файлы ключа и сертификата на сервер в соответствующие директории

2) Включить модуль ssl для Apache командой «a2enmod ssl», если он еще не включен

3) Создать виртуальный хост, который будет слушать 443 порт. Конфиг будет выглядеть примерно так:

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerAdmin [email protected]

        DocumentRoot /var/www
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/error.log

        LogLevel warn

        CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined

        SSLEngine on

        SSLCertificateFile    /etc/ssl/certs/server.pem
        SSLCertificateKeyFile /etc/ssl/private/server.key

        # Эта директива добавляет файл, содержащий список
        # всех сертификатов, которыми подписан сертификат сервера
        #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

        <FilesMatch "\.(cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>

        BrowserMatch "MSIE [2-6]" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
        BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

</VirtualHost>
</IfModule>

При этом надо сделать еще кое-что. Найти в файле httpd.conf, или apache2.conf, или ports.conf, в зависимости от системы, такой участок конфига:

<IfModule mod_ssl.c>
    Listen 443
</IfModule>

Если такого условия нет, его надо добавить в конфиг. И еще одно: Надо добавить строку

NameVirtualHost *:443

Эта строка может находиться в файле httpd.conf, apache2.conf или ports.conf

4) Перезапустить веб-сервер Apache

Создание клиентского сертификата

Клиентский сертификат создается примерно так же, как серверный.

$ openssl genrsa -out client.key 2048

Generating RSA private key, 2048 bit long modulus
........................+++
..................................................+++
e is 65537 (0x10001)

$ openssl req -new -key client.key -out client.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.C
mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:N/A
Locality Name (eg, city) []:Saint-Petrersburg  
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
Organizational Unit Name (eg, section) []:Engineering
Common Name (e.g. server FQDN or YOUR name) []:Ivan Ivanov
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

$ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client.pem -days 365

Signature ok
subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected]
Getting CA Private Key

$ openssl x509 -noout -issuer -subject -enddate -in client.pem
issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected]
subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected]
notAfter=Jan 25 13:17:15 2016 GMT

Если необходим клиентский сертификат в формате PKCS12, создаем его:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12

Enter Export Password:
Verifying - Enter Export Password:

Теперь можно использовать клиентский сертификат для работы с нашим сервером.

Настройка nginx на использование клиентских сертификатов

Чаще всего, как я уже сказал, используется односторонняя аутентификация, обычно проверяется только сертификат сервера. Давайте посмотрим, как заставить веб-сервер nginx проверять клиентский сертификат. Необходимо в секцию server добавить опции для работы с клиентскими сертификатами:

# Корневой сертификат(ы), которым(и) подписан клиентский
ssl_client_certificate /etc/nginx/certs/clientroot.pem;
# Возможные варианты: on | off | optional | optional_no_ca
ssl_verify_client optional;
# Глубина проверки цепочки сертификатов, которыми подписан клиентский
ssl_verify_depth 2;

После этого надо перезагрузить настройки или сервер целиком и можно проверять работу.

Настройка Apache на использование клиентских сертификатов

Apache настраивается также через добавление дополнительных опций в секцию виртуального хоста:

# Директория, содержащая корневые сертификаты для проверки клиентов
SSLCARevocationPath /etc/apache2/ssl.crl/
# или файл, содержащий сертификаты
SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl
# Опция верификации клиента. Возможные варианты:
# none, optional, require and optional_no_ca
SSLVerifyClient require
# Глубина просмотра цепочки подписей. По умолчанию 1
SSLVerifyDepth  2

Как видите, опции примерно такие же, как и для nginx, поскольку процесс проверки организован единообразно.

«Прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

curl -k https://127.0.0.1:443

В консоли со стороны сервера можно наблюдать процесс обмена информацией между сервером и клиентом.

Можно также использовать опции -verify [глубина проверки] и -Verify [глубина проверки]. Опция с маленькой буквы запрашивает у клиента сертификат, но он не обязан его предоставлять. С большой буквы — если сертификат не предоставлен, возникнет ошибка. Запустим прослушку со стороны сервера таким образом:

openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Со стороны сервера ошибка выглядит так:

140203927217808:error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate:s3_srvr.c:3287:

Со стороны клиента так:

curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Добавим с клиентской стороны сертификат и доменное имя (можно для проверки вписать в файл /etc/hosts имя хоста для адреса 127.0.0.1):

curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Теперь соединение пройдет успешно и можно устанавливать серверный сертификат на веб-сервер, клиентский отдать клиенту, и работать с ними.

Безопасность

При использовании SSL/TLS одним из основных методов является метод MITM (Man In The Middle), «человек посередине». Этот метод основывается на использовании серверного сертификата и ключа на каком-то узле, который будет прослушивать трафик и расшифровывать информацию, которой обмениваются сервер и клиент. Для организации прослушивания можно использовать, например, программу sslsniff. Поэтому корневой сертификат и ключ обычно желательно хранить на машине, которая не подключена к сети, для подписания приносить запросы на подпись на флэшке, подписывать и так же уносить. И, естественно, делать резервные копии.

В общих чертах именно так и  используются цифровые сертификаты и протоколы TLS и SSL. Если есть вопросы/дополнения, пишите в комментарии.

• Нажмите здесь, чтобы поделиться контентом на Facebook. (Открывается в новом окне)
• Нажмите, чтобы поделиться на LinkedIn (Открывается в новом окне)
• Нажмите, чтобы поделиться на Reddit (Открывается в новом окне)
• Нажмите, чтобы поделиться на Twitter (Открывается в новом окне)
• Нажмите, чтобы поделиться записями на Tumblr (Открывается в новом окне)
• Нажмите, чтобы поделиться записями на Pinterest (Открывается в новом окне)
• Нажмите, чтобы поделиться записями на Pocket (Открывается в новом окне)
• Нажмите, чтобы поделиться в Telegram (Открывается в новом окне)
• Нажмите, чтобы поделиться в WhatsApp (Открывается в новом окне)
• Нажмите, чтобы поделиться в Skype (Открывается в новом окне)

SSL- и TLS-сертификаты, а также их особенности

Чем отличается защищенное соединение от незащищенного – знает довольно большое количество людей. А вот дальше довольно часто начинается темный лес: откуда берется сертификат, чем один сертификат отличается от другого, в чем разница между SSL и TLS и кто это вообще такие, какое отношение сертификат имеет к безопасности и так далее.

В рамках этого поста мы попробуем ответить хотя бы на часть этих и подобных вопросов, а начнем все-таки издалека – с того, что значат HTTP и HTTPS в адресной строке.

Что такое HTTP и HTTPS и чем они отличаются

Когда кто-нибудь из нас заходит на какой-нибудь сайт в Интернете, просто читает его или вводит на нем какие-то данные, происходит обмен информацией между нашим компьютером и сервером, на котором размещен сайт. Происходит он в соответствии с протоколом передачи данных — набором соглашений, определяющих порядок обмена информацией между разными программами.

Протокол, который используется для передачи данных в сети и получения информации с сайтов, называется HTTP (англ. HyperText Transfer Protocol — протокол передачи гипертекста). У него существует расширение, которое называется HTTPS (англ. HyperText Transfer Protocol Secure — безопасный протокол передачи гипертекста). Его суть — в том, что расширение позволяет передавать информацию между клиентом и сервером в зашифрованном виде. То есть информация, которой обмениваются клиент и сервер, доступна только этому клиенту и этому серверу, а не третьим лицам (например, провайдеру или администратору Wi-Fi-сети).

Шифрование данных, которые передаются от клиента к серверу, происходит, в свою очередь, в соответствии со своим, криптографическим протоколом. Сначала для этого использовался протокол под названием SSL (англ. Secure Sockets). У него было несколько версий, но все они в какой-то момент подвергались критике из-за наличия проблем с безопасностью. В итоге была выпущена та версия, которая используется сейчас — ее переименовали в TLS (англ. Transport Layer Security). Однако название SSL прижилось лучше, и новую версию протокола до сих пор часто называют так.

Для того чтобы использовать шифрование, у сайта должен быть специальный сертификат, или, как он еще называется, цифровая подпись, который подтверждает, что механизм шифрования действительно надежен и соответствует протоколу. Индикаторами того, что у сайта такой сертификат есть, являются, помимо буквы «S» в HTTPS, зеленый замочек и надпись «Защищено» или название компании в адресной строке браузера.

Как сайту получить SSL-сертификат

Существует два способа. Способ первый — веб-мастер может издать и подписать сертификат самостоятельно, сгенерировав криптографические ключи. Такой сертификат будет называться самоподписанным (англ. Self-Signed). В этом случае соединение с сайтом также будет зашифровано, но при попытке зайти на сайт с таким сертификатом пользователю будет показано предупреждение, что сертификат — недоверенный (неподтвержденный центром или устаревший). Обычно в окне браузер показывает перечеркнутый замочек и выделенные красным буквы HTTPS, или выделяет красным и перечеркивает буквы HTTPS в поисковой строке — зависит от браузера.

Второй способ (и единственный правильный) — приобрести сертификат, подписанный каким-либо из доверенных центров сертификации (Certificate authority). Сертификационные центры изучают документы владельца сайта и его право на владение доменом — ведь, по идее, наличие сертификата должно также гарантировать пользователю, что ресурс, с которым он обменивается информацией, принадлежит реальной легитимной компании, зарегистрированной в определенном регионе.

Сертификационных центров существует довольно много, но авторитетные среди них можно пересчитать по пальцам. От репутации центра зависит то, насколько ему будут доверять компании-разработчики браузеров и как они будут отображать сайт с таким сертификатом. От вида сертификата, срока его действия и репутации центра и зависит цена на сертификат.

Какими бывают SSL-сертификаты

Сертификаты, подписанные центрами, делятся на несколько видов — в зависимости от уровня надежности, того, кто и как их может получить и, соответственно, цены.

Первый называется DV (англ. Domain Validation — проверка домена). Для его получения физическому или юридическому лицу нужно доказать, что они имеют некий контроль над доменом, для которого приобретается сертификат. Проще говоря, что они либо владеют доменом, либо администрируют сайт на нем. Этот сертификат позволяет установить защищенное соединение, но в нем нет данных об организации, которой он выдан, а для его оформления не требуется никаких документов. Процесс получения такого сертификата обычно занимает несколько минут.

Сертификаты более высокого уровня — OV (англ. Organization Validation — проверка организации). Такие сертификаты выдаются только юридическим лицам, и от них требуются документы, подтверждающие существование организации, — так подтверждается не только безопасность соединения с доменом, но и то, что домен принадлежит организации, указанной в электронном сертификате. Оформление может занимать несколько дней, пока проверяются все документы. Наличие DV или OV-сертификата у сайта в браузере отображается серым или зеленым замочком, словом Secure и буквами HTTPS в адресной строке.

И еще есть EV (англ. Extended Validation — расширенная проверка) — сертификаты самого высокого уровня. Такой сертификат также могут получить только юридические лица, предоставившие все необходимые документы, а отличительной особенностью является то, что название и локация организации отображаются зеленой надписью в адресной строке после зеленого замочка. Такие сертификаты пользуются наибольшим доверием у браузеров, но они и дороже всего. В основном их приобретают крупные компании. Даже банки часто приобретают их в основном не для основного сайта, а отдельно для домена своего сервиса онлайн-платежей.

Информацию о сертификате (кем выдан, когда и сколько действует) можно посмотреть, кликнув на название организации или надпись Secure — правда, это можно сделать не во всех браузерах.

Что может быть не так с сертификатами

Один из принципов, по которым основные разработчики браузеров, такие как Google и Mozilla, выстраивают свою политику — безопасность Интернета и пользовательских данных в нем. В этой связи осенью 2017 года Google анонсировала, что отныне будет маркировать все страницы, использующие HTTP-соединение, как «незащищенные», и, по сути, блокировать пользователям доступ к ним.

Фактически, это условие вынудило все сайты на HTTP в ускоренном темпе приобретать доверенные сертификаты. Соответственно, спрос на услуги сертификационных центров вырос в разы, а время на проверку документов последним, естественно, хотелось бы сократить, чтобы выдать как можно больше этих самых сертификатов. Поэтому многие из центров стали проводить проверку гораздо менее тщательно.

Результатом этого становится то, что надежные сертификаты получают далеко не самые надежные сайты. Так, Google провела расследование, по результатам которого выяснилось, что один из самых крупных и авторитетных центров выдал более 30 тыс. сертификатов, не осуществив при этом должной проверки. Последствия для центра не радужные: Google заявила, что перестанет считать доверенными все сертификаты, выданные центром, пока тот полностью не переделает всю систему проверки и не установит новые стандарты. Mozilla также планирует ужесточить верификацию сертификатов в своих браузерах и тем самым повлиять на требования к их выдаче.

Тем не менее пока полностью уверенным в надежности сертификата и получившей его организации быть нельзя. Даже если это EV-сертификат, внешне соответствующий всем требованиям безопасности, не стоит доверять тому, что написано зеленым шрифтом, безоговорочно.

С EV-сертификатами все даже особенно плохо: злоумышленник может зарегистрировать компанию с названием, подозрительно похожим на название какой-нибудь известной компании и получить для своего сайта EV-сертификат. В этом случае зелеными буквами в адресной строке будет написано как раз-таки название компании (очень похожее на название другой известной компании), что позволит злоумышленнику повысить доверие пользователя к фишинговому сайту. Поэтому никогда не забывайте об осторожности и соблюдении правил при использовании любой веб-страницы.

Что такое SSL/TLS протокол и последняя версия TLS 1.3

Протокол TLS шифрует интернет-трафик всех видов, тем самым делая безопасными общение и продажи в интернете. Мы расскажем о том, как протокол работает и что нас ждет в будущем.

Из статьи вы узнаете:

Что такое SSL

SSL или слой защищенных сокетов было оригинальным названием протокола, который разработала компания Netscape в середине 90-х. SSL 1.0 никогда не был публично доступным, а в версии 2.0 были серьезные недостатки. Протокол SSL 3.0, выпущенный в 1996, был полностью переделан и задал тон следующей стадии развития.

Что такое TLS

Когда следующую версию протокола выпустили в 1999, ее стандартизировала специальная рабочая группа проектирования сети Интернет и дала ей новое название: защита транспортного уровня, или TLS. Как говорится в TLS-документации, «разница между этим протоколом и SSL 3.0 не критичная». TLS и SSL формируют постоянно обновляемую серию протоколов, и их часто объединяют под названием SSL/TLS.

Протокол TLS шифрует интернет-трафик любого вида. Самый распространенный вид — веб-трафик. Вы знаете, когда ваш браузер устанавливает соединение по TLS — если ссылка в адресной строке начинается с «https».

TLS также используется другими приложениями — например, в почте и системах телеконференций.

Как работает TLS

Шифрование необходимо, чтобы безопасно общаться в интернете. Если ваши данные не шифруются, любой может проанализировать их и прочитать конфиденциальную информацию.

Самый безопасный метод шифрования — это асимметричное шифрование. Для этого требуется 2 ключа, 1 публичный и 1 приватный. Это файлы с информацией, чаще всего очень большие числа. Механизм сложный, но если попросту, вы можете использовать публичный ключ, чтобы шифровать данные, но вам нужен приватный ключ, чтобы расшифровывать их. Два ключа связаны с помощью сложной математической формулы, которую сложно хакнуть.

Можно представить публичный ключ как информацию о местоположении закрытого почтового ящика с отверстием, и приватный ключ как ключ, который открывает ящик. Любой, кто знает, где находится ящик, может положить туда письмо. Но чтобы прочитать его, человеку нужен ключ, чтобы открыть ящик.

Так как в асимметричном шифровании применяются сложные математические расчеты, нужно много вычислительных ресурсов. TLS решает эту проблему, используя асимметричное шифрование только в начале сессии, чтобы зашифровать общение между сервером и клиентом. Сервер и клиент должны договориться об одном ключе сессии, который они будут вдвоем использовать, чтобы зашифровать пакеты данных.

Процесс, согласно которому клиент и сервер договариваются о ключе сессии, называется рукопожатием. Это момент, когда 2 общающихся компьютера представляются другу другу.

Процесс TLS-рукопожатия

Процесс TLS-рукопожатия довольно сложный. Шаги внизу отображают процесс в общем, чтобы вы понимали, как это работает в целом.

1. Клиент связывается с сервером и запрашивает безопасное соединение. Сервер отвечает списком шифров — алгоритмическим набором для создания зашифрованных соединений — которым он знает, как пользоваться. Клиент сравнивает список со своим списком поддерживаемых шифров, выбирает подходящий и дает серверу знать, какой они будут использовать вдвоем.
2. Сервер предоставляет свой цифровой сертификат — электронный документ, подписанный третьей стороной, который подтверждает подлинность сервера. Самая важная информация в сертификате — это публичный ключ к шифру. Клиент подтверждает подлинность сертификата.
3. Используя публичный ключ сервера, клиент и сервер устанавливают ключ сессии, который они оба будут использовать на протяжении всей сессии, чтобы шифровать общение. Для этого есть несколько методов. Клиент может использовать публичный ключ, чтобы шифровать произвольное число, которое потом отправляется на сервер для расшифровки, и обе стороны потом используют это число, чтобы установить ключ сессии.

Ключ сессии действителен только в течение одной непрерывной сессии. Если по какой-то причине общение между клиентом и сервером прервется, нужно будет новое рукопожатие, чтобы установить новый ключ сессии.

Уязвимости протоколов TLS 1.2 и TLS 1.2

TLS 1.2 — самая распространенная версия протокола. Эта версия установила исходную платформу опций шифрования сессий. Однако, как и некоторые предыдущие версии протокола, этот протокол разрешал использовать более старые техники шифрования, чтобы поддерживать старые компьютеры. К сожалению, это привело к уязвимостям версии 1.2, так как эти более старые механизмы шифрования стали более уязвимыми.

Например, протокол TLS 1.2 стал особенно уязвимым к атакам типа активного вмешательства в соединение, в которых хакер перехватывает пакеты данных посреди сессии и отправляет их после прочтения или изменения их. Многие из этих проблем проявились за последние 2 года, поэтому стало необходимым срочно создать обновленную версию протокола.

TLS 1.3

Версия 1.3 протокола TLS, которая скоро будет финализирована, решает множество проблем с уязвимостями тем, что отказывается от поддержки устаревших систем шифрования.
В новой версии есть совместимость с предыдущими версиями: например, соединение откатится до версии TLS 1.2, если одна из сторон не сможет использовать более новую систему шифрования в списке разрешенных алгоритмов протокола версии 1.3. Однако при атаке типа активного вмешательства в соединение, если хакер принудительно попытается откатить версию протокола до 1.2 посреди сессии, это действие будет замечено, и соединение прервется.

Как включить поддержку TLS 1.3 в браузерах Google Chrome и Firefox

Firefox и Chrome поддерживают TLS 1.3, но эта версия не включена по умолчанию. Причина в том, что она существует пока только в черновом варианте.

Mozilla Firefox

Введите about:config в адресную строку браузера. Подтвердите, что вы осознаете риски.

1. Откроется редактор настроек Firefox.
2. Введите в поиске security.tls.version.max
3. Поменяйте значение на 4, сделав двойной щелчок мышью на нынешнее значение.

Google Chrome

1. Введите chrome://flags/ в адресную строку браузера, чтобы открыть панель с экспериментами.
2. Найдите опцию #tls13-variant
3. Нажмите на меню и поставьте Enabled (Draft).
4. Перезапустите браузер.

Как проверить, что ваш браузер использует версию 1.2

Напоминаем, что версия 1.3 еще не используется публично. Если вы не хотите
использовать черновой вариант, вы можете остаться на версии 1.2.

Чтобы проверить, что ваш браузер использует версию 1.2, проделайте те же шаги, что и в инструкциях выше, и убедитесь, что:

• Для Firefox значение security.tls.version.max равно 3. Если оно ниже, поменяйте его на 3, сделав двойной щелчок мышью на нынешнее значение.
• Для Google Chrome: нажмите на меню браузера — выберите Settings — выберите Show advanced settings — опуститесь до раздела System и нажмите на Open proxy settings…:

• В открывшемся окне нажмите на вкладку Security и проверьте, чтобы для поля Use TLS 1.2 стояла галочка. Если не стоит — поставьте и нажмите OK:

Изменения войдут в силу после того, как вы перезагрузите компьютер.

Быстрый инструмент для проверки версии протокола SSL/TLS браузера

Зайдите в онлайн-инструмент проверки версии протокола SSL Labs. Cтраница покажет в реальном времени используемую версию протокола, и подвержен ли браузер каким-то уязвимостям.

Источники: перевод статьи из издания CSO и перевод статьи из технологического блога Ghacks

Протокол TLS, протокол SSL что это такое | Параметры безопасности протокола TLS | REG.RU

В основе функционирования интернета лежит работа различных протоколов (TCP, IP и других). Все они работают сообща и каждый из них выполняет конкретную функцию.

В 1995 году был внедрён SSL (англ. Secure Sockets Layer) — криптографический протокол, обеспечивающий безопасную связь между пользователем и сервером. Благодаря его работе можно было безопасно передавать информацию или обмениваться данными. Однако в 2014 году в его работе обнаружили уязвимости. И на основе SSL 3.0 был разработан новый стандарт — TLS.

Протокол TLS (англ. Transport Layer Security) — криптографический протокол, который обеспечивает защищённый обмен данными между сервером и клиентом. Протокол работает на трёх уровнях защиты:

• отвечает за конфиденциальность передаваемых от компьютера к компьютеру данных,
• проводит аутентификацию,
• следит за целостностью передаваемой информации.

При разработке были учтены и исправлены все ошибки предшественника. В отличие от SSL новый протокол регулярно обновляется и продолжает развитие. В настоящее время для защиты соединения применяется только TLS-протокол. Поэтому, когда речь идёт о протоколе SSL, на самом деле подразумевается протокол TLS.

Защита данных c SSL

Установите SSL-сертификат, и ваш сайт будет работать по протоколу безопасного соединения HTTPS

TLS-протокол лежит в основе безопасного обмена информацией, но не обеспечивает его сам по себе. Чтобы защищённое соединение состоялось, нужно настроить одно из безопасных интернет-соединений, например — FTP (для передачи и загрузки файлов), IMAP/POP3/SMTP (для почтовых протоколов) и HTTPS (для интернет-страниц).

HTTPS — самый известный протокол безопасного соединения, который защищает данные на уровне браузера.

Однако, чтобы сайт заработал по безопасному соединению HTTPS, нужно выбрать и установить для сайта SSL-сертификат. Подробнее об этом читайте в статье Что такое протокол https и принципы его работы и Что такое secure sockets layer и как работает SSL.

Параметры безопасности протокола TLS

Любое действие в сети представляет собой обмен данными между компьютером (сервером) пользователя и сервером, на котором хранится информация. При каждом вводе запроса в поисковую строку, авторизации в аккаунте или переходе с одной страницы сайта на другую, пользователь и сервер взаимодействуют друг с другом. Такие взаимодействия называются транзакциями, а их совокупность — сессией. TLS отвечает за безопасность транзакций и сессии в целом.

Протокол TLS обеспечивает защиту в три этапа:

• Handshake,
• False Start,
• Chain of trust.

На этапе TLS Handshake (рукопожатие) происходит согласование параметров соединения (версии протокола, способа шифрования и соединения) между клиентом и сервером. Для этого используется обмен ключами по алгоритму RSA:

Для каждой такой проверки требуется большое количество вычислительных ресурсов. Чтобы не устанавливать новое соединение и не проверять сертификат повторно каждую транзакцию, была разработана процедура TLS False Start.

TLS False Start (фальстарт) — процедура возобновления сессии. Если транзакции выполняются в пределах одной запущенной сессии, данный этап позволяет пропустить процедуру Handshake. Протокол повторно использует те данные, которые уже были обработаны и подтверждены в начале сессии. При этом каждая сессия имеет свой срок жизни. Как только срок сессии истекает, с помощью TLS Handshake запускается новая сессия.

Также обязательная процедура TLS-соединения — TLS Chain of trust (цепочка доверия). Она отвечает за аутентификацию между клиентом и сервером. «Цепочка доверия» работает на основе регулярной проверки подлинности — соответствия сертификатов стандартам Сертификационных центров, которые их выдают. Подлинность сертификата регулярно проверяется в течение сессии. Если обнаружится, что сертификат скомпрометирован (то есть данные под его защитой были перехвачены), данные будут отозваны, транзакция не состоится и сессия будет прервана.

Таким образом, при передаче данных сначала вызывается процедура Handshake или False Start, которая согласовывает параметры, а затем Chain of trust, которая обеспечивает аутентификацию (проверку авторства передаваемой информации). Подробнее о принципах работы TLS читайте в официальной документации Datatracker.

Влияние SSL/TLS на SEO

SEO (Search Engine Optimization, поисковая оптимизация) – это всестороннее развитие и продвижение сайта для его выхода на первые позиции в результатах выдачи поисковых систем (SERPs). Поисковая оптимизация способствует увеличению посещаемости сайта.

Использование SSL-сертификата влияет на SEO-показатели, однако это влияние является скорее косвенным. С 2015 года Google отдаёт приоритет ранжирования (то есть назначения сайту места в поисковой выдаче) тем сайтам, которые работают по протоколу HTTPS. Такой же политики придерживается компании Яндекс и Mozilla.

Браузер Google Chrome — один из самых популярных браузеров в рунете. С недавнего времени Chrome отмечает HTTP-сайты как небезопасные:

Основной риск работы по HTTP заключается в том, что часть потенциальной аудитории сайта может просто испугаться предупреждения в строке браузера. Пользователи покинут страницу сайта раньше, чем она успеет загрузиться, а значит посещаемость сайта будет низкой.

Установка SSL/TLS

В компании REG.RU вы можете приобрести SSL-сертификат, который работает по TLS версии 1.2. Для этого выберите подходящий сертификат и выполните три шага — закажите, активируйте и установите его на сайт.

Если вам не удалось создать защищенный канал SSL/TLS или у вас возникли проблемы с настройкой протокола SSL, обратитесь за помощью к нашим специалистам через заявку в службу поддержки.

Проверка сайта на SSL/TLS

Помимо быстрой проверки через поисковую строку браузера, любой сайт можно дополнительно проверить на наличие безопасного соединения через специальные сервисы. В статье Как проверить SSL-сертификат мы подробно рассказали про самые популярные сервисы проверки. С их помощью также можно точно определить, по какому протоколу работает сайт.

Рассмотрим вариант проверки сайта с помощью сервиса SSL Server Test. Для этого:

1. 1.
   В браузере перейдите на страницу SSL Server Test.
2. 2.
   В поле «Hostname» введите домен и нажмите Submit:

3. 3.

   Дождитесь окончания проверки. В блоке «Configuration» вы увидите протоколы, которые поддерживает сайт:

Такой результат показывает, что сайт работает по безопасному подключению TLS версии 1.2. Если в результатах выдачи вы увидите «Yes» напротив пунктов SSL 2 или 3 — значит сайту нельзя доверять.

Защитите данные с помощью SSL

Защитите данные на вашем сайте от мошенников. Установите SSL-сертификат, чтобы сайт работал по HTTPS-протоколу.

Подробнее

Помогла ли вам статья?

10
раз уже помогла

Что такое SSL?

Secure Sockets Layer (SSL) был самым популярным криптографическим протоколом для интернет-коммуникаций, пока в 1999 году на смену ему не пришел TLS (Transport Layer Security). Несмотря на устаревание протокола SSL и переход на TLS, большинство по-прежнему называют эту технологию «SSL».

SSL обеспечивает безопасный канал связи между двумя машинами или устройствами, работающими через интернет или внутреннюю сеть. Одним из распространенных примеров является использование SSL для безопасной связи между веб-браузером и веб-сервером. Это превращает адрес веб-сайта из HTTP в HTTPS, а буква «S»означает «безопасный» (secure).

HTTP небезопасен и подвержен подслушиванию, поскольку данные, передаваемые из браузера на сервер или между другими конечными точками, передаются в открытом виде. Это означает, что злоумышленники могут перехватывать и просматривать конфиденциальные данные, такие как номер и CVC банковской карты или пароли от аккаунтов. Когда данные отправляются через браузер с использованием HTTPS, то SSL гарантирует, что такая информация зашифрована и защищена от перехвата.

Как понять, что сайт защищен с помощью SSL?

Технически, SSL — это прозрачный протокол, который практически не требует взаимодействия с конечным пользователем при установлении защищенного сеанса. В случае браузера вы можете определить, что сайт использует SSL, когда отображается значок замка, и вы нажимаете на него, чтобы открыть информацию о цифровом сертификате.

Вот пример сайта, защищенного с помощью SSL в Chrome 81, по сравнению с небезопасным сайтом.

Зачем мне нужен SSL?

Поскольку так много наших повседневных транзакций и коммуникаций происходит в интернете, трудно обосновать отказ от использования SSL. Протокол поддерживает следующие принципы информационной безопасности:

• Шифрование: защита передачи данных (например, с браузера на сервер, между серверами, с приложения на сервер и т. д.)
• Аутентификация: гарантия, что сервер, к которому вы подключены, на самом деле правильный сервер
• Целостность данных: арантия, что запрашиваемые или отправляемые данные были переданы в неприкосновенности.

SSL используется для обеспечения безопасности:

• Онлайн-транзакции по кредитным картам или другие онлайн-платежи.
• Трафик в интранете: локальные сети, обмен файлами, экстранеты и подключения к базам данных.
• Почтовые серверы, такие как Outlook Web Access, Exchange и Office Communications Server.
• Соединение между почтовым клиентом, например, Microsoft Outlook, и почтовым сервером, например, Microsoft Exchange.
• Передача файлов через службы HTTPS и FTP(s), например, когда владельцы веб-сайтов обновляют новые страницы на своих веб-сайтах или передают большие файлы.
• Вход в приложения и панели управления, такие как Parallels, cPanel и другие.
• Рабочие процессы и приложения виртуализации, такие как Citrix Delivery Platform или платформы облачных вычислений.
• Вход в систему управления хостингом, такую как Parallels Plesk, cPanel и другие.

Как я могу получить SSL?

Чтобы использовать SSL в своем бизнесе, вам необходимо приобрести SSL-сертификат.

Нажмите здесь, чтобы узнать больше о сертификатах SSL

Что такое SSL, TLS? И как работает этот протокол шифрования

С первых дней Интернета протокол SSL и его потомок, TLS, обеспечивали шифрование и безопасность, которые делают возможной современную Интернет-торговлю. Многолетняя история этих протоколов отмечена постоянными обновлениями, которые направлены на то, чтобы идти в ногу со все более изощренными злоумышленниками. Следующая основная версия протокола, TLS 1.3, скоро будет завершена — и большинство тех, кто запускает веб-сайт, захотят обновить его, потому что киберпреступники догоняют его.

Что такое SSL?

Secure Sockets Layer, или SSL, было первоначальным названием протокола, когда он был разработан в середине 1990-х годов компанией Netscape, которая сделала самый популярный веб-браузер того времени. SSL 1.0 никогда не был выпущен для широкой публики, а SSL 2.0 имел серьезные недостатки. SSL 3.0, выпущенный в 1996 году, был полностью переработан и подготовил почву для того, что последовало за этим.

TLS против SSL

Когда в 1999 году была выпущена следующая версия протокола, она была стандартизирована Инженерной группой Интернета (IETF) и получила новое имя: Transport Layer Security, или TLS.Как отмечается в спецификации TLS, «различия между этим протоколом и SSL 3.0 несущественны». Таким образом, дело не в TLS и SSL; скорее, они образуют непрерывно обновляемую серию протоколов и часто объединяются как SSL / TLS.

Протокол TLS шифрует интернет-трафик всех типов. Самый распространенный — это веб-трафик; вы знаете, что ваш браузер подключен через TLS, если URL-адрес в вашем адресе начинается с «https», и есть индикатор с замком, говорящий вам, что соединение безопасно, как на этом снимке экрана из Chrome:

Но TLS может использоваться другими а также приложения, включая электронную почту и usenet.

Как работает SSL

Шифрование необходимо для безопасной связи через Интернет: если ваши данные не зашифрованы, любой может проверить ваши пакеты и прочитать конфиденциальную информацию. Самый безопасный метод шифрования называется асимметричной криптографией ; для правильной работы требуются два криптографических ключа — фрагменты информации, обычно очень большие числа — один открытый и один частный. Математика здесь сложна, но, по сути, вы можете использовать открытый ключ для шифрования данных, но вам нужен закрытый ключ для дешифрования данных.Два ключа связаны друг с другом сложной математической формулой, которую трудно переконструировать с помощью грубой силы. Подумайте об открытом ключе как об информации о местонахождении запертого почтового ящика с прорезью на передней панели, а о закрытом ключе как о ключе, который открывает почтовый ящик. Любой, кто знает, где находится почтовый ящик, может поместить в него сообщение; но чтобы кто-нибудь еще его прочитал, им нужен закрытый ключ.

Поскольку асимметричная криптография включает в себя эти сложные математические задачи, она требует много вычислительных ресурсов, настолько много, что, если бы вы использовали ее для шифрования всей информации в сеансе связи, ваш компьютер и соединение остановились бы.TLS решает эту проблему, используя асимметричную криптографию только в самом начале сеанса связи, чтобы зашифровать диалог, сервер и клиент должны согласовать один сеансовый ключ , который они оба будут использовать для шифрования своих пакетов с этого момента. . Шифрование с использованием общего ключа называется симметричной криптографией , и требует гораздо меньше вычислительных ресурсов, чем асимметричная криптография. Поскольку этот сеансовый ключ был установлен с использованием асимметричной криптографии, сеанс связи в целом намного безопаснее, чем был бы в противном случае.

Процесс согласования этого сеансового ключа называется рукопожатием , , поскольку это момент, когда два взаимодействующих компьютера знакомятся друг с другом, и он лежит в основе протокола TLS.

Процесс установления связи SSL

Процесс установления связи довольно сложен, и существует ряд вариаций, разрешенных протоколом. Следующие шаги представляют собой общую схему, которая должна дать вам представление о том, как это работает.

1. Клиент связывается с сервером и запрашивает безопасное соединение.Сервер отвечает списком из наборов шифров — алгоритмических инструментов для создания зашифрованных соединений, — которые он знает, как использовать. Клиент сравнивает это со своим собственным списком поддерживаемых наборов шифров, выбирает один и сообщает серверу, что они оба будут его использовать.
2. Затем сервер предоставляет свой цифровой сертификат , электронный документ , выданный сторонним органом и подтверждающий идентичность сервера. Мы обсудим цифровые сертификаты более подробно чуть позже, но сейчас самое важное, что вам нужно знать о них, — это то, что они содержат открытый криптографический ключ сервера.Как только клиент получает сертификат, он подтверждает подлинность сертификата.
3. Используя открытый ключ сервера, клиент и сервер устанавливают сеансовый ключ, который оба будут использовать до конца сеанса для шифрования связи. Для этого есть несколько приемов. Клиент может использовать открытый ключ для шифрования случайного числа, которое затем отправляется на сервер для расшифровки, и обе стороны затем используют это число для установки сеансового ключа. В качестве альтернативы обе стороны могут использовать так называемый обмен ключами Диффи-Хеллмана для установления сеансового ключа.

В этой статье на SSL.com есть отличная диаграмма, описывающая каждый этап связи в процессе установления связи TLS.

Как следует из названия, сеансовый ключ годен только для одного непрерывного сеанса связи. Если по какой-либо причине связь между клиентом и сервером прервана — например, из-за сетевой проблемы или из-за того, что клиент слишком долго бездействует, — потребуется новое рукопожатие, чтобы установить новый сеансовый ключ, когда связь будет восстановлена. .

Что такое сертификат SSL?

Вернемся к концепции SSL-сертификата . Как ясно из описания в предыдущем разделе, эти сертификаты лежат в основе протокола SSL / TLS: они предоставляют клиенту открытый криптографический ключ, необходимый для инициирования безопасных соединений. Но их цель выходит за рамки простой поставки самого ключа; они также подтверждают, что ключ действительно связан с организацией, предлагающей его клиенту.

Как это работает? Сертификаты выдаются центрами сертификации (CA), которые служат эквивалентом паспортного стола, когда дело доходит до подтверждения личности.Организации, которые хотят предлагать услуги, зашифрованные с помощью TLS, должны приобретать сертификаты у центров сертификации, которые, в свою очередь, проверяют, являются ли организации теми, кем они себя называют. Например, если вы хотите купить сертификат для защиты веб-сайта на example.com, вам придется предпринять некоторые шаги, чтобы доказать центру сертификации, что вы контролируете домен example.com. Таким образом, если кто-то подключается к example.com и получает действительный сертификат SSL, выданный доверенным центром сертификации, он может быть уверен, что общается с законным владельцем example.com. Это может предотвратить атаки человека посередине.

Обратите внимание, что в последнем абзаце мы использовали фразу «доверенный центр сертификации». Кто угодно может стать центром сертификации; как узнать, какие из них проводят комплексную проверку, необходимую для аутентификации своих клиентов? К счастью, работа по выяснению этого в основном выполняется производителями программного обеспечения. Mozilla Foundation ведет список центров сертификации, которым будет доверять Firefox; Apple и Microsoft также ведут списки, которые они внедряют на уровне ОС для Windows, macOS и iOS, которые Chrome использует на этих платформах.Решения о том, каким центрам сертификации доверять, имеют высокие ставки, поскольку в 2017 году выяснилось, что Google и Symantec разошлись по поводу слабых стандартов Symantec.

Стандарт, определяющий сертификаты SSL, называется X.509. Этот стандарт позволяет сертификатам нести большой объем информации, помимо открытого ключа и подтвержденной личности владельца сертификата; DigiCert — это центр сертификации, база знаний которого содержит подробные сведения о стандарте.

SSL checkers

Практически весь обмен и подтверждение информации, описанной выше, происходит за кулисами, когда вы общаетесь с серверами, которые предлагают соединения с шифрованием TLS.Если вы хотите получить немного больше прозрачности, вы можете ввести URL-адрес SSL / TLS-зашифрованного сайта на SSL checker веб-сайт . Средство проверки вернет множество информации о сертификате тестируемого сайта, включая тип сервера, какие веб-браузеры будут доверять сертификату, а также его эмитент, серийный номер и дату истечения срока действия.

Большинство средств проверки SSL — это бесплатные услуги, предлагаемые центрами сертификации в качестве маркетинговых инструментов для своих товаров; многие, например, позволят вам установить предупреждение о том, когда истечет срок действия проверенного сертификата, при условии, что это ваш сертификат, и вы будете искать новый по мере приближения этой даты.Если вы ищете менее коммерческую альтернативу, обратите внимание на средство проверки SSL от Qualys SSL Labs, которое обеспечивает особенно надежный сбор информации об проверенных веб-сайтах.

Уязвимости TLS 1.2 и TLS 1.2

TLS 1.2 — это самая последняя определенная версия протокола, которая существует уже несколько лет. Он установил множество новых криптографических опций для связи. Однако, как и некоторые предыдущие версии протокола, он также позволял использовать старые методы шифрования для поддержки старых компьютеров.К сожалению, это открыло его для уязвимостей, поскольку эти старые методы со временем стали более уязвимыми, а вычислительные мощности стали дешевле.

В частности, TLS 1.2 становится все более уязвимым для так называемых атак «человек посередине», при которых хакер перехватывает пакеты во время обмена данными и отправляет их после прочтения или изменения. Он также открыт для атак POODLE, SLOTH и DROWN. Многие из этих проблем возникли за последние два года, что усилило чувство безотлагательности обновления протокола.

TLS 1.3

К счастью, помощь уже скоро. Версия 1.3 протокола TLS, которая в настоящее время находится в стадии черновика, но скоро будет завершена, закрывает множество этих дыр, отказываясь от поддержки устаревших систем шифрования. Существует обратная совместимость в том смысле, что соединения будут возвращаться к TLS 1.2, если один конец не может использовать новые системы шифрования из утвержденного списка 1.3. Однако, если, например, атака «злоумышленник-посередине» попытается принудительно выполнить откат до 1,2 для отслеживания пакетов, это будет обнаружено, и соединение будет разорвано.

Есть еще серверы, которые используют версии TLS даже старше 1.2 — некоторые все еще используют исходный протокол SSL. Если ваш сервер является одним из таких, вам следует обновить его сейчас, а просто прыгнуть вперед и перейти на черновую версию 1.3.

Преступное ПО TLS

Последнее замечание о TLS и безопасности: не только хорошие парни его используют! Многие киберпреступники используют TLS для шифрования командного трафика между своими серверами и вредоносными программами, установленными на компьютерах их жертв.Это в конечном итоге меняет обычное положение дел и заставляет жертв киберпреступлений искать способ расшифровать трафик. Существует ряд методов борьбы с этим видом зашифрованной атаки, в том числе использование сетевых метаданных о зашифрованном трафике, чтобы получить представление о том, что делают злоумышленники, фактически не читая их.

Copyright © 2018 IDG Communications, Inc.

Что такое SSL, TLS и HTTPS?

#

256-битное шифрование Процесс шифрования электронного документа с использованием алгоритма, длина ключа которого составляет 256 бит.Чем длиннее ключ, тем он прочнее.

А

Асимметричная криптография. Это шифры, которые подразумевают пару из 2 ключей во время процессов шифрования и дешифрования. В мире SSL и TLS мы называем их открытыми и закрытыми ключами.

С

Запрос на подпись сертификата (CSR) Машиночитаемая форма приложения сертификата DigiCert. CSR обычно содержит открытый ключ и отличительное имя запрашивающей стороны.

Центр сертификации (CA) Организация, уполномоченная выдавать, приостанавливать, обновлять или отзывать сертификаты в соответствии с CPS (Заявление о практике сертификации).Центры сертификации идентифицируются по отличительному имени во всех выпускаемых ими сертификатах и ​​списках отзыва сертификатов. Центр сертификации должен опубликовать свой открытый ключ или предоставить сертификат от ЦС более высокого уровня, подтверждающий действительность его открытого ключа, если он подчиняется первичному центру сертификации. DigiCert — это первичный центр сертификации (PCA).

Набор шифров. Это набор протоколов обмена ключами, который включает в себя алгоритмы аутентификации, шифрования и аутентификации сообщений, используемые в протоколах SSL.

Общее имя (CN) Значение атрибута в отличительном имени сертификата. Для сертификатов SSL обычным именем является имя хоста DNS сайта, который необходимо защитить. Для сертификатов издателя программного обеспечения общим названием является название организации.

Ошибка подключения Когда проблемы безопасности, препятствующие запуску безопасного сеанса, отмечаются при попытке доступа к сайту.

D

Проверка домена (DV) SSL-сертификаты Самый базовый уровень SSL-сертификата, только право собственности на доменное имя проверяется перед выдачей сертификата.

E

Elliptic Curve Cryptography (ECC) Создает ключи шифрования на основе идеи использования точек на кривой для определения пары открытого / закрытого ключей. Чрезвычайно сложно взломать методы грубой силы, часто используемые хакерами, и предлагает более быстрое решение с меньшей вычислительной мощностью, чем чистое шифрование цепочки RSA.

Шифрование Процесс преобразования читаемых (открытый текст) данных в неразборчивую форму (зашифрованный текст), так что исходные данные либо не могут быть восстановлены (одностороннее шифрование), либо не могут быть восстановлены без использования процесса обратного дешифрования (двустороннее шифрование).

SSL-сертификаты с расширенной проверкой (EV) Наиболее полная форма безопасного сертификата, который проверяет домен, требует очень строгой аутентификации компании и выделяет его в адресной строке.

К

Обмен ключами. Таким образом пользователи и сервер безопасно устанавливают предварительный секрет для сеанса.

м

Главный секрет Материал ключа, используемый для генерации ключей шифрования, секретов MAC и векторов инициализации.

Код аутентификации сообщения (MAC) Односторонняя хэш-функция, организованная для сообщения и секрета.

O

Проверка организации (OV) SSL-сертификаты Тип SSL-сертификата, который подтверждает право собственности на домен и существование организации, стоящей за ним.

-П

Предварительный главный секрет Материал ключа, используемый для деривации основного секрета.

Инфраструктура открытых ключей (PKI) Архитектура, организация, методы, практики и процедуры, которые в совокупности поддерживают реализацию и работу криптографической системы с открытым ключом на основе сертификатов.PKI состоит из систем, которые взаимодействуют друг с другом для предоставления и реализации криптографической системы с открытым ключом и, возможно, других связанных служб.

S

Secure server Сервер, который защищает веб-страницы хоста с помощью SSL или TLS. Когда используется защищенный сервер, он аутентифицируется для пользователя. Кроме того, информация о пользователе перед отправкой через Интернет шифруется протоколом SSL веб-браузера пользователя. Информация может быть расшифрована только тем хост-сайтом, который ее запросил.

SAN (альтернативное имя субъекта) SSL-сертификаты Тип сертификата, который позволяет защитить несколько доменов с помощью одного SSL-сертификата.

SSL Обозначает уровень защищенных сокетов. Протокол для веб-браузеров и серверов, который позволяет выполнять аутентификацию, шифрование и дешифрование данных, отправляемых через Интернет.

SSL-сертификат Сертификат сервера, позволяющий аутентифицировать сервер для пользователя, а также разрешающий шифрование данных, передаваемых между сервером и пользователем.Сертификаты SSL продаются и выдаются непосредственно DigiCert, а также через платформу DigiCert PKI для SSL Center.

SSL Handshake Протокол, используемый в SSL для согласования безопасности.

Симметричное шифрование Метод шифрования, подразумевающий использование одного и того же ключа, используется как в процессе шифрования, так и в процессе дешифрования.

т

TCP Протокол управления передачей данных, один из основных протоколов в любой сети.

Вт

Wildcard SSL-сертификаты Тип сертификата, используемого для защиты нескольких поддоменов.

SSL против TLS — в чем разница?

Примечание редактора: этот пост был первоначально опубликован в июле 2016 года и был обновлен старшим менеджером по маркетингу продуктов GlobalSign Патриком Ноэ, чтобы отразить последние изменения в развитии SSL.

Если вы не работаете с ним регулярно, есть большая вероятность, что вы не знаете разницы между SSL (Secure Sockets Layers) и TLS (Transport Layer Security). И эта отрасль не окажет вам особого внимания, если в разговорной речи называть TLS SSL.Всего было четыре версии протокола TLS. SSL был (или должен быть) полностью устаревшим. Итак, в чем разница между SSL и TLS?

Вы скоро узнаете.

Краткая история SSL и TLS

SSL и TLS — это криптографические протоколы, которые обеспечивают аутентификацию и шифрование данных между серверами, машинами и приложениями, работающими в сети (например, клиент, подключающийся к веб-серверу). На самом деле SSL всего около 25 лет.Но в годы интернета это уже давно. Первая итерация SSL, версия 1.0, была впервые разработана в 1995 году компанией Netscape, но так и не была выпущена из-за серьезных недостатков безопасности. SSL 2.0 был ненамного лучше, поэтому всего год спустя был выпущен SSL 3.0. Опять же, у него были серьезные недостатки в безопасности.

В этот момент ребята из Consensus Development взяли курс на это и разработали TLS 1.0. TLS 1.0 был невероятно похож на SSL 3.0 — на самом деле он был основан на нем — но все же достаточно отличался, чтобы потребовать перехода на более раннюю версию до SSL 3.0 можно использовать. Как писали создатели протокола TLS:

«Различия между этим протоколом и SSL 3.0 несущественны, но они достаточно значительны, чтобы TLS 1.0 и SSL 3.0 не взаимодействовали».

Переход на SSL 3.0 все еще был опасен, учитывая известные уязвимости, которыми можно воспользоваться. Все, что нужно было сделать злоумышленнику для нацеливания на веб-сайт, — это понизить протокол до SSL 3.0. Отсюда и рождение атак на понижение версии. Это стало гвоздем в крышку гроба для TLS 1.0.

TLS 1.1 вышел семь лет спустя, в 2006 году, на смену TLS 1.2 в 2008 году. Это повредило принятию TLS 1.1, поскольку многие веб-сайты просто обновились с 1.0 до TLS 1.2. Сейчас мы находимся на TLS 1.3, который был завершен в 2018 году после 11 лет и почти 30 проектов IETF.

TLS 1.3 значительно лучше своих предшественников, и сейчас основные игроки в Интернете настаивают на его распространении. Microsoft, Apple, Google, Mozilla и Cloudflare объявили о планах отказаться от TLS 1.0 и TLS 1.1 в январе 2020 года, что сделало TLS 1.2 и TLS 1.3 единственной игрой в городе.

В любом случае, мы используем TLS последние пару десятилетий. На данный момент, если вы все еще используете SSL, вы отстали на несколько лет, образно говоря, живете в безнадежную эпоху, когда люди все еще используют телефонные линии для подключения к Интернету.

Что следует использовать: SSL или TLS?

Протоколы SSL 2.0 и 3.0 были объявлены устаревшими Инженерной группой Интернета, также известной как IETF, в 2011 и 2015 годах соответственно.На протяжении многих лет уязвимости обнаруживались и продолжают обнаруживаться в устаревших протоколах SSL (например, POODLE, DROWN). Большинство современных браузеров будут отображать ухудшенное взаимодействие с пользователем (например, линия через замок или https в строке URL-адреса или другие предупреждения безопасности), когда они сталкиваются с веб-сервером, использующим старые протоколы. По этим причинам вам следует отключить SSL 2.0 и 3.0 в конфигурации вашего сервера, а пока вы это делаете, продолжайте и откажитесь от поддержки TLS 1.0 и TLS 1.1.
Согласно недавнему опросу WatchGuard, почти 7% из 100 000 Alexa все еще поддерживают SSL 2.0 и / или SSL 3.0. Так что этих сайтов по-прежнему много.

Сертификаты

не совпадают с протоколами

Прежде чем кто-либо начнет беспокоиться о необходимости замены существующих сертификатов SSL на сертификаты TLS, важно отметить, что сертификаты не зависят от протоколов. То есть вам не нужно использовать сертификат TLS вместо сертификата SSL. Хотя многие поставщики склонны использовать фразу «Сертификат SSL / TLS», было бы правильнее называть их «Сертификатами для использования с SSL и TLS», поскольку протоколы определяются конфигурацией вашего сервера, а не самими сертификатами.

Это касается и надежности шифрования. Многие сертификаты заявляют о надежности шифрования, но на самом деле это определяют возможности сервера и клиента. В начале каждого соединения происходит процесс, называемый рукопожатием. Во время этого процесса клиент аутентифицирует сертификат TLS сервера, и оба выбирают взаимно поддерживаемый набор шифров. Наборы шифров — это набор алгоритмов, которые работают вместе, чтобы надежно зашифровать ваше соединение с этим веб-сайтом.Когда набор шифров согласовывается во время рукопожатия, именно тогда определяются версия протокола и поддерживающие алгоритмы. Ваш сертификат просто облегчает процесс.

Исторически сложилось так, что в наборе шифров было четыре алгоритма:

• Обмен ключами
• Цифровая подпись
• Аутентификация сообщений
• Алгоритм хеширования

(Если это покажется маловажным, это не пройдет через секунду, когда мы обсудим различия между SSL и TLS.)

На данный момент, вероятно, вы по-прежнему будете видеть сертификаты, называемые сертификатами SSL, потому что на данный момент это термин, с которым знакомо больше людей. Мы начинаем видеть более широкое использование термина TLS в отрасли, и SSL / TLS является обычным компромиссом, пока TLS не станет более широко распространенным.

Отличаются ли SSL и TLS криптографически?

Да. Разница между каждой версией протокола может быть невелика, но если вы сравнивали SSL 2.0 до TLS 1.3 между ними будет каньон. По сути, концепция одинакова во всех версиях. Это просто способ, которым разные протоколы решают задачу шифрования расходящихся соединений.

Каждая недавно выпущенная версия протокола поставляется со своими собственными улучшениями и / или новыми / устаревшими функциями. Первая версия SSL так и не была выпущена, вторая версия была выпущена, но имела некоторые серьезные недостатки, SSL версия 3 была переработкой второй версии (для исправления этих недостатков — с ограниченным успехом), а TLS версии 1 — улучшением SSL версии 3.Между TLS 1.0 и 1.1 изменения были незначительными. TLS 1.2 внес некоторые существенные изменения, а TLS 1.3 усовершенствовал и упростил весь процесс.

Здесь стоит отметить, что SSL и TLS просто относятся к рукопожатию, которое происходит между клиентом и сервером. Само по себе рукопожатие не выполняет никакого шифрования, оно просто согласовывает общий секрет и тип шифрования, который будет использоваться. Подтверждение связи SSL использует порт для установления соединения. Это называется явным подключением.Порт 443 является стандартным портом для HTTPS, но всего имеется 65 535 портов, и лишь некоторые из них предназначены для определенной функции.

TLS, наоборот, начинает свои соединения по протоколу. Это называется неявным подключением. Самый первый шаг рукопожатия — действие, которое его начинает — называется приветствием клиента. При использовании TLS это отправляется по незащищенному каналу, и соединение переключается на порт 443 (или порт, который вы указали), как только начинается рукопожатие.

Традиционно, рукопожатие включает несколько циклов аутентификации и обмена ключами.При использовании SSL это увеличивало задержку соединений. Отсюда и зародился миф о том, что SSL / HTTPS замедляет работу вашего сайта. Каждая новая итерация протокола работала над уменьшением задержки, добавляемой рукопожатием. С помощью TLS 1.2 было доказано, что HTTPS на самом деле БЫСТРЕЕ, чем HTTP, благодаря его совместимости с HTTP / 2.

TLS 1.3 еще больше усовершенствовал рукопожатие. Теперь это можно выполнить за один проход и включить нулевое возобновление приема-передачи (0-RTT). Частично это было сделано за счет уменьшения количества поддерживаемых наборов шифров с четырех алгоритмов до двух.

Теперь это просто алгоритм массового шифрования (симметричный / сеансовый) и алгоритм хеширования. Обмен ключами и согласование цифровой подписи были удалены. Обмен ключами теперь выполняется с использованием семейства Диффи-Хеллмана, которое по умолчанию обеспечивает идеальную прямую секретность и позволяет клиенту и серверу предоставлять свою часть общего секрета при первом взаимодействии. Это первое взаимодействие теперь тоже зашифровано, закрывая дверь для возможного вектора атаки.

Для получения дополнительной информации о новых функциях, выпущенных в TLS 1.3 посетите блог Cloudflare.

Отключение SSL 2.0 и 3.0 и TLS 1.0

Если вы не уверены, что ваши серверы по-прежнему поддерживают протоколы SSL, вы можете легко проверить это с помощью нашего теста SSL-сервера. Чтобы узнать, как отключить SSL 2.0 и 3.0 на популярных типах серверов, включая Apache, NGINX и Tomcat, ознакомьтесь с нашей соответствующей статьей поддержки. Если вам все еще нужно отключить TLS 1.0, мы тоже можем помочь вам в этом.

Итак, в чем разница между SSL и TLS? В вежливой беседе — немного — и многие люди продолжают использовать термины SSL и TLS как синонимы.Однако с точки зрения конфигурации вашего сервера есть некоторые существенные архитектурные и функциональные различия. И эти различия заключаются в промежутке между уязвимостями, устаревшими наборами шифров, предупреждениями безопасности браузера и безопасным сервером. Что касается ваших серверов, у вас должны быть включены только протоколы TLS.

Есть еще вопросы о настройке SSL / TLS и передовых методах работы? Дайте нам знать об этом в комментариях; мы рады помочь!

В чем разница? Какой из них использовать?

И TLS, и SSL — это протоколы, которые помогают безопасно аутентифицировать и передавать данные в Интернете.Но в чем разница между TLS и SSL? И вам нужно беспокоиться об этом?

В этой статье вы узнаете о ключевых различиях между TLS и SSL, а также о том, как оба протокола подключаются к HTTPS. Вы также узнаете, почему вам как конечному пользователю , вероятно, не нужно слишком беспокоиться о TLS и SSL или о том, используете ли вы «сертификат SSL» или «сертификат TLS».

Вы можете нажать ниже, чтобы перейти к определенному разделу или прочитать всю статью:

В чем разница между TLS и SSL?

TLS, сокращение от Transport Layer Security, и SSL, сокращение от Secure Socket Layers, являются криптографическими протоколами, которые шифруют данные и аутентифицируют соединение при перемещении данных в Интернете.

Например, если вы обрабатываете платежи по кредитной карте на своем веб-сайте, TLS и SSL могут помочь вам безопасно обработать эти данные, чтобы злоумышленники не могли получить их.

Так в чем разница между TLS и SSL?

Ну, TLS на самом деле просто более поздняя версия SSL . Он устраняет некоторые уязвимости безопасности в более ранних протоколах SSL.

Прежде чем вы узнаете больше об особенностях, важно понять базовую историю SSL и TLS.

SSL 2.0 был впервые выпущен в феврале 1995 года (SSL 1.0 никогда не выпускался публично из-за недостатков безопасности). Хотя SSL 2.0 был выпущен публично, он также содержал недостатки безопасности и был быстро заменен SSL 3.0 в 1996 году.

Затем, в 1999 году, была выпущена первая версия TLS (1.0) как обновление до SSL 3.0. С тех пор было выпущено еще три версии TLS, последняя из которых — TLS 1.3 в августе 2018 года.

На данный момент оба общедоступных выпуска SSL устарели и имеют известные уязвимости безопасности (подробнее об этом позже).

Вот полная история выпусков SSL и TLS:

• SSL 1.0 — никогда не выпускался публично из-за проблем с безопасностью.
• SSL 2.0 — выпущен в 1995 году. Не рекомендуется в 2011 году. Известны проблемы безопасности.
• SSL 3.0 — выпущен в 1996 году. Не рекомендуется в 2015 году. Известны проблемы безопасности.
• TLS 1.0 — выпущен в 1999 году как обновление до SSL 3.0. Планируемое прекращение поддержки в 2020 году.
• TLS 1.1 — выпущен в 2006 году. Прекращение поддержки планируется в 2020 году.
• TLS 1.2 — выпущен в 2008 году.
• TLS 1.3 — выпущена в 2018 году.

Как TLS и SSL работают для защиты данных?

Вот общий процесс работы SSL и TLS.

Когда вы устанавливаете сертификат SSL / TLS на свой веб-сервер ( часто называют просто «сертификатом SSL») , он включает открытый ключ и закрытый ключ, которые аутентифицируют ваш сервер и позволяют вашему серверу шифровать и дешифровать данные.

Когда посетитель заходит на ваш сайт, его веб-браузер ищет сертификат SSL / TLS вашего сайта.Затем браузер выполнит «рукопожатие», чтобы проверить действительность вашего сертификата и аутентифицировать ваш сервер. Если сертификат SSL недействителен, ваши пользователи могут столкнуться с ошибкой «ваше соединение не защищено», из-за чего они могут покинуть ваш веб-сайт.

Как только браузер посетителя определяет, что ваш сертификат действителен и аутентифицирует ваш сервер, он, по сути, создает зашифрованное соединение между ним и вашим сервером для безопасной передачи данных.

Здесь также появляется HTTPS (HTTPS означает «HTTP через SSL / TLS»).

HTTP и более поздний HTTP / 2 — это протоколы приложений, которые играют важную роль в передаче информации через Интернет.

При использовании обычного HTTP эта информация уязвима для атак. Но когда вы используете HTTP через SSL или TLS (HTTPS), вы шифруете и аутентифицируете эти данные во время транспортировки, что делает их безопасными.

Вот почему вы можете безопасно обрабатывать данные кредитной карты через HTTPS, но не , а через HTTP, а также почему Google Chrome так настойчиво продвигает HTTPS.

Почему он называется сертификатом SSL, если SSL устарел?

Выше вы узнали, что TLS — это более новая версия SSL, и что обе общедоступные версии SSL устарели в течение нескольких лет и содержат известные уязвимости безопасности.

Это может вызвать у вас вопрос: почему он называется сертификатом SSL, а не сертификатом TLS? В конце концов, TLS — это современный протокол безопасности.

Например, если вы посмотрите на страницу функций Kinsta, вы увидите, что Kinsta рекламирует бесплатный сертификат SSL, а не бесплатный сертификат TLS.

Не волнуйтесь: Kinsta не использует устаревшие технологии!

Нет, причина, по которой большинство людей до сих пор называют их сертификатами SSL, в основном связана с брендингом. Большинство основных поставщиков сертификатов по-прежнему называют сертификаты сертификатами SSL, поэтому соглашение об именах сохраняется.

На самом деле все «SSL-сертификаты», которые вы видите в рекламе, на самом деле являются сертификатами SSL / TLS (включая бесплатные сертификаты SSL, которые мы предлагаем как часть нашей интеграции с Cloudflare).

То есть с вашим сертификатом можно использовать как протоколы SSL, так и TLS.

Не существует просто сертификата SSL или сертификата TLS, и вам не нужно беспокоиться о замене сертификата SSL на сертификат TLS.

Что следует использовать: TLS или SSL? Заменяет ли TLS SSL?

Да, TLS заменяет SSL. И да, вы должны использовать TLS вместо SSL.

Как вы узнали выше, оба общедоступных выпуска SSL устарели в значительной степени из-за известных уязвимостей в них.Таким образом, в 2019 году и далее SSL не является полностью безопасным протоколом.

TLS, более современная версия SSL, безопасна. Более того, последние версии TLS также предлагают преимущества в производительности и другие улучшения.

Подпишитесь на информационный бюллетень

Хотите узнать, как мы увеличили трафик более чем на 1000%?

Присоединяйтесь к 20 000+ другим пользователям, которые получают нашу еженедельную рассылку с инсайдерскими советами по WordPress!

Подпишитесь сейчас

TLS не только стал более безопасным и производительным, но и большинство современных веб-браузеров больше не поддерживают SSL 2.0 и SSL 3.0. Например, Google Chrome прекратил поддержку SSL 3.0 еще в 2014 году, а большинство основных браузеров планируют прекратить поддержку TLS 1.0 и TLS 1.1 в 2020 году.

Фактически, Google начал показывать предупреждения ERR_SSL_OBSOLETE_VERSION в Chrome.

Так как же убедиться, что вы используете самые последние версии TLS, а не старые небезопасные протоколы SSL?

Во-первых, помните, что ваш сертификат не совпадает с протоколом, который использует ваш сервер.Вам , а не , нужно изменить свой сертификат, чтобы использовать TLS. Несмотря на то, что он может быть обозначен как «сертификат SSL», ваш сертификат уже поддерживает протоколы SSL и TLS.

Вместо этого вы контролируете, какой протокол использует ваш веб-сайт на уровне сервера .

Если вы размещаете в Kinsta, Kinsta уже включает для вас TLS 1.3, которая является самой современной, безопасной и производительной версией, а также TLS 1.2.

Если вы размещаете в другом месте, вы можете использовать инструмент SSL Labs, чтобы проверить, какие протоколы включены для вашего сайта.

Например, если вы тестируете веб-сайт, размещенный в Kinsta, вы можете увидеть, как Kinsta включает TLS 1.2 и TLS 1.3, но отключает старые небезопасные версии SSL:

Как проверить, какие протоколы SSL / TLS использует ваш сервер.

Если вы обнаружите, что ваш сервер по-прежнему поддерживает устаревшие протоколы SSL, вы можете обратиться в службу поддержки своего хоста за помощью или выполнить следующие инструкции, чтобы отключить SSL на двух самых популярных веб-серверах (Apache и Nginx):

Почему Kinsta поддерживает несколько протоколов TLS?

Если TLS 1.3 — самый современный и производительный протокол, почему Kinsta также пытается включить немного более старый протокол TLS 1.2?

Другими словами: в чем преимущество включения нескольких протоколов?

Как вы узнали выше, квитирование SSL / TLS состоит из двух частей:

1. Ваш веб-сервер
2. Клиент (обычно это веб-браузер посетителя)

Чтобы квитирование работало, и должны поддерживать один и тот же протокол.

Итак, основным преимуществом наличия нескольких протоколов является совместимость.

Например, в то время как Chrome и Firefox добавили поддержку TLS 1.3 почти сразу после его выпуска в 2018 году, Apple и Microsoft потребовалось немного больше времени, чтобы добавить поддержку TLS 1.3.

Даже в 2019 году следующие браузеры все еще не поддерживают TLS 1.3:

• Internet Explorer
• Opera Mini
• Браузер Android
• Opera Mobile
• UC Browser для Android
• Интернет Samsung
• Браузер Baidu

TLS 1.3 поддержка веб-браузера

Но хотя TLS 1.3 еще не получил полного внедрения, все основные браузеры поддерживают TLS 1.2 в 2019 г .:

Поддержка веб-браузера TLS 1.2

Включив на сервере и TLS 1.3, и TLS 1.2, вы можете гарантировать совместимость, несмотря ни на что, при этом получая преимущества TLS 1.3 для браузеров, которые его поддерживают, таких как Chrome и Firefox.

Если вы хотите проверить, какую версию SSL / TLS использует ваш веб-браузер, вы можете использовать инструмент How’s My SSL:

Как проверить, какие протоколы SSL / TLS использует ваш браузер

Что касается безопасности, вы везде видите SSL, TLS, HTTPS… и ты можешь заблудиться. Что вообще означают все эти аббревиатуры? Вот все ответы, которые вам нужны! 🔐😀Нажмите, чтобы написать твит

Сводка

Подводя итог, можно сказать, что TLS и SSL — это протоколы для аутентификации и шифрования передачи данных в Интернете.

Они тесно связаны, и TLS на самом деле является более современной и безопасной версией SSL.

Хотя SSL по-прежнему является доминирующим термином в Интернете, большинство людей действительно имеют в виду TLS, когда говорят о SSL, потому что обе общедоступные версии SSL небезопасны и давно устарели.

Чтобы использовать протоколы SSL и TLS, вам необходимо установить сертификат на свой сервер (вот как установить сертификат SSL на WooCommerce). Опять же, хотя большинство людей называют их «сертификатами SSL», эти сертификаты поддерживают и протоколы SSL и TLS.

Вы делаете , а не , вам нужно беспокоиться об «замене» вашего SSL-сертификата на TLS-сертификат. Если вы уже установили «SSL-сертификат», можете быть уверены, что он также поддерживает TLS.

Важно использовать последние версии TLS, потому что SSL больше не является безопасным, но ваш сертификат не определяет протокол, который использует ваш сервер. Вместо этого, получив сертификат, вы можете выбрать, какие протоколы использовать на уровне сервера.

Если вы размещаете в Kinsta, Kinsta в настоящее время поддерживает TLS 1.2 и TLS 1.3, которые безопасны и поддерживаются всеми основными браузерами.

Если вам понравился этот урок, то вам понравится наша поддержка.Все планы хостинга Kinsta включают круглосуточную поддержку наших опытных разработчиков и инженеров WordPress. Общайтесь с той же командой, которая поддерживает наших клиентов из списка Fortune 500. Ознакомьтесь с нашими тарифами

Что такое SSL? — SSL.com

SSL (Secure Sockets Layer) и его преемник TLS (Transport Layer Security) — это протоколы для установления аутентифицированных и зашифрованных соединений между компьютерами в сети. Хотя протокол SSL устарел с выпуском TLS 1.0 в 1999 году, эти связанные технологии все еще часто назывались «SSL» или «SSL / TLS». Самая последняя версия — TLS 1.3 , определенная в RFC 8446 (август 2018 г.).

Прочтите, чтобы узнать больше о:

Или, для быстрого ознакомления с TL; DR в SSL, просто перейдите вперед и посмотрите короткое видео .

Нужен сертификат? SSL.com поможет вам. Сравните варианты здесь, чтобы найти правильный выбор, от сертификатов S / MIME, подписи кода и т. Д.

ЗАКАЗАТЬ СЕЙЧАС

Ключи, сертификаты и рукопожатия

SSL / TLS работает путем привязки идентификаторов таких объектов, как веб-сайты и компании, к криптографическим парам ключей через цифровые документы, известные как сертификаты X.509 . Каждая пара ключей состоит из закрытого ключа и открытого ключа . Закрытый ключ хранится в безопасности, а открытый ключ может широко распространяться через сертификат.

Особые математические отношения между закрытым и открытым ключами в паре означают, что можно использовать открытый ключ для шифрования сообщения, которое можно расшифровать только с помощью закрытого ключа.Кроме того, владелец закрытого ключа может использовать его для подписи других цифровых документов (например, веб-страниц), и любой, у кого есть открытый ключ, может проверить эту подпись.

Для подробного сравнения двух наиболее широко используемых алгоритмов цифровой подписи, используемых в SSL / TLS, прочтите нашу статью Сравнение ECDSA и RSA .

Если сам сертификат SSL / TLS подписан публично-доверенным центром сертификации (CA) , например SSL.com , сертификат будет неявно доверять клиентскому программному обеспечению, например веб-браузерам и операционным системам.Центры сертификации, пользующиеся всеобщим доверием, были одобрены основными поставщиками программного обеспечения для проверки удостоверений, которым будут доверять их платформы. Процедуры проверки и выдачи сертификатов публичного ЦС подлежат регулярным строгим аудитам для поддержания этого статуса доверия.

Посредством рукопожатия SSL / TLS частный и открытый ключи могут использоваться с общедоступным доверенным сертификатом для согласования зашифрованного и аутентифицированного сеанса связи через Интернет, даже между двумя сторонами, которые никогда не встречались. Этот простой факт является основой безопасного просмотра веб-страниц и электронной коммерции, как это известно сегодня.

Не все приложения SSL / TLS требуют общественного доверия. Например, компания может выпускать собственные доверенные сертификаты для внутреннего использования. Для получения дополнительной информации, пожалуйста, прочтите нашу статью о Private vs. Public PKI .

SSL / TLS и безопасный просмотр веб-страниц

Наиболее распространенное и известное использование SSL / TLS — безопасный просмотр веб-страниц по протоколу HTTPS .Правильно настроенный общедоступный веб-сайт HTTPS включает сертификат SSL / TLS, подписанный общедоступным доверенным центром сертификации. Пользователи, посещающие веб-сайт HTTPS, могут быть уверены:

• Подлинность. Сервер, представляющий сертификат, обладает закрытым ключом, который совпадает с открытым ключом в сертификате.
• Целостность. Документы , подписанные сертификатом (например, веб-страницы), не были изменены при передаче человеком в середине .
• Шифрование. Обмен данными между клиентом и сервером зашифрован.

Благодаря этим свойствам SSL / TLS и HTTPS позволяют пользователям безопасно передавать конфиденциальную информацию, такую ​​как номера кредитных карт, номера социального страхования и учетные данные для входа в систему через Интернет, и быть уверенным, что веб-сайт, на который они отправляют их, является подлинным. . На небезопасном веб-сайте HTTP эти данные отправляются в виде обычного текста, легко доступного любому перехватчику, имеющему доступ к потоку данных.Кроме того, пользователи этих незащищенных веб-сайтов не имеют никаких надежных сторонних заверений в том, что веб-сайт, который они посещают, является тем, за что он претендует.

Найдите следующие индикаторы в адресной строке браузера, чтобы убедиться, что посещаемый веб-сайт защищен доверенным сертификатом SSL / TLS (снимок экрана из Firefox 70.0 в macOS):

• Значок закрытого замка слева от URL. В зависимости от вашего браузера и типа сертификата, установленного на веб-сайте, замок может быть зеленым и / или сопровождаться идентификационной информацией о компании, в которой он запущен.
• Если отображается, протокол в начале URL-адреса должен быть https: // , а не http: // . Обратите внимание, что не все браузеры отображают протокол.

Современные настольные браузеры также предупреждают посетителей о небезопасных веб-сайтах, не имеющих сертификата SSL / TLS. На приведенном ниже снимке экрана показан небезопасный веб-сайт, просматриваемый в Firefox, и показан перечеркнутый замок слева от URL-адреса:

Получение сертификата SSL / TLS

Готовы защитить свой собственный веб-сайт? Основная процедура запроса общедоступного сертификата веб-сайта SSL / TLS выглядит следующим образом:

• Человек или организация, запрашивающие сертификат, генерируют пару открытых и закрытых ключей, предпочтительно на защищаемом сервере.
• Открытый ключ, вместе с защищаемым доменным именем (именами) и (для сертификатов OV и EV) организационной информацией о компании, запрашивающей сертификат, используется для создания запроса на подпись сертификата (CSR) .
  • Инструкции по созданию пары ключей и CSR на многих серверных платформах см. В этом FAQ.
• CSR отправляется в общедоступный доверенный центр сертификации (например, SSL.com). Центр сертификации проверяет информацию в CSR и генерирует подписанный сертификат, который может быть установлен на веб-сервере запрашивающей стороны.
  • Инструкции по заказу сертификатов SSL / TLS на SSL.com см. В этом руководстве.

Сертификаты SSL / TLS различаются в зависимости от используемых методов проверки и уровня доверия, которое они предоставляют, при этом расширенная проверка (EV) предлагает наивысший уровень доверия. Для получения информации о различиях между основными методами проверки (DV, OV и EV), пожалуйста, обратитесь к нашей статье Сертификаты DV, OV и EV .

Часто задаваемые вопросы

Что такое SSL?

SSL (Secure Sockets Layer) и его преемник TLS (Transport Layer Security) — это протоколы для установления аутентифицированных и зашифрованных соединений между компьютерами в сети.Хотя протокол SSL устарел с выпуском TLS 1.0 в 1999 году, все еще принято называть эти связанные технологии «SSL» или «SSL / TLS».

Что такое сертификат SSL?

Сертификат SSL (также известный как сертификат TLS или SSL / TLS) — это цифровой документ, который связывает идентификационные данные веб-сайта с парой криптографических ключей, состоящей из открытого и закрытого ключей. Открытый ключ, включенный в сертификат, позволяет веб-браузеру инициировать зашифрованный сеанс связи с веб-сервером по протоколам TLS и HTTPS.Закрытый ключ хранится в безопасности на сервере и используется для цифровой подписи веб-страниц и других документов (таких как изображения и файлы JavaScript).

Сертификат SSL также включает идентифицирующую информацию о веб-сайте, включая его доменное имя и, необязательно, идентифицирующую информацию о владельце сайта. Если сертификат SSL веб-сервера подписан общественно-доверенным центром сертификации (CA), например SSL.com, контент с цифровой подписью с сервера будет считаться подлинным для веб-браузеров и операционных систем конечных пользователей.

Сертификат SSL — это тип сертификата X.509.

Что такое TLS?

TLS (Transport Layer Security) , выпущенный в 1999 году, является преемником протокола SSL (Secure Sockets Layer) для аутентификации и шифрования. TLS 1.3 определен в RFC 8446 (август 2018 г.).

Нужен ли мне выделенный IP-адрес для использования SSL / TLS?

Когда-то было обязательным требованием иметь выделенный IP-адрес для каждого SSL-сертификата на веб-сервере.Это больше не так из-за технологии, называемой указанием имени сервера (SNI). Ваша хостинговая платформа должна будет поддерживать SNI. Вы можете узнать больше о SNI в этой статье SSL.com.

Через какой порт рекомендуется использовать SSL / TLS?

Для максимальной совместимости порт 443 является стандартным, поэтому рекомендуется, порт, используемый для защищенной связи SSL / TLS. Однако можно использовать любой порт.

Какая сейчас версия SSL / TLS?

TLS 1.3, определенный в августе 2018 года в RFC 8446, является самой последней версией SSL / TLS. TLS 1.2 (RFC 5246) был определен в августе 2018 года и также остается широко используемым. Версии SSL / TLS до TLS 1.2 считаются небезопасными и больше не должны использоваться.

Какие проблемы безопасности возникают в старых версиях TLS?

TLS версий 1.0 и 1.1 подвержены большому количеству уязвимостей протоколов и реализаций, которые были опубликованы исследователями безопасности за последние два десятилетия.Атаки, такие как ROBOT , повлияли на алгоритм обмена ключами RSA, в то время как LogJam и WeakDH показали, что многие серверы TLS могут быть обмануты, используя неверные параметры для других методов обмена ключами. Компрометация обмена ключами позволяет злоумышленникам полностью поставить под угрозу безопасность сети и расшифровать разговоры.

Атаки на симметричные шифры, такие как BEAST или Lucky13 , продемонстрировали, что различные шифры поддерживаются в TLS 1.2 и более ранние версии с примерами, включающими шифры или CBC-mode , небезопасны.

Были затронуты даже подписи: атака Блейхенбахера с подделкой подписи RSA и другие подобные атаки дополнения.

Большинство этих атак было смягчено в TLS 1.2 (при условии, что экземпляры TLS настроены правильно), хотя TLS 1.2 по-прежнему уязвим для атак перехода на более раннюю версию, таких как POODLE , FREAK или CurveSwap .Это связано с тем, что все версии протокола TLS до 1.3 не защищают согласование рукопожатия (которое определяет версию протокола, которая будет использоваться во время обмена).

Видео

Спасибо, что выбрали SSL.com! Если у вас есть какие-либо вопросы, свяжитесь с нами по электронной почте [email protected], позвоните по телефону 1-877-SSL-SECURE или просто нажмите ссылку чата в правом нижнем углу этой страницы.

Что такое SSL, TLS и HTTPS?

Обновлено 28 июля 2020 г.

Чтобы правильно понимать безопасность связи, нам следует ознакомиться с терминами SSL, TLS и HTTPS. В этой статье вы найдете ответы на такие вопросы, как SSL? Что такое TLS? Как работает связь SSL и TLS? А в чем разница между SSL, TLS и HTTPS? Короче говоря, SSL и TLS — это протоколы безопасности, предназначенные для защиты конфиденциальности данных. Но для предприятий, заинтересованных в защите целостности своих сетей, это только верхушка на поверхности.

Наша цель в Gigamon — дать вам
видимость, необходимая для обеспечения безопасности и эффективности всего вашего
цифровая инфраструктура. Но зачем останавливаться на достигнутом? В конце концов, когда дело доходит до
защищая ваши данные, в игру входит гораздо больше, чем просто то, что происходит в вашем
сеть.

Возьмем, к примеру, SSL, TLS и HTTPS.

Это стражи, которые помогают хранить данные
безопасно, поскольку он перемещается через Интернет. Но хотя большинство людей слышали о
эти термины и могут быть знакомы с общим процессом шифрования данных,
Что такое SSL и TLS и как они работают, может быть не так очевидно.

Руководство

Gigamon по безопасности связи ставит сети SSL и TLS на первый план, освещая цели и процессы, лежащие в основе наиболее широко используемых протоколов безопасности в Интернете. Но чтобы понять, как работают эти протоколы и как они взаимодействуют с HTTPS, давайте сначала посмотрим, почему они так важны.

Для связанных
информацию о SSL и TLS можно найти на следующих ресурсах:

Данные доступны для захвата

Данные, отправленные и полученные через Интернет, перемещаются
быстрый. Чрезвычайно быстро. По факту,
в зависимости от того, через что он движется (традиционные провода, оптоволоконные кабели,
или даже сам воздух), интернет-пакеты данных могут достигать скорости в сотни
тысячи километров в секунду, двигаясь со скоростью почти скорости света. Но хотя это может показаться
данные поступают мгновенно, на самом деле это не так. Между точкой А и точкой
B, ваши данные маршрутизируются через несколько устройств, пока не попадут на его
предполагаемое место назначения.

И пока он в пути, он уязвим .

Нельзя отрицать — преступники используют данные, а ваш бизнес находится в их поле зрения. Это потому, что украденные данные ценны… и стоят дорого . Исследования показывают, что средняя утечка данных обходится целевой компании в 3,92 миллиона долларов. ¹

К сожалению, учитывая, что мы создаем, загружаем и отправляем примерно 2,5 квинтиллионов байт данных ² каждый день, отслеживать всю информацию, передаваемую по Интернету, не так просто.

Вот где шифрование данных и
входит аутентификация.

Что такое шифрование и аутентификация данных?

Шифрование и аутентификация данных — это процесс, предназначенный для предотвращения попадания важных данных в чужие руки. Это делается путем шифрования данных при их отправке. Предполагаемый получатель (он же веб-сервер) получает специальный ключ в виде набора инструкций, подробно описывающих, как расшифровать данные. Сервер использует ключ для правильного декодирования зашифрованных данных.Без этого ключа любой, кто перехватит зашифрованные данные в пути, увидит только бессмысленную тарабарщину.

Конечно, чтобы это работало, должен быть
своего рода соглашение между отправителем и получателем. В противном случае два
у сторон не будет информации, необходимой для эффективного шифрования / дешифрования
данные, которыми они обмениваются. Чтобы облегчить этот процесс, мы используем несколько
протоколы безопасности и криптографические протоколы — чаще всего SSL или TLS.

Но, прежде чем ответить на вопросы «Что такое TLS?» и «Что такое SSL?» важно понимать, что такое HTTP и как он связан с TLS и SSL.

Что такое HTTPS?

Интернет — в частности, Интернет — это
огромная распределенная информационная система клиент / сервер. Это означает, что он работает через клиентов (обычно персональные компьютеры или
мобильных устройств), связываясь с серверами на
запросить информацию. Затем сервер либо принимает, либо отклоняет клиентские
запрос. Если запрос принят, сервер устанавливает соединение с
клиент по определенному протоколу . В
протокол действует как стандартный набор правил, которые позволяют серверам
и клиентов общаться.

И это подводит нас к HTTP.

HTTP означает Протокол передачи гипертекста и является основным используемым протоколом.
во всемирной паутине. HTTP определяет, какой тип данных может быть
передаются, как эти данные форматируются и как серверы должны реагировать на
конкретные команды. Когда клиент инициирует связь с сервером, HTTP
отправляется команда с запросом доступа к желаемой странице.

HTTP чрезвычайно эффективен, так как его почти
свидетельства всеобщего усыновления.Но HTTP — это не .
очень безопасно. Это связано с тем, что в HTTP отсутствует шифрование данных и аутентификация,
по сути, передача данных в открытый доступ, где любой может получить к ним доступ. HTTPS (протокол передачи гипертекста Secure ) решает эту проблему, создавая
безопасное зашифрованное соединение между клиентом и сервером. Это обеспечивает
веб-сайты против подслушивания, взлома и кражи данных.

Первоначально HTTPS был разработан специально для веб-сайтов электронной коммерции и предприятий, которые регулярно обрабатывают конфиденциальную информацию (например, пароли и данные кредитных карт), но новые рекомендации ³ предполагают, что каждый веб-сайт, даже если он носит исключительно информационный характер, должен использовать HTTPS. .Google продвигает это мышление, предлагая небольшое повышение рейтинга в поисковых системах для HTTPS-сайтов и отображая «небезопасные» предупреждения в адресных строках браузера Google Chrome на сайтах без HTTPS.

HTTPS предлагает лучшее и безопасное решение для модели клиент / сервер. Но эта дополнительная безопасность не является автоматической и не освобождает от атак; сайтам, которые хотят поддерживать стандарты безопасности, необходимо сначала приобрести сертификат SSL / TLS у доверенного центра сертификации.

Что такое SSL?

Чтобы узнать ответ на вопрос «Что такое SSL?», Давайте взглянем на историю, связанную с этой технологией.SSL означает Secure Sockets Layer и был впервые разработан Netscape еще в 1994 году. SSL-шифрование / дешифрование — это метод, с помощью которого интернет-соединения поддерживаются в безопасности, будь то клиент-клиент, сервер-сервер или (гораздо чаще ) клиент на сервер. Это предотвращает неавторизованные третьи стороны от просмотра или изменения любых данных, которыми обмениваются через Интернет.

SSL изначально был создан для защиты соединений между клиентами и онлайн-бизнесом.К сожалению, по мере того, как ценность кажущейся приземленной личной информации и привычек просмотра растет, это является признаком того, что киберпреступники расширяют свою сеть и нацелены на некоммерческие сайты. Таким образом, SSL получил широкое распространение. Но время идет, и обновленный протокол был выпущен еще в 1999 году и с тех пор полностью заменил SSL в качестве стандартного сертификата безопасности.

Этот обновленный протокол называется TLS.

Что такое TLS?

Часто SSL и TLS упоминаются как синонимы и используются как взаимозаменяемые.Но между ними есть разница. Итак, что такое TLS?

TLS означает Transport Layer Security и по сути является SSL, но более безопасным. Точнее, Инженерная группа Интернета отказалась от SSL в пользу TLS.

Как и SSL, TLS — это криптографический протокол, который обеспечивает конфиденциальность, аутентификацию и целостность данных в компьютерных сетях и используется при просмотре веб-страниц, обмене мгновенными сообщениями, электронной почте и многом другом. Но даже если TLS выполняет ту же роль, что и SSL, он делает это более эффективно.TLS легче доверять по ряду причин, а именно потому, что TLS был разработан для устранения известных уязвимостей SSL и поддержки более надежных и безопасных наборов шифров и алгоритмов.

Для этого TLS-шифрование включает
аутентификация сообщения в виде кода аутентификации сообщения с хеш-кодом
(HMAC) алгоритм. Аутентификация сообщений гарантирует и подтверждает, что данные
не были изменены во время транспортировки, и позволяет получателю проверить
источник сообщения.

Сети

TLS также позволяют улучшить управление ключами в форме генерации ключевых материалов и использовать улучшенные алгоритмы шифрования.TLS включает и поддерживает ключи с эллиптической кривой, безопасные удаленные пароли, общие ключи и протокол Kerberos, что отличает его от SSL и обеспечивает более безопасную линию передачи данных. TLS прошел через четыре типа версий, причем TLS 1.3 является новейшим и наиболее безопасным. Вы можете легко увидеть, подключен ли ваш браузер с помощью TLS; URL-адрес в вашем адресе будет предшествовать значку замка и включать https как часть URL-адреса.

TLS заменяет SSL. Однако его оригинальный
эффективность и широкое использование обеспечили ему постоянное место в Интернете
просторечный; термин SSL по-прежнему широко используется, даже в сфере технологий и вычислений.
круги, и многие центры сертификации рекламируют услуги сертификатов SSL,
когда они фактически продают сертификаты TLS.Но учитывая, что двое
протоколы выполняют ту же основную функцию (т. е. безопасность цифровых
коммуникации против нежелательного вмешательства), понятно, почему общий
население не очень заботится о различии между ними. Ради
Для обеспечения точности пользователи и органы власти часто используют термин SSL / TLS.

HTTPS с защитой SSL / TLS

SSL / TLS — это то, что переводит S в HTTPS. Чтобы сайт был обозначен как безопасный , ему необходим актуальный сертификат SSL / TLS.И пока
Сертификация SSL / TLS строго не требуется ,
это настоятельно рекомендуется всеми основными браузерами. Фактически, в июле 2018 года Google
Chrome начал отмечать сайты без сертификации SSL / TLS как «небезопасные»,
предупреждение от потенциальных посетителей сайта. Другие основные браузеры последовали его примеру.
В то же время Google награждает HTTPS-сайты лучшей поисковой системой.
рейтинги, что дает веб-мастерам больше стимулов использовать сертификаты SSL / TLS.

SSL / TLS теперь почти повсеместно используется в Интернете, при этом 90 из 100 лучших веб-сайтов мира (не принадлежащих Google) по умолчанию используют HTTPS. ⁴ а как работает?

Как работает расшифровка SSL / TLS?

Чтобы быть эффективным, SSL / TLS должен поддерживать
высокая производительность наряду с надежной безопасностью. Таким образом, современный SSL / TLS использует
как симметричная, так и асимметричная криптография.

Симметричная криптография шифрует данные с помощью
секретный ключ, который был предоставлен обеим сторонам (отправителю и получателю). К
Для обеспечения безопасности длина ключа должна быть не менее 128 бит. Наоборот,
асимметричная криптография полагается на пары ключей, каждая из которых состоит из закрытого ключа и
открытый ключ.Отношения между частным и открытым ключом следующие:
математически обозначен, что делает соединение более безопасным, но также
который требует большей пропускной способности (с рекомендуемой минимальной длиной ключа
1024 бит).

Modern SSL / TLS использует асимметричную криптографию для генерации безопасного сеансового ключа, который используется для шифрования / дешифрования передаваемых данных, а затем отбрасывается. Ключи сеанса являются необходимой частью рукопожатия TLS.

Подтверждение TLS описывает процесс установления и определения связи между клиентом и сервером.Рукопожатие TLS — это, по сути, переговоры, когда обе стороны объединяются, чтобы подтвердить друг друга, проверить подлинность друг друга, назначить алгоритмы шифрования и согласовать ключи сеанса.

Во время подтверждения TLS происходит следующее:

1. Клиент связывается с сервером, инициируя обмен сообщениями «клиентское приветствие». Это сообщение предупреждает сервер о версии TLS клиента и доступных наборах шифров. В это сообщение включена строка случайных байтов, называемая «случайным клиентом».
2. Сервер отвечает клиенту сообщением «привет серверу». Это сообщение содержит сертификат SSL / TLS и выбранный сервером набор шифров. Сервер также отправляет строку случайных байтов, называемую «случайным сервером».
3. Сертификат SSL / TLS сервера проверяется клиентом. Подтверждая сертификат в центре сертификации, который его выдает, клиент проверяет подлинность сервера.
4. Клиент отправляет случайную строку байтов зашифрованной информации, известную как «главный секрет».«Это зашифровано с использованием открытого ключа.
5. Сервер использует закрытый ключ для расшифровки секрета премьер-мастера.
6. Используя случайный секрет клиента, случайный секрет сервера и главный секрет, и клиент, и сервер генерируют ключи сеанса. Используя одну и ту же информацию, клиент и сервер должны прийти к одинаковому результату.
7. Клиент использует свой сеансовый ключ для отправки сообщения «завершено», указывающего, что он завершил клиентскую часть рукопожатия TLS.
8. Сервер использует свой сеансовый ключ для отправки сообщения «завершено», указывающего, что он завершил серверную часть рукопожатия TLS.
9. Теперь связь может продолжаться с использованием ключей сеанса. Эти ключи будут действовать до завершения сеанса.

3 уровня сертификации SSL / TLS

Хотя SSL / TLS предлагает относительно безопасный
решение проблем, связанных с безопасностью связи, расширенный
проверка подлинности может обеспечить повышенную защиту конфиденциальных данных.Бизнесы
может потребоваться расширенная защита SSL / TLS. В этих случаях организации могут выбрать
SSL / TLS-сертификаты аутентификации бизнес-уровня.

Сертификаты

SSL / TLS бывают трех видов защиты
уровней:

1. Сертификаты проверки домена
   Самый простой сертификат SSL / TLS — это сертификат проверки домена. Этот сертификат требует, чтобы организация доказала, что она контролирует предоставленное доменное имя. Однако это не подтверждает личность организации.
2. Сертификаты проверки организации
   Сертификат проверки организации требует, чтобы компания доказала, что она контролирует предоставленное доменное имя, а также доказала, что компания юридически зарегистрирована как бизнес. Этот уровень проверки подлинности является подтверждением как имени домена, так и имени компании и предпочтителен для общедоступных сайтов, которые собирают данные от пользователей.
3. Сертификаты расширенной проверки
   Самыми безопасными сертификатами SSL / TLS являются сертификаты расширенной проверки.Помимо подтверждения права собственности на доменное имя и название компании, эти сертификаты включают дополнительные шаги проверки, предназначенные для защиты данных от несанкционированного доступа.

Конечно, даже при расширенной проверке
SSL / TLS может оставаться уязвимым при определенных обстоятельствах.

Векторы угроз SSL / TLS

Злоумышленники начали использовать сеансы TLS для вставки вредоносных программ, сокрытия командно-управляющего трафика и эксфильтрации украденных данных.Чтобы защититься от этих угроз и получить видимость и контроль над резко растущим трафиком TLS, сетевым администраторам необходимо рассмотреть возможность дешифрования входящего и бокового трафика. Но прежде чем перейти к расшифровке, вам нужно взвесить некоторые важные факторы. Итак, какие факторы SSL / TLS вам следует взвесить?

Первым из этих факторов является использование ресурсов . Расшифровка — это интенсивная функция, которая зависит от большого количества ресурсов процессора. И поскольку эти ресурсы ограничены, это эффективно крадет доступные ресурсы у инструментов безопасности.Фактически, в недавнем исследовании NSS Labs было обнаружено, что расшифровка SSL / TLS может снизить производительность брандмауэра на 80 процентов и снизить количество транзакций в секунду на 92 процента. ⁵

Вторым важным фактором является положение о конфиденциальности . Правила конфиденциальности
существуют, чтобы гарантировать, что личная информация (PII — например,
данные, к которым применяются правила GDPR, финансовые и HIPAA) никогда не разглашаются.
Это означает, что дешифрование должно быть избирательным в зависимости от того, какой трафик
осмотрел, а какой трафик остался в покое.

Gigamon предоставляет решение в виде
ткань Gigamon Visibility Fabric ™.

С Gigamon Visibility Fabric,
организации могут получить оптимальную видимость через трафик SSL / TLS, разгрузив
потребности процессора дешифрования и освобождение ресурсов для использования средствами безопасности.
Gigamon Visibility Fabric расшифровывает правильный трафик и расшифровывает его один раз . Затем он делится соответствующим трафиком
с правильными инструментами. Такой подход однократного дешифрования освобождает пропускную способность сети,
и гарантирует, что только авторизованный трафик входит в сеть — эффективно
устранение SSL / TLS как вектора угрозы.

SSL / TLS Часто задаваемые вопросы

• Совместим ли SSL / TLS во всех браузерах?
  • Да, все основные браузеры поддерживают SSL / TLS.

• Совместим ли SSL / TLS на всех устройствах и в операционных системах?
  • Как правило, да, SSL / TLS должен быть совместим со всеми устройствами и операционными системами. Тем не менее, ваш центр сертификации должен иметь возможность работать с вами, чтобы помочь вам достичь оптимальной конфигурации SSL / TLS.

• Совместим ли SSL / TLS с мобильными устройствами?
  • SSL / TLS должен быть совместим со всеми современными мобильными устройствами, но некоторые старые устройства могут иметь проблемы совместимости при работе с новейшими протоколами. Ваш центр сертификации должен помочь вам решить любые проблемы с совместимостью с мобильными устройствами.

• Как узнать, есть ли у сайта сертификат SSL / TLS?
  • Многие браузеры выдают предупреждение «небезопасно», если сайт не поддерживает HTTPS.Даже в браузерах, которые не выдают такое предупреждение, защищенные сайты будут обозначаться как «https: //» вместо «http: //» (за которым следует остальная часть адреса).

    Если вы все еще не уверены в конкретном сайте или хотите получить более подробную информацию, перейдите по адресу https://www.ssllabs.com/ssltest. Это бесплатная услуга, которая позволяет вам проверить сертификацию SSL / TLS для любого сайта в общедоступном Интернете.

• Как мне установить сертификат SSL / TLS на свой сайт?
  • В зависимости от того, как и где размещен сайт, существуют различные методы, используемые для добавления сертификата SSL / TLS.Выбранный вами центр сертификации проведет вас через процесс установки и ответит на любые ваши вопросы.

Защитите своих пользователей, защитите
Ваш бизнес

Обмен данными через Интернет — это не только
уязвимы, это , активно нацеленные на .
И не только сайты электронной коммерции подвергаются критике. Помимо паролей
и данные кредитной карты, злоумышленники заинтересованы в приобретении даже
кажущаяся обыденной информацией — информация, которая, если ее скомпрометировать, все еще может
создать серьезные проблемы для ваших клиентов и вашего бизнеса.

SSL / TLS — надежное решение, обеспечивающее
надежное шифрование и дешифрование данных, чтобы скрыть конфиденциальную информацию
не в те руки. Но это не надежно. Для обеспечения безопасности связи
внутри вашей сети вам нужна улучшенная видимость сети и возможность
расшифровать один раз и направить весь свой трафик в нужную систему безопасности и мониторинга
инструменты.

Gigamon Visibility Fabric делает это
возможный. Предоставление каждому инструменту оптимальной видимости всех соответствующих расшифрованных
трафика, Gigamon предоставляет инструменты безопасности и аналитики с повышенной точностью
и эффективность.В то же время подход Gigamon decrypt-once улучшает
производительность и снижает время ожидания,
позволяя меньшему количеству инструментов обрабатывать тот же объем трафика.

В конце концов, пользователи рискуют многим, когда
они делятся данными с вашим бизнесом. Защитите их интересы с Gigamon.

Соответствующие термины:

• Асимметричная криптография
  • Шифры, которые создают математически связанные пары ключей (состоящие из одного открытого ключа и одного закрытого ключа) для использования в процессах шифрования и дешифрования.Эти ключи очень большие (в битах) и не идентичны.

• Центр сертификации (CA)
  • Одна из нескольких групп, официально уполномоченных распространять, обновлять, приостанавливать или отзывать сертификаты SSL / TLS.

• Набор шифров
  • Набор алгоритмов, предназначенных для защиты сетевых подключений с использованием SSL / TLS.

• Шифрование
  • Процесс отображения данных, непонятных для любого и всех сторонних наблюдателей, что делает восстановление указанных данных невозможным без реализации специально назначенного процесса дешифрования.

• Подтверждение SSL / TLS
  • Процесс, с помощью которого клиенты и серверы могут аутентифицировать и проверять друг друга, а также устанавливать шифрованную связь.

• Симметричная криптография
  • Шифры, которые используют одни и те же криптографические ключи для шифрования и дешифрования. Ключи должны быть общими между отправителем и получателем.

Дополнительная литература:

Список литературы

1. IBM.«Стоимость исследования утечки данных». IBM, 2019. https://www.ibm.com/security/data-breach.
2. ДОМО. «Данные никогда не спят 5.0». ДОМО, 2019. https://www.domo.com/learn/data- Never-sleeps-5?aid=ogsm072517_1&sf100871281=1.
3. Google. «Защитите свой сайт с помощью HTTPS». Google. Справка Google Search Console. https://support.google.com/webmasters/answer/6073543?hl=en.
4. Google. «Шифрование HTTPS в Интернете». Отчет о прозрачности Google. https://transparencyreport.google.com/https/overview?hl=en.
5. NSS Labs. «NSS Labs расширяет групповой тест NGFW 2018 за счет отчетов об испытаниях безопасности и производительности SSL / TLS». GlobeNewswire. 24 июля 2018 г. https://www.globenewswire.com/news-release/2018/07/24/1541279/0/en/NSS-Labs-Expands-2018-NGFW-Group-Test-with-SSL-TLS -Security-and-Performance-Test-Reports.html.

Избранные вебинары
Узнайте от наших экспертов о последних тенденциях и передовых методах оптимизации видимости и анализа вашей сети.

Что такое SSL / TLS и HTTPS? Объяснение важности безопасного Интернета

SSL — это аббревиатура от Secure Sockets Layer .Тип цифровой безопасности, обеспечивающий зашифрованную связь между веб-сайтом и веб-браузером. В настоящее время технология устарела и полностью заменена на TLS.

TLS означает Transport Layer Security и обеспечивает конфиденциальность данных так же, как и SSL. Поскольку SSL фактически больше не используется, это правильный термин, который люди должны начать использовать.

HTTPS — это безопасное расширение для HTTP.Веб-сайты, которые устанавливают и настраивают сертификат SSL / TLS, могут использовать протокол HTTPS для установления безопасного соединения с сервером.

• Целью SSL / TLS является обеспечение безопасности и надежности передачи конфиденциальной информации, включая личные данные, информацию об оплате или входе в систему.
• Это альтернатива передаче данных в виде обычного текста, при которой ваше соединение с сервером не зашифровано, что затрудняет злоумышленникам и хакерам отслеживание соединения и кражу ваших данных.
• Большинство людей знакомы с сертификатами SSL / TLS, которые используются веб-мастерами для защиты своих веб-сайтов и предоставления людям безопасного способа выполнения транзакций.
• Вы можете определить, когда сайт использует его, по маленькому значку замка рядом с URL-адресом в адресной строке.

В этом руководстве вы узнаете:

Как работают сертификаты SSL / TLS?

Сертификаты

SSL / TLS работают путем цифровой привязки криптографического ключа к идентифицирующей информации компании.Это позволяет им шифровать передаваемые данные таким образом, чтобы их не могли расшифровать третьи лица.

SSL / TLS работает, имея как закрытый, так и открытый ключ, а также ключи сеанса для каждого уникального безопасного сеанса. Когда посетитель вводит защищенный SSL адрес в свой веб-браузер или переходит на защищенную страницу, браузер и веб-сервер устанавливают соединение.

Во время первоначального подключения открытый и закрытый ключи будут использоваться для создания сеансового ключа, который затем будет использоваться для шифрования и дешифрования передаваемых данных.Этот сеансовый ключ будет оставаться действительным в течение ограниченного времени и будет использоваться только для этого конкретного сеанса.

Вы можете определить, использует ли веб-сайт SSL, по значку замка или зеленой полосе в верхней части браузера. Вы должны иметь возможность щелкнуть этот значок, чтобы просмотреть информацию о том, у кого есть сертификат, и управлять настройками SSL.

Когда и почему использование SSL / TLS ОБЯЗАТЕЛЬНО?

SSL / TLS является обязательным при передаче конфиденциальной информации, такой как имена пользователей и пароли, или информации об обработке платежей.

Цель SSL / TLS — убедиться, что только одно лицо — человек или организация, которых намерен загрузить — может получить доступ к передаваемым данным. Это особенно важно, когда вы думаете о том, между сколькими устройствами и серверами передается информация, прежде чем она достигнет места назначения.

Есть три основных варианта использования, которые делают SSL / TLS обязательным для вашего веб-сайта:

• Когда вам нужна аутентификация : любой сервер может притвориться вашим сервером, похищая информацию, которую люди передают по пути.SSL / TLS позволяет вам подтвердить личность вашего сервера, чтобы люди знали, что вы такой, какой вы себя называете.
• Чтобы вызвать доверие : если вы запускаете сайт электронной коммерции или запрашиваете у пользователей важные для них данные, вам необходимо вызвать чувство доверия. Использование сертификата SSL / TLS — это наглядный способ показать посетителям, что они могут вам доверять, и это намного эффективнее, чем все, что вы могли бы сказать о себе.
• Когда вам необходимо соблюдать отраслевые стандарты : В некоторых отраслях, например в финансовой, вам потребуется поддерживать определенные базовые уровни безопасности.Существуют также правила индустрии платежных карт (PCI), которых вы должны придерживаться, если хотите принимать информацию о кредитных картах на своем веб-сайте. И одно из этих требований — использование сертификата SSL / TLS.

Помните, что SSL можно использовать практически на любом устройстве, что также делает его универсальным выбором для обеспечения безопасности в сегодняшнюю эпоху множества устройств. Преимущества использования SSL-сертификатов перевешивают время и денежные вложения, необходимые для их настройки, так что же вам терять?

Влияет ли SSL / TLS на SEO?

Короткий ответ: да, .

Google внес изменения в свой алгоритм еще в 2014 году, чтобы установить приоритетность веб-сайтов, использующих SSL-сертификат, и с тех пор они продолжают уделять особое внимание SSL-сертификатам. Они официально заявили, что сайты со статистикой SSL будут превосходить сайты без SSL, если все остальные факторы будут равны, и хотя защищенные сайты составляют только 1% результатов, 40% поисков возвращают хотя бы один защищенный SSL сайт на первой странице.

На практике SSL имеет небольшое значение, когда дело доходит до SEO, и простая установка SSL-сертификата на ваш сайт будет иметь гораздо меньшее значение, чем создание регулярного свежего контента и создание надежного профиля входящих ссылок.Однако это не значит, что вам следует забыть о них.

Также важно помнить, что поисковые системы используют целый ряд различных показателей, чтобы определить рейтинг веб-сайтов. Одним из этих показателей является то, как часто люди возвращаются с вашего сайта на страницу результатов, и наличие сертификата SSL может иметь значение, будет ли кто-то покупать у вас или уйти. Если вы решите использовать SSL-сертификат или нет, это может повлиять на многие другие показатели, которые используются для ранжирования сайтов.

Установка сертификата SSL повлияет на производительность вашего сайта в поисковой системе, но вам не следует его использовать. Вместо этого настройте сертификат SSL, чтобы вызвать доверие среди посетителей и получить повышение SEO в качестве бонуса.

Как SSL / TLS соотносится с HTTPS?

При настройке сертификата SSL вы настраиваете его для передачи данных с использованием HTTPS. Эти две технологии идут рука об руку, и вы не можете использовать одну без другой.

URL-адресам

предшествует HTTP (протокол передачи гипертекста) или HTTPS (безопасный протокол передачи гипертекста) .Это фактически то, что определяет, как передаются любые данные, которые вы отправляете и получаете.

SSL / TLS не требует больших затрат. Найдите доступные предложения SSL с Hostinger!

Это означает, что еще один способ определить, использует ли сайт сертификат SSL, — это просмотреть URL-адрес и определить, содержит ли он HTTP или HTTPS. Это связано с тем, что для работы HTTPS-соединений требуется сертификат SSL.

Chrome Указывает, использует ли веб-сайт SSL / TLS

Большинство основных браузеров, включая Google Chrome, Firefox и Microsoft’s Edge, будут заметно отображаться, когда пользователи получают доступ к сайту через безопасное соединение.Например, в Chrome вы увидите зеленый значок замка в адресной строке рядом с сообщением « secure ». Пользователи могут просмотреть более подробную информацию о сертификате SSL, щелкнув по нему.

Кроме того, с момента появления Chrome 68 в июле 2018 года на веб-сайтах без сертификата SSL / TLS отображается предупреждение «небезопасно».

Поскольку браузеры стараются изо всех сил активно отображать, являются ли сайты безопасными, в ваших интересах как владельца веб-сайта уловить намек и обезопасить свой сайт.Таким образом, посетители могут сразу увидеть, что ваш сайт надежен, как только они его посетят.

Как добавить SSL / TLS на свой сайт?

Добавление сертификата SSL / TLS на ваш веб-сайт может сбить с толку, и это следует делать только веб-специалистам. Вы будете знать, соответствуете ли вы требованиям или нет.

Первым шагом является включение доступа по SSH перед установкой клиента ACME. На этом этапе вы можете сгенерировать сертификат SSL / TLS и установить его через админку вашего веб-хостинга.Мы написали подробное руководство о том, как это сделать, которое должно помочь, если вы готовы приступить к работе.

Если вы ищете платного поставщика сертификатов SSL / TLS, то вам не нужно больше ничего, кроме Hostinger. Мы предлагаем пожизненной безопасности SSL / TLS всего за единовременной платы в размере . Кроме того, бесплатный сертификат включен в наш годовой тарифный план бизнес-хостинга.

Когда сертификат будет готов, вы можете принудительно использовать HTTPS, вставив фрагмент кода в файл .htaccess .

Как добавить SSL / TLS на сайт WordPress?

Начать работу с SSL / TLS в WordPress немного проще. Он предлагает плагины, такие как Really Simple SSL и SSL Insecure Content Fixer, которые обрабатывают техническую часть за вас. Однако вам все равно потребуется приобрести сертификат SSL у поставщика.

После того, как ваш сертификат SSL будет приобретен и установлен, вам все равно нужно будет изменить настройки на панели инструментов WordPress (или использовать один из вышеупомянутых плагинов).

Хорошая новость заключается в том, что все, что вам нужно сделать, это войти в WordPress и перейти к Настройки ›Общие . Прокрутите вниз до полей WordPress Address (URL) и Site Address (URL) и измените их с HTTP на HTTPS . Обязательно сохраните изменения и проверьте свой сайт, чтобы убедиться, что все работает должным образом.

Сводка

SSL означает Secure Sockets Layer (тогда как TLS означает Transport Layer Security ) и показывает посетителям, что они могут безопасно передавать конфиденциальную информацию на сервер и с сервера.Он шифрует все передаваемые данные таким образом, чтобы их не могли расшифровать третьи стороны, такие как хакеры и мошенники.

Вы можете определить, использует ли веб-сайт SSL / TLS, посмотрев значок замка или зеленую полосу в верхней части браузера. Обычно вы можете щелкнуть значок в браузере, чтобы просмотреть, кому принадлежит сертификат.

SSL / TLS влияет на безопасность , поисковую оптимизацию и может сделать разницей между вашим сайтом в рейтинге или проигрышем конкуренту .С учетом сказанного, это не какой-то всесильный инструмент SEO, и поэтому сертификаты SSL / TLS следует использовать, потому что они являются лучшей практикой, а не потому, что вы думаете, что они помогут вам повысить рейтинг в поисковых системах.

И, конечно же, если вам нужна помощь в начале работы с сертификатами SSL или если вы хотите воспользоваться преимуществами пожизненной безопасности SSL, свяжитесь с нами. Мы будем рады помочь!

Domantas возглавляет отделы контента и SEO, предлагая свежие идеи и нестандартные подходы.