Phenquestions
Üdvözöljük a TLS és az SSL kezdő útmutatójában. Mély elmélyülést mutatunk be az aszimmetrikus vagy a nyilvános kulcsú térképészet alkalmazásaiban.
Mi az aszimmetrikus kriptográfia?
A nyilvános kulcsú titkosítást 1970 elején vezették be. Ezzel együtt jött az ötlet, hogy ahelyett, hogy egyetlen kulcsot használna egy információ titkosításához és visszafejtéséhez, két külön kulcsot kell használni: titkosítás és visszafejtés. Ez azt jelenti, hogy az információk titkosításához használt kulcs nem releváns az információk visszafejtésének kérdésében. Aszimmetrikus kriptográfia néven is ismert.
Ez egy újszerű koncepció, és a továbbfejlesztése nagyon bonyolult számításokat igényel, ezért a beszélgetést egy másik időre elmentjük.
Mi a TLS és az SSL?
A TLS jelentése Transport Layer Security, míg az SSL a Secure Socket Layer rövidítése. Mindkettő nyilvános kulcsú titkosítási alkalmazás, és együttesen képessé tették az internethasználókat az interneten keresztüli kommunikáció folytatására.
Hogy pontosan mi is ez a kettő, az alábbiakban ismertetjük.
Miben különbözik a TLS az SSL-től?
A TLS és az SSL egyaránt aszimmetrikus megközelítést alkalmaz a titkosításhoz az interneten keresztüli kommunikáció biztosításához (kézfogások). A kettő közötti alapvető különbség az, hogy az SSL kereskedelmi innovációból származik, ezért anyavállalata, a Netscape tulajdonát képezi. Ezzel szemben a TLS egy Internet Engineering Task Force Standard, az SSL kissé frissített változata. Másképp nevezték el, hogy elkerüljék a szerzői jogi kérdéseket és az esetleges pert.
Pontosabban: a TLS tartalmaz néhány attribútumot, amely elválasztja az SSL-től. A TSL-ben a kézfogások biztonság nélkül jönnek létre, és a STARTTLS parancs erősíti őket, ami az SSL-nél nem így van.
A TSL az SSL fejlesztésének számít, mert lehetővé teszi az általában nem biztonságos vagy nem biztonságos kézfogások biztonságos állapotba történő frissítését.
Mi teszi a TLS-kapcsolatokat biztonságosabbá, mint az SSL?
Intenzív verseny folyik a számítógépes biztonság piacain. SSL 3.A 0 nem tudta tartani az internetet, és 2015-ben elavulttá vált. Ennek számos oka van, elsősorban a sérülékenységek miatt, amelyeket nem lehetett kijavítani. Az egyik ilyen érzékenység az SSL kompatibilitása a modern kibertámadásoknak ellenálló cifrákkal.
A biztonsági rés továbbra is a TLS 1.0, mivel a betolakodó kényszeríthet egy SSL 3-at.0 kapcsolatot az ügyfélen, majd használja ki a biztonsági rését. A TLS új frissítésével ez már nem így van.
Milyen intézkedéseket tehetünk?
Ha a fogadó félnél van, akkor csak frissítenie kell a böngészőt. Manapság az összes böngésző beépített támogatással rendelkezik a TLS 1-hez.2, ezért a biztonság fenntartása nem olyan nehéz az ügyfelek számára. A felhasználóknak azonban továbbra is óvintézkedéseket kell tenniük, amikor piros zászlókat látnak. Gyakorlatilag az összes böngészője figyelmeztető üzenete ilyen vörös zászlókra mutat. A modern böngészők kivételesen érzékelik, hogy valami árnyas dolog történik egy webhelyen.
A webhelyeket tároló szerveradminisztrátorok nagyobb felelősséggel tartoznak a vállukon. Sokat tehet ebben a tekintetben, de kezdjük el megjeleníteni az üzenetet, amikor az ügyfél elavult szoftvert használ.
Például azoknak, akik Apache gépeket használnak kiszolgálóként, ki kell próbálniuk:
$ SSLOptions + StdEnvVars$ RequestHeader beállította az X-SSL-protokollt: SSL_PROTOCOL s
$ RequestHeader beállította az X-SSL-Cipher% SSL_CIPHER s elemet
Ha PHP-t használ, keressen a $ _SERVER kifejezésre a szkripten belül. Ha bármi olyanra bukkan, amely azt jelzi, hogy a TLS elavult, akkor ennek megfelelően egy üzenet jelenik meg.
A kiszolgáló biztonságának fokozása érdekében vannak olyan ingyenes segédprogramok, amelyek tesztelik a rendszert a TLS és SSL hiányosságok iránti érzékenység szempontjából. Néhányan még jobban konfigurálhatják a szervert. Ha tetszik ez az ötlet, nézze meg a Mozilla SSL Configuration Generator programot, amely alapvetően mindent megtesz azért, hogy a szerverét beállítsa a TLS-kockázatok és egyéb.
Ha tesztelni szeretné a szerverét az SSL-fogékonyságra vonatkozóan, nézze meg a Qualys SSL Labs oldalt. Automatizált konfigurációt futtat, amely átfogó és bonyolult is, ha részletorientált.
Összefoglalva
Mindent figyelembe véve a felelősség súlya mindenki vállán fekszik.
A modern számítógépek és technikák megjelenésével az internetes támadások idővel egyre hatásosabbá és szélesebb körűvé váltak. Valamennyi internet-felhasználónak megfelelő ismeretekkel kell rendelkeznie az online adatvédelem védelmét szolgáló rendszerekről, és meg kell tennie a szükséges óvintézkedéseket az interneten keresztüli kommunikáció során.
Mindenesetre mindig sokkal jobban jársz, ha nyílt forráskódot használsz, mivel biztonságosabbak, ingyenesek és elvégezhetik a munkát.
