Kaj je SSL in zakaj bi vas skrbelo?

Kazalo:

Anonim

V prejšnjem poročilu o spreminjanju iz HTTP v HTTPS se je na kratko dotaknil sloja Single Socket Layer (SSL). Na kratko, SSL in njegov naslednik, Transport Layer Security (TLS), sta potrebna za varno delovanje na spletu.

V tem članku si poglejmo podrobneje odgovorimo na vprašanje »kaj je SSL« in tudi, kako SSL / TLS ščiti vaše občutljive informacije.

Zakaj bi morali skrbeti za SSL / TLS?

Preden se odpravite v »Kako«, pa si poglejmo »Zakaj«, ki ga želite uporabljati SSL / TLS.

$config[code] not found

Danes je varnost podatkov zlata. To vam lahko pove kdorkoli, ki je ukradel svojo identiteto. Ključ do varovanja vaših podatkov je, da ga zavržete na varno mesto, kjer ga nihče ne vidi.

Na žalost to ni mogoče na spletu. Ko prenašate podatke na spletu, obstajajo nenehno neko točko v procesu, kjer vi in ​​vaša stranka izgubite nadzor nad podatki.

Vidite, medtem ko vaša stranka lahko zagotovi napravo, na kateri teče vaš brskalnik, in lahko zaščitite svoj spletni strežnik, cevi svetovnega spleta so iz obeh rok.

Ne glede na to, ali gre za kabelsko podjetje, telefonsko podjetje ali podmorski kabel, ki ga upravlja vlada, bodo podatki vaših strank prek spletnih strani nekoga drugega prešli skozi roke, zato ga je treba šifrirati s protokolom SSL / TLS.

Nekaj ​​primerov vrst informacij, ki jih lahko uporabite za zaščito na spletu:

  • Transakcije s kreditnimi karticami
  • Prijava na spletno stran
  • Prenos zasebnih in osebnih podatkov naprej in nazaj
  • Varovanje e-pošte od snooperjev.

Da, če poslujete na spletu, je SSL / TLS ključnega pomena za vaš nadaljnji uspeh. Zakaj? Ker:

  • Vaše stranke se morajo počutiti varne, ko poslujejo z vami na spletu ali ne bodo poslovale z vami; in
  • Vaša stranka je dolžna varovati občutljive podatke, ki so jih izbrali za skupno rabo z vami.

Nato si poglejmo, kako deluje SSL / TLS.

Javni, javni in sejni ključi so … tipka

Ko za posredovanje občutljivih podatkov prek spleta uporabljate SSL / TLS, se vaš brskalnik in varovani spletni strežnik povezuje z dvema ločenima tipkama za vzpostavitev varne povezave: javni in zasebni ključ. Ko je povezava vzpostavljena, se za šifriranje in dešifriranje informacij, ki se prenašajo naprej in nazaj, uporablja tretji tip ključa, ključ seje.

$config[code] not found

Kako deluje:

  1. Ko se povežete z varnim strežnikom (npr. Amazon.com), se začne postopek »rokovanja«:
    1. Najprej bo strežnik posredoval vaš brskalnik s certifikatom SSL / TLS in javnim ključem;
    2. Vaš brskalnik bo nato preveril potrdilo strežnika, da bi preveril, ali mu lahko zaupate z uporabo dejavnikov, kot so, ali je potrdilo izdal zanesljiv vir, in če certifikat ni potekel.
    3. Če je SSL / TLS mogoče zaupati, bo vaš brskalnik poslal potrdilo nazaj na strežnik in mu sporočil, da je pripravljen. To sporočilo bo šifrirano z javnim ključem strežnika in ga bo mogoče dešifrirati samo z zasebnim ključem strežnika. V potrditev je vključen javni ključ brskalnika.
      1. Če strežniku ni mogoče zaupati, se v brskalniku prikaže opozorilo. Opozorilo lahko vedno prezrete, vendar ni pametno.
    4. Strežnik nato ustvari ključ seje. Preden ga pošljete v brskalnik, šifrira sporočilo z vašim javnim ključem, tako da ga lahko dešifrira samo vaš brskalnik s svojim zasebnim ključem.
  2. Zdaj, ko je rokovanje končano in sta oba partnerja varno prejela ključ seje, vaš brskalnik in strežnik delita varno povezavo. Vaš brskalnik in strežnik uporabljata ključ seje za šifriranje in dešifriranje občutljivih podatkov, ko so poslana nazaj in nazaj prek spleta.
    1. Ko je seja končana, se ključ seje zavrže. Tudi če se povežete eno uro kasneje, boste morali skozi ta postopek zagnati od začetka, kar bo imelo za posledico nov ključ seje.

Velikost je pomembna

Vse tri vrste ključev so sestavljene iz dolgih nizov števil. Daljši niz, varnejše je šifriranje. Na spodnji strani daljši niz potrebuje več časa za šifriranje in dešifriranje podatkov ter dodatno obremenjuje tako vire strežnika kot tudi vire brskalnika.

Zato obstajajo ključi seje. Ključ seje je veliko krajši od javnega in zasebnega ključa. Rezultat: veliko hitrejše šifriranje in dešifriranje, vendar manj varnosti.

Počakajte - manj varnosti? Ali ni tako slabo? Ne res.

Sesijski ključi obstajajo le kratek čas, preden so izbrisani. Čeprav niso tako dolgo kot druge dve vrsti ključev, so dovolj varni, da preprečijo taksiranje v kratkem času, ko obstaja povezava med brskalnikom in varnim strežnikom.

Algoritmi šifriranja

Javni in zasebni ključi so ustvarjeni z enim od treh algoritmov šifriranja.

Tu se ne bomo preveč poglobili, dobesedno potrebujete matematično stopnjo (morda več), da boste popolnoma razumeli algoritme za šifriranje, vendar je priročno poznati osnove, ko pride čas, da izberete vrsto, ki jo uporablja vaša spletna stran.

Trije primarni algoritmi so:

  • RSA - imenovan po svojih ustvarjalcih (Ron Rivest, Adi SHamir in Leonard ARSA je prisotna od leta 1977. RSA ustvarja ključe z uporabo dveh naključnih prostih številk v seriji izračunov. Nauči se več…
  • Algoritem digitalnega podpisa (DSA) - DSA ustvari ključe s postopkom v dveh korakih, ki v seriji izračunov uporablja "crptographic hash" funkcijo. Nauči se več…
  • Kriptografija eliptične krivulje (EGS) - EEC ustvarja ključe s pomočjo »algebrske strukture eliptičnih krivulj« v zapleteni seriji izračunov. Nauči se več…
$config[code] not found

Kateri algoritem šifriranja izberete?

Ne glede na matematiko, kateri je najboljši algoritem za šifriranje?

Zdaj se zdi, da ECC prihaja na vrh. Zahvaljujoč matematiki so ključi, ustvarjeni z algoritmom ECC, krajši, medtem ko so še vedno tako varni kot daljši ključi. Da, ECC prekine pravilo o velikosti, zaradi česar je idealen za varno povezavo na manj zmogljivih napravah, kot je mobilni telefon ali tablični računalnik.

Najboljši pristop je lahko hibridni, kjer lahko vaš strežnik sprejme vse tri vrste algoritmov, tako da lahko upravlja z vsem, kar je vržen vanje. Dva pomanjkljivosti tega pristopa sta lahko:

  1. Strežnik uporablja več sredstev, ki upravljajo RSA, DSA in ECC, v nasprotju z le ECC; in
  2. Vaš ponudnik certifikatov SSL / TLS vam lahko zaračuna več. Poglej okrog pa obstaja zelo dober ponudniki, ki ne zaračunavajo dodatnih za uporabo vseh treh.

Zakaj se TLS še vedno imenuje SSL?

Kot smo omenili na vrhu te objave, je TLS naslednik SSL-ja. Medtem ko je SSL še vedno v uporabi, je TLS bolj izpopolnjena rešitev, ki povezuje številne varnostne luknje, ki povzročajo SSL.

Večina gostujočih podjetij in ponudnikov certifikatov SSL / TLS še vedno uporablja izraz "SSL certifikat" namesto "TLS Certificate".

Vendar pa je jasno, da boljši ponudniki gostovanja in potrdil dejansko uporabljajo certifikate TLS - preprosto niso želeli spremeniti imena, ker bi zmedla njihove stranke.

Zaključek

Za varno delovanje na spletu je potrebna SSL (Single Socket Layer) in njena naslednica (TLS). Z uporabo dolgih nizov številk, imenovanih »Ključi«, SSL / TLS omogoča povezave, pri katerih so informacije o vaši in vaši stranki šifrirane, preden so poslane in dešifrirane ob prihodu.

Zaključek: če poslujete na spletu, je SSL / TLS ključnega pomena za vaš nadaljnji uspeh, ker gradi zaupanje in hkrati varuje vas in vaše stranke.

Varnostna fotografija preko Shutterstocka

Več v: Kaj je 5 Komentarji ▼