Mikä on SSL ja miksi sinun pitäisi huolehtia?

Sisällysluettelo:

Anonim

Edellisessä raportissa, joka koskee HTTP: stä HTTPS: ään siirtymistä, se kosketti lyhyesti Single Socket Layer (SSL). Lyhyesti sanottuna SSL ja sen seuraaja, Transport Layer Security (TLS), tarvitaan toimimaan turvallisesti verkossa.

Tässä artikkelissa tarkastellaan lähemmin vastausta kysymykseen "mikä on SSL" ja myös siitä, miten SSL / TLS suojaa arkaluonteisia tietojasi.

Miksi sinun pitäisi huolehtia SSL: stä / TLS: stä?

Ennen kuin siirryt "How" -ohjelmaan, katsotaanpa "Miksi", jota haluat käyttää SSL / TLS: ää ensin.

$config[code] not found

Nykyään tietoturva on kultainen. Jokainen, jolla on ollut hänen henkilöllisyytensä varastettu, voisi kertoa siitä. Avain tietojesi turvallisuuden säilyttämiseen on tuhota se jonnekin turvalliseksi, jos kukaan muu ei näe sitä.

Valitettavasti se ei ole mahdollista verkossa. Kun siirrät tietoja verkossa, siellä on aina jossain vaiheessa prosessissa, jossa sekä sinä että asiakkaasi menettävät tietoja.

Näet, kun asiakas voi suojata laitteen, jolla selaimesi toimii, ja voit suojata Web-palvelimesi, online-maailman putket ovat molemmista käsistäsi.

Olipa se kaapeliyhtiö, puhelinyhtiö tai hallituksen toimiva merenalainen kaapeli, asiakkaiden tiedot kulkevat jonkun toisen käden kautta verkossa ja siksi sen on oltava salattu SSL / TLS-järjestelmällä.

Seuraavassa on joitakin esimerkkejä tietotyypeistä, joita voit käyttää SSL / TLS: n suojaamiseen verkossa:

  • Luottokorttitapahtumat
  • Verkkosivustojen kirjautumiset
  • Yksityisten ja henkilökohtaisten tietojen siirtäminen edestakaisin
  • Varmista sähköpostisi snoopereilta.

Kyllä, jos liiketoimintaa harjoitetaan verkossa, SSL / TLS on ratkaisevan tärkeää jatkuvan menestyksen kannalta. Miksi? Koska:

  • Asiakkaasi täytyy tuntea olonsa turvalliseksi, kun he tekevät liiketoimintaa kanssasi verkossa tai he eivät tee liiketoimintaa kanssasi; ja
  • Sinulla on velvollisuus suojata asiakkaan luottamuksellisia tietoja, jotka he ovat jakaneet kanssasi.

Seuraavaksi tarkastellaan, miten SSL / TLS toimii.

Julkiset, julkiset ja istuntoavaimet ovat,… avain

Kun käytät SSL / TLS: ää lähettämään arkaluonteisia tietojasi verkossa, selaimesi ja suojattu Web-palvelin yhdistävät kaksi erillistä näppäintä turvallisen yhteyden muodostamiseksi: julkinen ja yksityinen avain. Kun yhteys on muodostettu, kolmannen tyyppistä avainta, istunnonäppäintä, käytetään salaamaan ja purkamaan edestakaisin välitettyjä tietoja.

$config[code] not found

Näin se toimii:

  1. Kun muodostat yhteyden suojattuun katkaisuun (esim. Amazon.com), “kättely” -prosessi alkaa:
    1. Ensinnäkin palvelin siirtää selaimesi SSL / TLS-sertifikaatin ja sen julkisen avaimen;
    2. Selaimesi tarkistaa sitten palvelimen varmenteen, jos se voi luottaa siihen käyttämällä sellaisia ​​tekijöitä, kuten onko varmenne luotettava lähde ja onko varmenne päättynyt.
    3. Jos SSL / TLS voidaan luottaa, selaimesi lähettää kuittauksen takaisin palvelimelle antamalla sen tietää, että se on valmis lähtemään. Tämä viesti salataan palvelimen julkisella avaimella ja se voidaan purkaa vain palvelimen yksityisen avaimen avulla. Tähän kuittaukseen sisältyy selaimesi julkinen avain.
      1. Jos palvelinta ei voi luottaa, näet selaimesi varoituksen. Voit aina ohittaa varoituksen, mutta se ei ole viisasta.
    4. Sitten palvelin luo istunnon avaimen. Ennen kuin lähetät sen selaimeen, se salaa viestin käyttämällä julkista avainta siten, että vain selaimesi voi käyttää sen yksityistä avainta.
  2. Nyt kun kädenpuristus on ohi ja molemmat puolueet ovat varmasti vastaanottaneet istunnon avaimen, selaimesi ja palvelin jakavat turvallisen yhteyden. Sekä selaimesi että palvelin käyttävät istuntoavainta salaamaan ja purkamaan arkaluonteisia tietoja, jotka lähetetään edestakaisin verkossa.
    1. Kun istunto on päättynyt, istuntoavain hylätään. Vaikka muodosttaisit yhteyden tunnin kuluttua, sinun on suoritettava tämä prosessi alusta alkaen, jolloin tuloksena on uusi istuntoavain.

Koolla on väliä

Kaikki kolme avaintyyppiä koostuvat pitkistä numeroista. Mitä pidempi merkkijono, sitä varmempi salaus. Alempana puolella pidempi merkkijono vie enemmän aikaa tietojen salaamiseen ja salaamiseen ja lisää rasitusta sekä palvelimen että selaimen resursseihin.

Siksi istuntoavaimet ovat olemassa. Istuntonäppäin on paljon lyhyempi kuin sekä julkiset että yksityiset avaimet. Tulos: paljon nopeampi salaus ja salauksen purku, mutta vähemmän turvallisuutta.

Odota - vähemmän turvallisuutta? Eikö olekin niin huono? Ei oikeastaan.

Istuntoavaimet ovat olemassa vain lyhyen ajan ennen kuin ne poistetaan. Vaikka ne eivät ole niin kauan kuin kaksi muuta avaintyyppiä, ne ovat riittävän turvallisia estämään hakkerointia lyhyessä ajassa, kun selaimesi ja suojatun palvelimen välinen yhteys on olemassa.

Salausalgoritmit

Sekä julkiset että yksityiset avaimet luodaan käyttämällä yhtä kolmesta salausalgoritmista.

Emme tule liian syvälle täällä, sinun on kirjaimellisesti tarvittava matematiikan tutkinto (ehkä useita) ymmärtämään salausalgoritmeja täysin, mutta on kätevää tietää perusasiat, kun on aika valita tyyppi, jota oma verkkosivujemme käyttää.

Kolme ensisijaista algoritmia ovat:

  • RSA - nimetty sen luojat (Ron Rivest, Adi Shamir ja Leonard dlema), RSA on ollut vuodesta 1977 lähtien. RSA luo avaimia käyttämällä kahta satunnaislukua useissa laskelmissa. Lisätietoja…
  • Digitaalisen allekirjoituksen algoritmi (DSA) - Kansallisen turvallisuusviraston (NSA) luoma DSA luo avaimet käyttämällä kaksivaiheista prosessia, jossa käytetään laskentatoiminnossa ”krptografista hash-toimintoa”. Lisätietoja…
  • Elliptinen käyrän salaus (ETY) - ETY luo avaimet käyttämällä "elliptisten käyröiden algebrallista rakennetta" monimutkaisissa laskelmissa. Lisätietoja…
$config[code] not found

Mikä salausalgoritmi pitäisi valita?

Matematiikka syrjään, mikä on paras salausalgoritmi käytettäväksi?

Tällä hetkellä ECC näyttää tulevan päälle. Matematiikan ansiosta ECC-algoritmilla luodut avaimet ovat lyhyempiä, vaikka ne ovat yhtä turvallisia kuin paljon pidempiä avaimia. Kyllä, ECC rikkoo "kokoa koskevat säännöt", mikä tekee siitä ihanteellisen turvalliseen yhteyteen vähemmän tehokkaissa laitteissa, kuten matkapuhelimessa tai tabletissa.

Paras lähestymistapa voi olla hybridi, jossa palvelimesi voi hyväksyä kaikki kolme algoritmityyppiä, jotta se pystyy käsittelemään mitä tahansa sitä. Tämän lähestymistavan kaksi haittapuolta voivat olla:

  1. Palvelin käyttää enemmän resursseja, jotka käsittelevät RSA: ta, DSA: ta ja ECC: tä verrattuna vain ECC: hen; ja
  2. SSL / TLS-sertifikaatin tarjoaja voi veloittaa enemmän. Katsokaa kuitenkin, että on erittäin luotettavia tarjoajia, jotka eivät veloita ylimääräistä kaikkien kolmen käyttämisestä.

Miksi TLS on edelleen kutsuttu SSL: ksi?

Kuten mainitsimme tämän viestin yläosassa, TLS on SSL: n seuraaja. Vaikka SSL on edelleen käytössä, TLS on hienostuneempi ratkaisu ja liittää useita SSL: ää vaivannut suojausreikiä.

Useimmat hosting-yritykset ja SSL / TLS-sertifikaatin tarjoajat käyttävät edelleen termiä "SSL-sertifikaatti" "TLS-sertifikaatin" sijasta.

Selvitä kuitenkin, että paremmat isännöinti- ja sertifikaattipalvelijat käyttävät todellakin TLS-varmenteita - he eivät vain halunneet muuttaa nimeä, koska se hämmentäisi asiakkaita.

johtopäätös

SSL (Single Socket Layer) ja sen seuraaja Transport Layer Security (TLS) ovat välttämättömiä toimiakseen turvallisesti verkossa. SSL / TLS mahdollistaa pitkät numeronäppäimet, joita kutsutaan nimellä "Keys", jolloin yhteydet, joissa sekä asiakkaan että asiakkaan tiedot on salattu, ennen kuin se lähetetään ja puretaan, kun se saapuu.

Alarivi: jos käytät liiketoimintaa verkossa, SSL / TLS on ratkaisevan tärkeää jatkuvan menestyksen kannalta, koska se rakentaa luottamusta ja suojaa sekä sinä että asiakkaasi.

Tietoturva Shutterstockin kautta

Lisätietoja: Mitä on 5 kommenttia ▼