Что такое Secure Sockets Layer и как работают сертификаты безопасности. Протокол SSL | REG.RU

Современный интернет работает посредством сетевой инфраструктуры OSI. Она состоит из семи уровней, на каждом из которых происходит обмен данными между устройствами.

За работу каждого уровня отвечает один из сетевых протоколов. Сетевой протокол — это набор соглашений, в котором зафиксировано, как и по каким правилам будет происходить обмен данными. Одним из таких протоколов является Secure Sockets Layer, или SSL. Давайте разберемся, что он из себя представляет.

Что такое Secure Sockets Layer. Как работает протокол SSL

С английского Secure Sockets Layer (SSL) переводится как протокол защищённых сокетов (конечных точек соединения). SSL-certificate — это криптографический протокол, который отвечает за безопасную передачу данных на сеансовом уровне.

Протокол разработала и внедрила компания Netscape Communications в 1994 году. Самую первую версию SSL так и не выпустили из-за низкого уровня безопасности — протокол не гарантировал конфиденциальность данных по транзакциям с кредитными картами. При разработке SSL v2 были учтены и исправлены недостатки предыдущей версии. При этом уже в 1995 вышла третья версия протокола с улучшенной структурой MAC, но и её нельзя было назвать идеальной. В 1999 году Кристофер Аллен и Тим Диркс разработали новую версию протокола. Её назвали TLS — от англ. Transport Layer Security (защита транспортного уровня).

TLS-протокол регулярно обновляется. В 2006 году появилась версия 1.1, в 2008 — 1.2, а в 2018 разработана самая актуальная на данный момент версия — 1.3.

Поскольку технология SSL лежит в основе первых разработок безопасной передачи данных, защищённое подключение по-прежнему называют именно SSL ( а не TLS). Конечно, в бытовом общении эти понятия можно использовать как синонимы. При этом стоит понимать, что SSL и TLS всё-таки различаются.

SSL/TLS гарантирует безопасное взаимодействие на сеансовом уровне, работа которого не видна простому пользователю. Однако можно наблюдать, как защищённые протоколы работают на более высоком уровне — прикладном. За безопасность этого уровня отвечает протокол НTTPS.

Защита данных c SSL

Установите SSL-сертификат, и ваш сайт будет работать по безопасному соединению HTTPS

Как работает HTTPS

HTTPS (HyperText Transfer Protocol Secure) ― это протокол безопасного соединения, который защищает передаваемую информацию на уровне браузера. У него есть предшественник — HTTP.

HTTP (HyperText Transfer Protocol) ― протокол передачи данных в интернете. Благодаря его работе пользователь может запросить ту или иную информацию через браузер и получить её от сервера, на котором она хранится. Это первый протокол, разработанный для работы в веб-пространстве.

Информация, которой пользователь обменивается с сервером по протоколу HTTPS, в отличие от HTTP, защищена. HTTPS реализует защиту в три этапа:

1. Шифрует передаваемую информацию. Так мошенники не могут отследить действия пользователей и получить доступ к данным.
2. Проводит аутентификацию. Благодаря этому посетители понимают, что сайту можно доверять и что личная информация (паспортные данные, банковские реквизиты и другое) не попадёт в руки злоумышленников.
3. Поддерживает целостность информации. Все транзакции и изменения данных фиксируются. Это позволяет отслеживать действия и вовремя предотвратить инцидент в случае подозрительной активности.

Какой порт SSL соответствует HTTPS протоколу? В отличие от HTTP, который работает по порту 80, HTTPS (SSL) использует порт 443.

Проверить, по какому протоколу работает сайт, можно в URL-строка браузера:

Изначально все сайты работают по HTTP. Чтобы «перевести» сайт на HTTPS, нужно установить SSL-сертификат.

Как работает SSL-сертификат

В основе работы SSL шифрования лежит обмен ключами по алгоритму RSA. Этот обмен происходит при каждом действии в сети (переходе по ссылке, вводе запроса в поисковик) — транзакции. При этом несколько транзакций могут объединиться в одну сессию — в таком случае обмен ключами произойдёт только один раз в сессию.

Рассмотрим, как работает RSA-алгоритм. Для этого представим, что пользователь переходит на сайт, но пока не знает, по какому протоколу он работает:

1. 1.

   Браузер пользователя запрашивает у сайта SSL-сертификат.

2. 2.
   Сайт предоставляет сертификат.

3. 3.

   Браузер уточняет его подлинность через центр сертификации. Если сертификат не совпадает, транзакция может быть прервана. Если сертификат подтверждается, они продолжают взаимодействие.

4. 4.

   Браузер и сайт договариваются о симметричном ключе. Для этого браузер и сервер обмениваются асимметрично зашифрованными сообщениями, а затем общаются при помощи симметричного шифрования.

   Асимметричный ключ — каждая сторона имеет два ключа: публичный и частный. Публичный ключ доступен любому. Частный известен только владельцу. Если браузер хочет отправить сообщение, то он находит публичный ключ сервера, шифрует сообщение и отправляет на сервер. Далее сервер расшифровывает полученное сообщение с помощью своего частного ключа. Чтобы ответить пользователю, сервер делает те же самые действия: поиск публичного ключа собеседника, шифрование, отправка.

   Симметричный ключ — у обеих сторон есть один ключ, с помощью которого они передают данные. Между двумя сторонами уже должен быть установлен первичный контакт, чтобы браузер и сервер знали, на каком языке общаться.

5. 5.

   Браузер и сайт передают зашифрованную информацию.

Готово, пользователь подключился к сайту, который работает по безопасному протоколу HTTPS.

Итак, мы рассказали как для чайников, как работает SSL и HTTPS протоколы и что необходимо настроить для безопасного подключения.

Защитите данные с помощью SSL

Защитите данные на вашем сайте от мошенников. Установите SSL-сертификат, чтобы сайт работал по HTTPS-протоколу.

Подробнее Помогла ли вам статья?

3 раза уже помогла

Описание протокола SSL

Криптографический протокол SSL (Secure Socket Layer) был разработан компанией Netscape в 1996 году и быстро стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Протокол SSL интегрирован в большинство браузеров и в web-сервера. Правительство США в 2014 году сообщило об уязвимости в текущей версии SSL протокола (3.0), на смену которому предложен протокол TLS.

Защищенный обмен данными обеспечивается двумя элементами протокола SSL :

• аутентификация клиента;
• шифрование данных.

SSL использует симметричный шифр для обеспечения конфиденциальности, асимметричную криптографию для аутентификации ключей обмена и коды аутентификации сообщений для целостности сообщений.

Для осуществления SSL соединения необходимо на сервере инсталлировать цифровой сертификат, который «привязан» к конкретному домену сети интернет. Центр сертификации проводит проверки, подтверждающие подлинность организации, и после этого создает и подписывает цифровой сертификат для этой организации/сайта. Цифровой SSL сертификат следует устанавливать только на тот домен WEB-сервера, для которого он прошел аутентификацию; это даёт пользователям сети Интернет необходимые гарантии чистоты WEB-сервера.

Центры сертификации

Прежде чем продолжать повествование о соединениях SSL, необходимо несколько слов сказать о центрах сертификации.

Центр сертификации CA (certificate authority) — это организация, имеющая право выдачи цифровых сертификатов. Эта организация производит проверку данных запроса на сертификацию в CSR перед выдачей сертификата. Имеется несколько разновидностей цифровых сертификатов, отличающихся содержащейся в них информацией, и, соответственно, ценой. В самых простых сертификатах CA проверяет только соответствие доменного имени; в самых дорогих выполняется комплекс проверок самой организации, запрашивающей сертификат.

Отличие самоподписанного сертификата от выданного центром сертификации платного связано с тем, что при использовании такого сертификата на сайте (сервере), браузер будет открывать страницу с предупреждением, что этот сайт не использует безопасное соединение SSL. Браузер предложит покинуть сайт или продолжить просмотр, но с большой осторожностью; решение за посетителем сайта.

И так, при установлении SSL соединения, т.е. при открытии начинающейся с https://… страницы, браузер должен выполнить проверку цифрового сертификата сервера. Данная проверка выполняется с использованием доверенных сертификатов, размещенных в хранилище браузера. На следующем скриншоте представлена вкладка страницы настроек браузера Google Chrome «Доверенные корневые центры сертификации». Чтобы открыть данную вкладку необходимо проделать следующий путь : Chrome Настройки -> Дополнительные -> Настроить сертификаты. В Chrome установлено более 45 корневых сертификатов. В этом хранилище браузер с Вашего согласия также размещает сертификаты, которым Вы доверяете.

Имеется большое количество различных центров сертификации. Наиболее популярные :

• Comodo — штаб-квартира в Jersey City, New Jersey, США.
• Geotrust — штаб-квартира Mountain View, California, США
• Symantec — бывший Verisign в состав которого входит и Geotrust.
• Thawte — основан в 1995, продан Verisign в 1999.
• Trustwave — штаб-квартира Chicago, Illinois, США.

Этот список можно было бы и продолжить. Вы можете самостоятельно просмотреть установленные в Вашем браузере цифровые сертификаты корневых центров.

На заметку
Иногда возникает ситуация, при которой браузер выдает предупреждение, несмотря на то, что на серверe SSL сертификат установлен. Данная ситуация возникнает либо при отсутствии корневого сертификата, центра выдавшего сертификат, либо из-за того, что закончился срок действия корневого сертификата. Помните, что корневые сертификаты в браузерах обновляются при обновлении браузера.

В настоящее время сертификационные центры используют ключи 2048 bit RSA. Поэтому для корректной работы всех сертификатов необходимо контролировать корневые сертификаты. Если корневые сертификаты не соответствуют данным требованиям, то это может вызвать проблемы с распознаванием его некоторыми из браузеров.

Многослойная среда SSL

Разобравшись, с точки зрения необходимого понимания, с центрами сертификации и подписываемыми ими цифровыми сертификатами, вернемся к описанию SSL-соединения

Основным преимуществом SSL является его независимость от прикладного (верхнего уровня) протокола, который работает поверх протокола SSL. То есть протокол SSL согласовывает алгоритм шифрования и ключ сессии, а также аутентифицирует сервер до того, как приложение примет или передаст первый байт сообщения.

Структурно протокол SSL размещается между протоколом, используемым клиентами (HTTP, FTP, IMAP, LDAP, Telnet и т.д.) и транспортным протоколом TCP/IP. Таким образом SSL обеспечивает защиту и передачу данных на транспортный уровень. Благодаря многослойной структуре SSL протокол может поддерживать разные протоколы программ-клиентов.

Протокол SSL условно можно разделить на два уровня. Первый уровень обеспечивает подтверждение подключения и включает три подпротокола : протокол подтверждения подключения (handshake protocol), протокол определения параметров шифра (change cipher spec protocol) и предупредительный протокол (alert protocol). Второй уровень включает протокол записи. На следующем рисунке схематично изображена структура взаимосвязи слоев SSL.

Уровень подтверждения подключения включает три части протокола :

1. Подтверждение подключения
используется для согласования данных сессии между клиентом (браузером) и сервером. Сессия включает следующие данные :

• идентификационный номер сессии;
• сертификаты обеих сторон;
• параметры используемого алгоритма шифрования;
• алгоритм сжатия информации;
• симметричный ключ шифрования.

Уровень подтверждения подключения обеспечивает реализацию нескольких функций безопасности. Так он формирует цепочку обмена данными и согласовывает шифрование, алгоритмы хеширования и сжатия. При определении подлинности участников обмена данных уровень подтверждения подключения использует сертификат стандарта Х.509.

Таким образом, на первом шаге при установке соединения стороны (браузер и сервер) договариваются о возможных механизмах шифрования, поддерживаемых каждой из сторон, длине используемого ключа, режиме шифрования и производят обмен сертификатами. Такой начальный обмен данными называется handshake. Во время handshake генерируется симметричный ключ, который действует только для одной SSL сессии и устаревает, как только сессия становится неактивной.

2. Изменение параметров шифрования
необходимо для определения параметров ключа, который используется для шифрования данных между клиентом и сервером. Параметры ключа представляют информацию, которая используется для создания ключей шифрования. Данная часть протокола состоит из одного сообщения, в котором сервер говорит об изменении набора ключей. После этого ключ извлекается из информации, которой стороны обменялись на уровне подтверждения подключения.

3. Предупреждение
Сообщение предупреждения информирует стороны взаимодействия об изменении статуса или о возможной ошибке. Имеется несколько предупредительных сообщений, которыми обмениваются стороны, как при нормальном функционировании, так и при возникновении ошибки. Как правило, предупреждение отправляется при закрытии подключения, при получении неправильного сообщения, которое невозможно расшифровать, или при отмене операции пользователем.

4. Уровень записи
Протокол на уровне слоя записи получает данные, шифрует/дешифрирует и передает их на транспортный слой. При шифровании данных они разбиватся на блоки размером, который подходит криптографическому алгоритму. При этом используется информация, которая была согласована на уровне подтверждения подключения. В некоторых случая на этом уровне выполняется сжатие (распаковка) данных.

Два вида SSL соединения

SSL соединение может быть двух видов : простая (односторонняя) SSL аутентификация и двусторонняя SSL аутентификация.

Односторонняя SSL аутентификация

При односторонней аутентификации сертификат с парным приватным ключом располагаются только на сервере. Зашифрованные с помощью открытого ключа данные могут быть расшифрованы с помощью приватного ключа на сервере. Клиент, устанавливающий соединение с сервером, проверяет его сертификат прежде чем установить шифрованное соединение. Проверка сертификата включает :

• действителен ли сертификат, т.е. не окончился ли срок действия сертификата;
• соответствие сертификата имени хоста;
• наличие в списке клиента/браузера центра сертификации, выдавшего сертификат;
• действительность цифровой подписи на сертификате.

При односторонней SSL аутентификации клиент не проверяется сервером. Следующий рисунок демонстрирует последовательность установления защищенного SSL соединения между сервером и клиентом, в качестве которого может выступать обычный браузер.

Если сервер аутентифицирован, то его сообщение о сертификации должно обеспечить сертификационную цепочку, ведущую к доверенному центру сертификации. То есть, аутентифицированный сервер должен отправить клиенту сертификат, подписанный одним из центров сертификации.

Двусторонняя SSL аутентификация

При двусторонней аутентификации обе стороны (и сервер, и клиент) предоставляют сертификаты для проверки подлинности друг друга при установке шифрованного соединения, как это представлено на следующем рисунке.

Шифрование пересылаемых данных

Для шифрования данных можно использовать два способа : симметричный и ассиметричный.

Симметричное шифрование
При симметричном способе шифрования используется один и тот же ключ как для шифрования, так и для дешифрирования. Если две стороны договариваются обмениваться симметрично зашифрованными сообщениями в безопасном режиме, то они должны иметь одинаковые ключи. Так как процесс симметричного шифрования и дешифрирования проходит быстрее, чем при ассиметричном шифровании, то симметричное шифрование обычно используется для кодирования большого объема данных. Обычно используются алгоритмы DES (Data Encryption Standard), 3-DES (тройной DES), RC2, RC4, и AES (Advanced Encryption Standard).

Ассиметричное шифрование
При ассиметричном шифровании используется пара ключей : открытый/публичный (public) и закрытый (private). Открытый ключ центр сертификации размещает в самом сертификате владельца (заголовок subject). Секретный ключ не должен никому окрываться. Эти ключи работают в паре и используются для выполнения противоположных функций второго ключа. Так, например, если открытым ключом зашифровать данные, то расшифровать их можно будет только закрытым ключом. И наоборот, если данные шифруются закрытым ключом, то открытый ключ должен данные дешифрировать.

Взаимосвязь открытого и закрытого ключей позволяет производить обмен открытыми ключами между сторонами (сервер и клиент), чтобы они могли

• отправлять на сервер шифрованные данные, которые может дешифрировать только сервер и
• получать от сервера шифрованные данные, которые они могут дешифрировать.

В случае двустороннего обмена ключами (двусторонняя аутентификация) обе стороны выступают и в качестве сервера, и в качестве клиента.

Протокол SSL использует ассиметричное шифрование для подтвердждения клиентом подлинности сервера/клиента, а также для определения ключа сессии. Ключ сессии необходим для шифрования большого объема данных (симметричный алгоритм). Это объединяет ассиметричное шифрование (проверка подлинности) и быстрое симметричное шифрование больших объемов данных.

Самым распространенным алгоритмом при ассиметричном шифровании является RSA, названный в честь разработчиков Rivest, Shamir, Adleman.

Что такое протокол HTTPS

HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) – протокол безопасного соединения, принципом работы которого является обмен ключами шифрования.

---

HTTPS простыми словами

Интернет построен вокруг обмена данными. Каждое отправленное сообщение, каждая открытая страница – все это отправление и получение запросов. Если они передаются в открытом виде, их в любой момент может перехватить злоумышленник, если сайт использует HTTP-соединение.

Перенесем механизм использования HTTPS на сайте в реальную жизнь. Представьте, что хотите передать другу важное письмо. Хоть вы и упаковали его в конверт, почтальон все равно может получить информацию, а потом заменить вскрытую упаковку на новую (передача данных по протоколу HTTP). Но вы кладете письмо в ящик, на который вешаете замок. Друг получает посылку, но у него нет ключа — поэтому он вешает на ящик второй замок и отправляет его обратно.

Ящик «приходит» к вам, вы снимаете свой замок и отправляете посылку в путь третий раз. Теперь друг сможет открыть ее своим ключом, получив доступ к необходимой информации (передача данных по протоколу HTTPS)

На первый взгляд принцип кажется сложным, но отправляя ключ отдельно, вы рискуете, ведь его, как и посылку, могут перехватить. В данном случае перехват посылки не даст мошенникам возможность заполучить информацию.

Когда необходим протокол HTTPS?

Современные браузеры отмечают все ресурсы, использующие HTTP-протокол, как небезопасные. В Google считают, что перехват любых данных опасен, поэтому будущее интернета за безопасным подключением. HTTPS нужен, если вы:

1. Собираете на сайте контактные данные. В этот список входит любая информация, которую оставляет посетитель.
2. Принимаете платежи на сайте.
3. Беспокоитесь о репутации сайта и не хотите, чтобы ваши посетители пострадали от рук хакеров.
4. Проводите поисковую оптимизацию и хотите учесть все мельчайшие детали.

Как перевести сайт на HTTPS?

Чтобы сайт начал работу по протоколу HTTPS, нужен SSL-сертификат.

Какие бывают SSL-сертификаты?

По типу проверки сертификаты бывают трех видов:

1. Domain Validation (DV) – подтверждение домена. Самый простой сертификат, выпускается моментально и доступен всем.
2. Organization Validation (OV) – подтверждение организации и домена. Содержит название организации – соответственно, для его получения необходимо подтверждение центром сертификации. Доступно только юридическим лицам.
3. Extendet Validation (EV) – расширенное подтверждение организации и домена. Самый безопасный и сложный в получении сертификат. Выдавая его, центр сертификации максимально тщательно проверяет деятельность организации. Доступно только юридическим лицам.

Для корректной работы SSL-сертификат должен быть выпущен специальной организацией – Удостоверяющим центром. Мы работаем с удостоверяющими центрами Thawte, GeoTrust, DigiCert, GlobalSign и Comodo.

Как выбрать SSL-сертификат?

Как заказать и установить SSL-сертификат?

Как настроить сайт для работы HTTPS

HTTPS SSL: протокол шифрования данных

Аббревиатура SSL происходит от фразы Secure Sockets Layer, что по-нашему зовется уровнем защищенных сокетов. Что же это значит? На самом деле, HTTPS – это криптографический протокол, который обеспечивает безопасный канал для передачи данных в сети Интернет.

Происходит это путем шифрования пересылаемого сообщения. Сам процесс выглядит так: через веб-браузер, электронную почту или другие средства коммуникации пользователь отправляет некие данные на защищенный сервер. При отправке сообщение шифруется с помощью открытого ключа. Открытым он называется, потому что доступен всем пользователям. Отправленный текст передается по сети по защищенному каналу https в зашифрованном виде. И только конечный получатель, обладающий одним единственным приватным (или закрытым) ключом, может открыть закодированный текст.

Для наглядности изобразим этот процесс вот так:  

Но как же активировать защищенное HTTPS соединение?

Именно здесь нам приходит на помощь SSL сертификат – цифровое свидетельство защищенности определенного Интернет-ресурса. Заказывая SSL сертификат, владелец веб-сайта проходит определенную процедуру проверки, которая может различаться в зависимости от типа цифрового сертификата безопасности. Так, при выдаче самого простого SSL сертификата проводится валидация доменного имени. Это не гарантирует, что сайт принадлежит заявленному лицу, но в любом случае до попадания в пункт назначения Ваши данные будут в безопасности. О хранении полученной информации владелец ресурса должен позаботиться дополнительно. Если же Вы, как владелец веб-сайта, решили купить сертификат с обычной или с расширенной проверкой компании, сертификационный центр (лицо, выдающее сертификат) обязательно попросит Вас предоставить копии некоторых документов компании, дабы убедиться в подлинности Вашего бизнеса. Следственно, такие SSL сертификаты заслуживают большего доверия, ведь пользователи получают не только защищенный канал связи, но и информацию о владельце сертификата, что немаловажно для построения доверительных отношений в мире Интернета, где всегда возможно одеть чужую маску и остаться вне подозрений.

Если на веб-сайте присутствуют формы для регистрации и авторизации, поля для внесения личной информации (адрес, телефон, паспортные данные и т.д.), корзина с содержимым Вашего заказа и, тем более, если сайт принимает оплату он-лайн, обязательно проверяйте, установлен ли SSL сертификат на данном ресурсе. Для этого следует хотя бы взглянуть на URL-адрес страницы, на которой Вы собираетесь что-либо заполнять: если сам адрес начинается с расширения https//: (а не http//:, как обычно) и кроме того в адресной строке есть закрытый замочек, можете быть уверенными – на сайте функционирует сертификат. Но это еще не все. Сертификаты бизнес уровня предоставляют и другие индикаторы защищенности веб-ресурсов. Но об этом мы поговорим с Вами в следующей статье.

Что такое SSL/TLS протокол и последняя версия TLS 1.3

Протокол TLS шифрует интернет-трафик всех видов, тем самым делая безопасными общение и продажи в интернете. Мы расскажем о том, как протокол работает и что нас ждет в будущем.

Из статьи вы узнаете:

Что такое SSL

SSL или слой защищенных сокетов было оригинальным названием протокола, который разработала компания Netscape в середине 90-х. SSL 1.0 никогда не был публично доступным, а в версии 2.0 были серьезные недостатки. Протокол SSL 3.0, выпущенный в 1996, был полностью переделан и задал тон следующей стадии развития.

Что такое TLS

Когда следующую версию протокола выпустили в 1999, ее стандартизировала специальная рабочая группа проектирования сети Интернет и дала ей новое название: защита транспортного уровня, или TLS. Как говорится в TLS-документации, «разница между этим протоколом и SSL 3.0 не критичная». TLS и SSL формируют постоянно обновляемую серию протоколов, и их часто объединяют под названием SSL/TLS.

Протокол TLS шифрует интернет-трафик любого вида. Самый распространенный вид — веб-трафик. Вы знаете, когда ваш браузер устанавливает соединение по TLS — если ссылка в адресной строке начинается с «https».

TLS также используется другими приложениями — например, в почте и системах телеконференций.

Как работает TLS

Шифрование необходимо, чтобы безопасно общаться в интернете. Если ваши данные не шифруются, любой может проанализировать их и прочитать конфиденциальную информацию.

Самый безопасный метод шифрования — это асимметричное шифрование. Для этого требуется 2 ключа, 1 публичный и 1 приватный. Это файлы с информацией, чаще всего очень большие числа. Механизм сложный, но если попросту, вы можете использовать публичный ключ, чтобы шифровать данные, но вам нужен приватный ключ, чтобы расшифровывать их. Два ключа связаны с помощью сложной математической формулы, которую сложно хакнуть.

Можно представить публичный ключ как информацию о местоположении закрытого почтового ящика с отверстием, и приватный ключ как ключ, который открывает ящик. Любой, кто знает, где находится ящик, может положить туда письмо. Но чтобы прочитать его, человеку нужен ключ, чтобы открыть ящик.

Так как в асимметричном шифровании применяются сложные математические расчеты, нужно много вычислительных ресурсов. TLS решает эту проблему, используя асимметричное шифрование только в начале сессии, чтобы зашифровать общение между сервером и клиентом. Сервер и клиент должны договориться об одном ключе сессии, который они будут вдвоем использовать, чтобы зашифровать пакеты данных.

Процесс, согласно которому клиент и сервер договариваются о ключе сессии, называется рукопожатием. Это момент, когда 2 общающихся компьютера представляются другу другу.

Процесс TLS-рукопожатия

Процесс TLS-рукопожатия довольно сложный. Шаги внизу отображают процесс в общем, чтобы вы понимали, как это работает в целом.

1. Клиент связывается с сервером и запрашивает безопасное соединение. Сервер отвечает списком шифров — алгоритмическим набором для создания зашифрованных соединений — которым он знает, как пользоваться. Клиент сравнивает список со своим списком поддерживаемых шифров, выбирает подходящий и дает серверу знать, какой они будут использовать вдвоем.
2. Сервер предоставляет свой цифровой сертификат — электронный документ, подписанный третьей стороной, который подтверждает подлинность сервера. Самая важная информация в сертификате — это публичный ключ к шифру. Клиент подтверждает подлинность сертификата.
3. Используя публичный ключ сервера, клиент и сервер устанавливают ключ сессии, который они оба будут использовать на протяжении всей сессии, чтобы шифровать общение. Для этого есть несколько методов. Клиент может использовать публичный ключ, чтобы шифровать произвольное число, которое потом отправляется на сервер для расшифровки, и обе стороны потом используют это число, чтобы установить ключ сессии.

Ключ сессии действителен только в течение одной непрерывной сессии. Если по какой-то причине общение между клиентом и сервером прервется, нужно будет новое рукопожатие, чтобы установить новый ключ сессии.

Уязвимости протоколов TLS 1.2 и TLS 1.2

TLS 1.2 — самая распространенная версия протокола. Эта версия установила исходную платформу опций шифрования сессий. Однако, как и некоторые предыдущие версии протокола, этот протокол разрешал использовать более старые техники шифрования, чтобы поддерживать старые компьютеры. К сожалению, это привело к уязвимостям версии 1.2, так как эти более старые механизмы шифрования стали более уязвимыми.

Например, протокол TLS 1.2 стал особенно уязвимым к атакам типа активного вмешательства в соединение, в которых хакер перехватывает пакеты данных посреди сессии и отправляет их после прочтения или изменения их. Многие из этих проблем проявились за последние 2 года, поэтому стало необходимым срочно создать обновленную версию протокола.

TLS 1.3

Версия 1.3 протокола TLS, которая скоро будет финализирована, решает множество проблем с уязвимостями тем, что отказывается от поддержки устаревших систем шифрования.
В новой версии есть совместимость с предыдущими версиями: например, соединение откатится до версии TLS 1.2, если одна из сторон не сможет использовать более новую систему шифрования в списке разрешенных алгоритмов протокола версии 1.3. Однако при атаке типа активного вмешательства в соединение, если хакер принудительно попытается откатить версию протокола до 1.2 посреди сессии, это действие будет замечено, и соединение прервется.

Как включить поддержку TLS 1.3 в браузерах Google Chrome и Firefox

Firefox и Chrome поддерживают TLS 1.3, но эта версия не включена по умолчанию. Причина в том, что она существует пока только в черновом варианте.

Mozilla Firefox

Введите about:config в адресную строку браузера. Подтвердите, что вы осознаете риски.

1. Откроется редактор настроек Firefox.
2. Введите в поиске security.tls.version.max
3. Поменяйте значение на 4, сделав двойной щелчок мышью на нынешнее значение.

Google Chrome

1. Введите chrome://flags/ в адресную строку браузера, чтобы открыть панель с экспериментами.
2. Найдите опцию #tls13-variant
3. Нажмите на меню и поставьте Enabled (Draft).
4. Перезапустите браузер.

Как проверить, что ваш браузер использует версию 1.2

Напоминаем, что версия 1.3 еще не используется публично. Если вы не хотите
использовать черновой вариант, вы можете остаться на версии 1.2.

Чтобы проверить, что ваш браузер использует версию 1.2, проделайте те же шаги, что и в инструкциях выше, и убедитесь, что:

• Для Firefox значение security.tls.version.max равно 3. Если оно ниже, поменяйте его на 3, сделав двойной щелчок мышью на нынешнее значение.
• Для Google Chrome: нажмите на меню браузера — выберите Settings — выберите Show advanced settings — опуститесь до раздела System и нажмите на Open proxy settings…:

• В открывшемся окне нажмите на вкладку Security и проверьте, чтобы для поля Use TLS 1.2 стояла галочка. Если не стоит — поставьте и нажмите OK:

Изменения войдут в силу после того, как вы перезагрузите компьютер.

Быстрый инструмент для проверки версии протокола SSL/TLS браузера

Зайдите в онлайн-инструмент проверки версии протокола SSL Labs. Cтраница покажет в реальном времени используемую версию протокола, и подвержен ли браузер каким-то уязвимостям.

Источники: перевод статьи из издания CSO и перевод статьи из технологического блога Ghacks

Ограничение протоколов SSL и наборов шифров—ArcGIS Server

Как администратор ArcGIS Server вы можете указать, какие протоколы защиты транспортного уровня (TLS) и алгоритмы шифрования будет использовать ArcGIS Server для безопасной передачи данных. От вашей организации может потребоваться использование определенных протоколов TLS и алгоритмов шифрования, или веб-сервер, на котором развернут ArcGIS Server, может разрешать только определенные протоколы и алгоритмы. Возможность использования в ArcGIS Server сертифицированных протоколов и алгоритмов гарантирует, что ваш сайт будет соответствовать политике безопасности организации.

После того, как в 2014 году была обнаружена уязвимость POODLE, ArcGIS Server прекратил поддержку протоколов Secure Sockets Layer (SSL) в версии 10.3 и более поздних, но SSL все еще используется в программном обеспечении для ссылки на протоколы TLS.

протоколы TLS

По умолчанию, ArcGIS Server использует только протоколы TLSv1.3 и TLSv1.2. Вы также можете включить протоколы TLSv1 и TLSv1.1, используя указанные ниже шаги.

Алгоритмы шифрования по умолчанию

В ArcGIS Server по умолчанию настроены следующие алгоритмы шифрования, в порядке, указанном ниже:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_AES_256_GCM_SHA384 (только TLSv1.3)
• TLS_AES_128_GCM_SHA256 (только TLSv1.3)

В целях безопасности, некоторые алгоритмы шифрования, которые были по умолчанию включены в предыдущих версиях, отключены. Их можно повторно включить, если это необходимо для старых клиентов. См. полный список поддерживаемых алгоритмов в Справочнике по наборам шифров ниже.

Используйте Administrator Directory ArcGIS Server, чтобы указать протоколы TLS и алгоритмы шифрования, которые будет использовать ваш сайт.

1. Откройте Administrator Directory ArcGIS Server и войдите в качестве администратора на ваш сайт.

   URL-адрес имеет формат https://gisserver.domain.com:6443/arcgis/admin.

2. Щелкните Безопасность > Конфигурация > Обновить.
3. В текстовом поле Протоколы SSL укажите протоколы, которые будут использоваться. Если выбирается несколько протоколов, укажите их через запятую, например TLSv1.2, TLSv1.1.

   Примечание:

   Убедитесь, что веб-сервер, на котором размещен ваш веб-адаптер, полностью поддерживает протоколы, которые вы включаете. Если используется Java Web Adaptor, на веб-сервере с Web Adaptor необходимо использовать Java 8 или выше.

4. В текстовом поле Наборы шифров укажите алгоритмы шифрования, которые будут использоваться. Если выбирается несколько алгоритмов, укажите их через запятую, например TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
5. Щёлкните Обновить.

   Если указан недопустимый протокол или набор шифров, возвращается ошибка.

Справочник по наборам шифров

ArcGIS Server поддерживает следующие алгоритмы:

ID шифра	Имя	Обмен ключами	Алгоритм аутентификации	Алгоритм шифрования	Биты	Алгоритм хеширования
0x00C030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	ECDH	RSA	AES_256_GCM	256	SHA384
0x00C028	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	ECDH	RSA	AES_256_CBC	256	SHA384
0x00C014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	ECDH	RSA	AES_256_CBC	256	SHA
0x00009F	TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	DH	RSA	AES_256_GCM	256	SHA384
0x00006B	TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	DH	RSA	AES_256_CBC	256	SHA256
0x000039	TLS_DHE_RSA_WITH_AES_256_CBC_SHA	DH	RSA	AES_256_CBC	256	SHA
0x00009D	TLS_RSA_WITH_AES_256_GCM_SHA384	RSA	RSA	AES_256_GCM	256	SHA384
0x00003D	TLS_RSA_WITH_AES_256_CBC_SHA256	RSA	RSA	AES_256_CBC	256	SHA256
0x000035	TLS_RSA_WITH_AES_256_CBC_SHA	RSA	RSA	AES_256_CBC	256	SHA
0x00C02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	ECDH	RSA	AES_128_GCM	128	SHA256
0x00C027	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	ECDH	RSA	AES_128_CBC	128	SHA256
0x00C013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	ECDH	RSA	AES_128_CBC	128	SHA
0x00009E	TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	DH	RSA	AES_128_GCM	128	SHA256
0x000067	TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	DH	RSA	AES_128_CBC	128	SHA256
0x000033	TLS_DHE_RSA_WITH_AES_128_CBC_SHA	DH	RSA	AES_128_CBC	128	SHA
0x00009C	TLS_RSA_WITH_AES_128_GCM_SHA256	RSA	RSA	AES_128_GCM	128	SHA256
0x00003C	TLS_RSA_WITH_AES_128_CBC_SHA256	RSA	RSA	AES_128_CBC	128	SHA256
0x00002F	TLS_RSA_WITH_AES_128_CBC_SHA	RSA	RSA	AES_128_CBC	128	SHA
0x00C012	TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA	ECDH	RSA	3DES_EDE_CBC	168	SHA
0x000016	SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA	DH	RSA	3DES_EDE_CBC	168	SHA
0x00000A	SSL_RSA_WITH_3DES_EDE_CBC_SHA	RSA	RSA	3DES_EDE_CBC	168	SHA
0x00C02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	ECDH	ECDSA	AES_256_GCM	256	SHA384
0x00C024	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	ECDH	ECDSA	AES_256_CBC	256	SHA384
0x00C00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	ECDH	ECDSA	AES_256_CBC	256	SHA
0x00C02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	ECDH	ECDSA	AES_128_GCM	128	SHA256
0x00C023	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	ECDH	ECDSA	AES_128_CBC	128	SHA256
0x00C009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	ECDH	ECDSA	AES_128_CBC	128	SHA
0x00C008	TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA	ECDH	ECDSA	3DES_EDE_CBC	168	SHA
0x1302	TLS_AES_256_GCM_SHA384	—	—	AES_256_GCM	256	SHA384
0x1301	TLS_AES_128_GCM_SHA256	—	—	AES_128_GCM	128	SHA256

Терминология

В приведенной выше таблице используются следующие термины:

• ECDH – Elliptic-Curve Diffie-Hellman
• DH – Diffie-Hellman
• RSA – Rivest, Shamir, Adleman
• ECDSA – алгоритм подписи Elliptic Curve Digital
• AES – Advanced Encryption Standard
• GCM – Galois/Counter Mode, – режим работы с блоками шифртекста
• CBC – Cipher Block Chaining
• 3DES – Triple Data Encryption Algorithm
• SHA – Secure Hashing Algorithm

---

Отзыв по этому разделу?

Защита сайта по протоколу TLS

TLS (Transport Layer Security) представляет собой стандартный протокол, который используется в целях создания защищенных онлайн-соединений или во внутренних сетях предприятий. Он дает возможность клиентам проводить проверку подлинности серверов. Серверы же с его помощью выполняют проверку подлинности клиентов (когда это важно). Протокол TLS также позволяет создать защищенный канал с помощью кодирования всех передаваемых данных. Принципы работы TLS напоминают SSL, что неудивительно — протокол TLS является более поздней версией протокола SSL (SSL 3.0). Иногда протокол TLS называют «SSL 3.1».

Различия между SSL 3.0 и TLS являются очень тонкими и по большей части техническими; стоит отметить, что TLS является более свежим и более отлаженным протоколом. Безопасность текущей версии SSL — 3.0 — сопоставима с безопасностью TLS 1.0, однако версии TLS 1.1 и 1.2 значительно обходят ее в этом вопросе.

Протокол TLS может применяться для защиты соединений почти по всем популярным интернет-протоколам. К примеру, протокол https — это интернет-соединение по http, которое защищено по протоколу TLS. Также по протоколу TLS могут защищаться соединения по FTP, IMAP, POP3 и SMTP и т.д.

Протокол TLS реализуют динамические библиотеки для кодирования. Если взять в качестве примера Windows, то в этой системе данный протокол может быть реализован при помощи Microsoft CryptoAPI. Помимо всего прочего, существует ряд OpenSource-библиотек, которые позволяют реализовать протокол TLS. Среди них особо выделяются библиотеки OpenSSL и GNU TLS. Самой популярной является библиотека OpenSSL, которая входит в большинство сегодняшних операционных систем.

TLS-соединение

Что представляет собой типичная сессия TLS-соединения? Такая сессия состоит из следующих шагов:

• Handshake. Аутентификация сервера. Аутентификация клиента, создание и согласование сессионных ключей, предназначенных для кодирования данных.
• Двусторонний обмен данными. Данные кодируются программой-отправителем с помощью сессионных ключей, после чего передаются программе-получателю и уже в ней декодируются. Происходит проверка целостности данных.
• В ходе сессии могут происходить повторные handshake-соединения.
• В случае разрыва соединения автоматически производится закрытие сессии.

Как получить TLS сертификат

Чтобы сервер был аутентифицирован, ему нужно иметь сертификат и соответствующий ему закрытый ключ.

Администратор сервера может получить сертификат при помощи выполнения данных шагов:

1. Воспользовавшись командой openssl req, сформировать заявку на сертификат и соответствующий закрытый ключ;
2. Отправить сформированную заявку в удостоверяющий центр.

Удостоверяющий центр выполняет подпись созданной заявки при помощи своих ключей. Далее сертификат сервера пересылается обратно администратору сервера. Процесс аутентификации сервера состоит из проверки корректности выданного сертификата, проверки статуса сертификата (не просрочен, не отозван) и проверки принадлежности сертификата. Если все эти действия будут выполнены, сервер будет считаться аутентифицированным.

Любой сертификат с открытым ключом имеет информацию о том, кто является его владельцем. Для TLS сертификатов серверов домен (хост) указывается в поле CommonName.

В том случае, если сервер имеет несколько хостов, аутентификация успешно завершается только тогда, когда предъявленный сервером сертификат отвечает именно тому имени сервера, которое клиент указывал для установления соединения.

Для защиты сайта по протоколу TLS используются SSL-сертификаты. Если вы хотите приобрести сертификат для создания TLS соединения, вы всегда можете обратиться для этого к компании ЛидерТелеком.

Что такое SSL? :: Что такое SSL? :: GlobalSign GMO Internet, Inc.

Secure Sockets Layer (SSL) был наиболее широко используемым криптографическим протоколом для обеспечения безопасности интернет-коммуникаций до того, как в 1999 году на смену ему пришел TLS (Transport Layer Security). и принятием вместо него TLS, большинство людей по-прежнему называют этот тип технологии «SSL».

SSL обеспечивает безопасный канал между двумя машинами или устройствами, работающими через Интернет или внутреннюю сеть.Одним из распространенных примеров является использование SSL для защиты связи между веб-браузером и веб-сервером. Это превращает адрес веб-сайта с HTTP в HTTPS, где буква «S» означает «безопасный».

HTTP небезопасен и подвержен атакам с перехватом, поскольку данные, передаваемые из веб-браузера на веб-сервер или между другими конечными точками, передаются в виде открытого текста. Это означает, что злоумышленники могут перехватывать и просматривать конфиденциальные данные, такие как данные кредитной карты и данные для входа в учетную запись.Когда данные отправляются или публикуются через браузер с использованием HTTPS, SSL гарантирует, что такая информация зашифрована и защищена от перехвата.

Как узнать, что веб-сайт защищен с помощью SSL?

Технически SSL — это прозрачный протокол, который требует минимального взаимодействия со стороны конечного пользователя при установлении безопасного сеанса. В случае браузера вы можете определить, использует ли сайт SSL, когда отображается замок, и вы нажимаете на замок, чтобы открыть информацию о цифровом сертификате.

Вот пример веб-сайта, защищенного с помощью SSL в Chrome 81, в сравнении с небезопасным веб-сайтом.

Использование SSL

Без SSL

Зачем мне нужен SSL?

Поскольку большая часть наших повседневных транзакций и коммуникаций происходит в сети, существует очень мало причин для отказа от использования SSL. SSL поддерживает следующие принципы информационной безопасности:

• Шифрование : защита передачи данных (например,г. от браузера к серверу, от сервера к серверу, от приложения к серверу и т. д.)
• Аутентификация : убедитесь, что сервер, к которому вы подключены, действительно правильный.
• Целостность данных : убедитесь, что запрошенные или отправленные данные — это то, что действительно доставляется.

SSL может использоваться для защиты:

• Операции по кредитной карте в Интернете или другие платежи в Интернете.
• Внутренний трафик, такой как внутренние сети, совместное использование файлов, экстрасети и подключения к базам данных.
• Серверы веб-почты, такие как Outlook Web Access, Exchange и Office Communications Server.
• Соединение между почтовым клиентом, например Microsoft Outlook, и почтовым сервером, например Microsoft Exchange.
• Передача файлов через службы HTTPS и FTP, например, владельцы веб-сайтов обновляют новые страницы на своих веб-сайтах или передают большие файлы.
• Системный вход в приложения и панели управления, такие как Parallels, cPanel и другие.
• Приложения для рабочих процессов и виртуализации, такие как платформы доставки Citrix или платформы облачных вычислений.
• Вход в панель управления хостингом и действия, такие как Parallels, cPanel и другие.

Как получить SSL?

Чтобы использовать SSL в своем бизнесе, вам необходимо приобрести сертификат SSL.

---

Нажмите здесь, чтобы узнать больше о сертификатах SSL

Что такое SSL, TLS? И как работает этот протокол шифрования

С первых дней Интернета протокол SSL и его потомок, TLS, обеспечивали шифрование и безопасность, которые делают возможной современную Интернет-торговлю.Многолетняя история этих протоколов отмечена постоянными обновлениями, которые направлены на то, чтобы идти в ногу со все более изощренными злоумышленниками. Следующая основная версия протокола, TLS 1.3, скоро будет завершена — и большинство тех, кто запускает веб-сайт, захотят обновить его, потому что киберпреступники догоняют его.

Что такое SSL?

Secure Sockets Layer, или SSL, было первоначальным названием протокола, когда он был разработан в середине 1990-х годов компанией Netscape, которая сделала самый популярный веб-браузер того времени.SSL 1.0 никогда не был выпущен для широкой публики, а SSL 2.0 имел серьезные недостатки. SSL 3.0, выпущенный в 1996 году, был полностью переработан и подготовил почву для того, что последовало за этим.

TLS против SSL

Когда в 1999 году была выпущена следующая версия протокола, она была стандартизирована Инженерной группой Интернета (IETF) и получила новое имя: Transport Layer Security, или TLS. Как отмечается в спецификации TLS, «различия между этим протоколом и SSL 3.0 несущественны». Таким образом, дело не в TLS vs.SSL; скорее, они образуют непрерывно обновляемую серию протоколов и часто объединяются как SSL / TLS.

Протокол TLS шифрует интернет-трафик всех типов. Самый распространенный — это веб-трафик; вы знаете, что ваш браузер подключен через TLS, если URL-адрес в вашем адресе начинается с «https», и есть индикатор с замком, говорящий вам, что соединение безопасно, как на этом снимке экрана из Chrome:

Но TLS может использоваться другими а также приложения, включая электронную почту и usenet.

Как работает SSL

Шифрование необходимо для безопасной связи через Интернет: если ваши данные не зашифрованы, любой может проверить ваши пакеты и прочитать конфиденциальную информацию. Самый безопасный метод шифрования называется асимметричной криптографией ; для этого требуются два криптографических ключа — фрагменты информации, обычно очень большие числа — для правильной работы, один открытый и один закрытый. Математика здесь сложна, но, по сути, вы можете использовать открытый ключ, чтобы зашифровать данных, но нужен закрытый ключ, чтобы расшифровать его.Два ключа связаны друг с другом сложной математической формулой, которую трудно переконструировать с помощью грубой силы. Подумайте об открытом ключе как об информации о местонахождении запертого почтового ящика с прорезью на передней панели, а о закрытом ключе как о ключе, который открывает почтовый ящик. Любой, кто знает, где находится почтовый ящик, может поместить в него сообщение; но чтобы кто-нибудь еще его прочитал, им нужен закрытый ключ.

Поскольку асимметричная криптография включает в себя эти сложные математические задачи, она требует много вычислительных ресурсов, настолько много, что, если бы вы использовали ее для шифрования всей информации в сеансе связи, ваш компьютер и соединение остановились бы.TLS решает эту проблему, используя асимметричную криптографию только в самом начале сеанса связи, чтобы зашифровать диалог, сервер и клиент должны согласовать один сеансовый ключ , который они оба будут использовать для шифрования своих пакетов с этого момента. . Шифрование с использованием общего ключа называется симметричной криптографией , и требует гораздо меньше вычислительных ресурсов, чем асимметричная криптография. Поскольку этот сеансовый ключ был установлен с использованием асимметричной криптографии, сеанс связи в целом намного безопаснее, чем он был бы в противном случае.

Процесс согласования этого сеансового ключа называется рукопожатием , , поскольку это момент, когда два взаимодействующих компьютера знакомятся друг с другом, и это лежит в основе протокола TLS.

Процесс установления связи SSL

Процесс установления связи довольно сложен, и существует ряд вариаций, разрешенных протоколом. Следующие шаги представляют собой общую схему, которая должна дать вам представление о том, как это работает.

1. Клиент связывается с сервером и запрашивает безопасное соединение.Сервер отвечает списком наборов шифров — алгоритмических инструментов для создания зашифрованных соединений, — которые он знает, как использовать. Клиент сравнивает это со своим собственным списком поддерживаемых наборов шифров, выбирает один и сообщает серверу, что они оба будут его использовать.
2. Затем сервер предоставляет свой цифровой сертификат , — электронный документ, выданный сторонним органом, подтверждающий личность сервера. Мы обсудим цифровые сертификаты более подробно через мгновение, но сейчас самое важное, что вам нужно знать о них, — это то, что они содержат открытый криптографический ключ сервера.Как только клиент получает сертификат, он подтверждает подлинность сертификата.
3. Используя открытый ключ сервера, клиент и сервер устанавливают сеансовый ключ, который они оба будут использовать до конца сеанса для шифрования связи. Для этого есть несколько приемов. Клиент может использовать открытый ключ для шифрования случайного числа, которое затем отправляется на сервер для расшифровки, и обе стороны затем используют это число для установки сеансового ключа. В качестве альтернативы обе стороны могут использовать так называемый обмен ключами Диффи-Хеллмана для установления сеансового ключа.

В этой статье на SSL.com есть отличная диаграмма, описывающая каждый этап взаимодействия в процессе установления связи TLS.

Как следует из названия, сеансовый ключ годен только для одного непрерывного сеанса связи. Если по какой-либо причине связь между клиентом и сервером прервана — например, из-за сетевой проблемы или из-за того, что клиент слишком долго бездействует, — потребуется новое рукопожатие, чтобы установить новый сеансовый ключ, когда связь будет восстановлена. .

Что такое SSL-сертификат?

Вернемся к концепции SSL-сертификата . Как ясно из описания в предыдущем разделе, эти сертификаты лежат в основе протокола SSL / TLS: они предоставляют клиенту открытый криптографический ключ, необходимый для инициирования безопасных соединений. Но их цель выходит за рамки простой поставки самого ключа; они также подтверждают, что ключ действительно связан с организацией, предлагающей его клиенту.

Как это работает? Сертификаты выдаются центрами сертификации (CA), которые служат эквивалентом паспортного стола, когда дело доходит до подтверждения личности.Организации, которые хотят предлагать услуги, зашифрованные с помощью TLS, должны приобретать сертификаты у центров сертификации, которые, в свою очередь, проверяют, являются ли организации теми, кем они себя называют. Например, если вы хотите купить сертификат для защиты веб-сайта на example.com, вам придется предпринять некоторые шаги, чтобы доказать центру сертификации, что вы контролируете домен example.com. Таким образом, если кто-то подключается к example.com и получает действительный сертификат SSL, выданный доверенным центром сертификации, он может быть уверен, что общается с законным владельцем example.com. Это может предотвратить атаки человека посередине.

Обратите внимание, что в последнем абзаце мы использовали фразу «доверенный центр сертификации». Кто угодно может стать центром сертификации; как узнать, какие из них проводят комплексную проверку, необходимую для аутентификации своих клиентов? К счастью, работа по выяснению этого в основном выполняется производителями программного обеспечения. Mozilla Foundation ведет список центров сертификации, которым будет доверять Firefox; Apple и Microsoft также ведут списки, которые они внедряют на уровне ОС для Windows, macOS и iOS, которые Chrome использует на этих платформах.Решения о том, каким центрам сертификации доверять, имеют высокие ставки, поскольку в 2017 году выяснилось, что Google и Symantec разошлись по поводу слабых стандартов Symantec.

Стандарт, определяющий сертификаты SSL, называется X.509. Этот стандарт позволяет сертификатам нести большой объем информации, помимо открытого ключа и подтвержденной личности владельца сертификата; DigiCert — это центр сертификации, база знаний которого содержит подробные сведения о стандарте.

Проверки SSL

Практически весь обмен и подтверждение информации, описанной выше, происходит за кулисами, когда вы общаетесь с серверами, которые предлагают соединения с шифрованием TLS.Если вы хотите получить немного большей прозрачности, вы можете ввести URL-адрес SSL / TLS-зашифрованного сайта на веб-сайте SSL-checker . Средство проверки вернет множество информации о сертификате проверенного сайта, включая тип сервера, какие веб-браузеры будут доверять сертификату, а также его эмитент, серийный номер и дату истечения срока действия.

Большинство средств проверки SSL — это бесплатные услуги, предлагаемые центрами сертификации в качестве маркетинговых инструментов для своих товаров; многие, например, позволят вам установить предупреждение о том, когда истечет срок действия проверенного сертификата, при условии, что это ваш сертификат, и вы будете искать новый по мере приближения этой даты.Если вы ищете несколько менее коммерческую альтернативу, обратите внимание на средство проверки SSL от Qualys SSL Labs, которое обеспечивает особенно надежный сбор информации об проверенных веб-сайтах.

Уязвимости TLS 1.2 и TLS 1.2

TLS 1.2 — это самая последняя определенная версия протокола, которая существует уже несколько лет. Он установил множество новых криптографических опций для связи. Однако, как и некоторые предыдущие версии протокола, он также позволял использовать старые методы шифрования для поддержки старых компьютеров.К сожалению, это открыло его для уязвимостей, поскольку эти старые методы со временем стали более уязвимыми, а вычислительные мощности стали дешевле.

В частности, TLS 1.2 становится все более уязвимым для так называемых атак «человек посередине», при которых хакер перехватывает пакеты во время обмена данными и отправляет их после прочтения или изменения. Он также открыт для атак POODLE, SLOTH и DROWN. Многие из этих проблем возникли за последние два года, что усилило чувство безотлагательности обновления протокола.

TLS 1.3

К счастью, помощь уже скоро. Версия 1.3 протокола TLS, которая в настоящее время находится в стадии черновика, но скоро будет завершена, закрывает множество этих дыр, отказываясь от поддержки устаревших систем шифрования. Существует обратная совместимость в том смысле, что соединения будут возвращаться к TLS 1.2, если один конец не может использовать новые системы шифрования из утвержденного списка 1.3. Однако, если, например, атака «злоумышленник-посередине» попытается принудительно переключиться на 1,2 для отслеживания пакетов, это будет обнаружено, и соединение будет разорвано.

Есть еще серверы, которые используют версии TLS даже старше 1.2 — некоторые все еще используют исходный протокол SSL. Если ваш сервер является одним из таких, вам следует обновить его сейчас, а просто прыгнуть вперед и перейти на черновую версию 1.3.

TLS Crimeware

Последнее замечание о TLS и безопасности: не только хорошие парни его используют! Многие киберпреступники используют TLS для шифрования командного трафика между своими серверами и вредоносными программами, установленными на компьютерах их жертв.Это в конечном итоге меняет обычное положение дел и заставляет жертв киберпреступлений искать способ расшифровать трафик. Существует ряд методов борьбы с этим типом зашифрованной атаки, в том числе использование сетевых метаданных о зашифрованном трафике, чтобы получить представление о том, что делают злоумышленники, фактически не читая их.

Авторские права © IDG Communications, Inc., 2018

Что такое SSL? — SSL.com

SSL (Secure Sockets Layer) и его преемник, TLS (Transport Layer Security) , являются протоколами для установления аутентифицированных и зашифрованных соединений между компьютерами в сети.Несмотря на то, что протокол SSL устарел с выпуском TLS 1.0 в 1999 году, все еще принято называть эти связанные технологии «SSL» или «SSL / TLS». Самая последняя версия — TLS 1.3 , определенная в RFC 8446 (август 2018).

Прочтите, чтобы узнать больше о:

Или, для быстрого ознакомления с TL; DR в SSL, просто перейдите вперед и посмотрите короткое видео .

Нужен сертификат? SSL.com поможет вам. Сравните варианты здесь, чтобы найти правильный выбор, от сертификатов S / MIME, подписи кода и т. Д.

ЗАКАЗАТЬ СЕЙЧАС

Ключи, сертификаты и рукопожатия

SSL / TLS работает путем привязки идентификаторов таких объектов, как веб-сайты и компании, к криптографическим парам ключей через цифровые документы, известные как сертификаты X.509 . Каждая пара ключей состоит из закрытого ключа и открытого ключа . Закрытый ключ хранится в безопасности, а открытый ключ может широко распространяться через сертификат.

Особые математические отношения между закрытым и открытым ключами в паре означают, что можно использовать открытый ключ для шифрования сообщения, которое можно расшифровать только с помощью закрытого ключа.Кроме того, владелец закрытого ключа может использовать его для подписи других цифровых документов (например, веб-страниц), и любой, у кого есть открытый ключ, может проверить эту подпись.

Для подробного сравнения двух наиболее широко используемых алгоритмов цифровой подписи, используемых в SSL / TLS, прочтите нашу статью Сравнение ECDSA и RSA .

Если сам сертификат SSL / TLS подписан публично-доверенным центром сертификации (CA) , например SSL.com , сертификат будет неявно доверять клиентскому программному обеспечению, например веб-браузерам и операционным системам.Центры сертификации, пользующиеся всеобщим доверием, были одобрены основными поставщиками программного обеспечения для проверки удостоверений, которым будут доверять их платформы. Процедуры проверки и выдачи сертификатов публичного ЦС подлежат регулярным строгим аудитам для поддержания этого статуса доверия.

Посредством рукопожатия SSL / TLS частный и открытый ключи могут использоваться с публично доверенным сертификатом для согласования зашифрованного и аутентифицированного сеанса связи через Интернет, даже между двумя сторонами, которые никогда не встречались. Этот простой факт является основой безопасного просмотра веб-страниц и электронной коммерции, как это известно сегодня.

Не все приложения SSL / TLS требуют общественного доверия. Например, компания может выпускать собственные доверенные сертификаты для внутреннего использования. Для получения дополнительной информации прочтите нашу статью о Private и Public PKI .

SSL / TLS и безопасный просмотр веб-страниц

Наиболее распространенное и известное использование SSL / TLS — безопасный просмотр веб-страниц по протоколу HTTPS .Правильно настроенный общедоступный веб-сайт HTTPS включает сертификат SSL / TLS, подписанный общедоступным доверенным центром сертификации. Пользователи, посещающие веб-сайт HTTPS, могут быть уверены:

• Подлинность. Сервер, представляющий сертификат, обладает закрытым ключом, который совпадает с открытым ключом в сертификате.
• Целостность. Документы , подписанные сертификатом (например, веб-страницы), не были изменены при передаче человеком в середине .
• Шифрование. Связь между клиентом и сервером зашифрована.

Благодаря этим свойствам SSL / TLS и HTTPS позволяют пользователям безопасно передавать конфиденциальную информацию, такую ​​как номера кредитных карт, номера социального страхования и учетные данные для входа в систему через Интернет, и быть уверенным, что веб-сайт, на который они отправляют их, является подлинным. . На небезопасном веб-сайте HTTP эти данные отправляются в виде обычного текста, легко доступного любому перехватчику, имеющему доступ к потоку данных.Кроме того, пользователи этих незащищенных веб-сайтов не имеют никаких надежных сторонних заверений в том, что веб-сайт, который они посещают, является тем, за что он претендует.

Найдите следующие индикаторы в адресной строке браузера, чтобы убедиться, что посещаемый веб-сайт защищен надежным сертификатом SSL / TLS (снимок экрана из Firefox 70.0 в macOS):

• Значок закрытого замка слева от URL. В зависимости от вашего браузера и типа сертификата, установленного на веб-сайте, замок может быть зеленым и / или сопровождаться идентификационной информацией о компании, в которой он запущен.
• Если показано, протокол в начале URL-адреса должен быть https: // , а не http: // . Обратите внимание, что не все браузеры отображают протокол.

Современные настольные браузеры также предупреждают посетителей о небезопасных веб-сайтах, не имеющих сертификата SSL / TLS. На приведенном ниже снимке экрана показан небезопасный веб-сайт, просматриваемый в Firefox, и показан перечеркнутый замок слева от URL-адреса:

Получение сертификата SSL / TLS

Готовы защитить свой собственный веб-сайт? Основная процедура запроса общедоступного сертификата веб-сайта SSL / TLS выглядит следующим образом:

• Человек или организация, запрашивающие сертификат, генерируют пару открытых и закрытых ключей, предпочтительно на защищаемом сервере.
• Открытый ключ вместе с защищаемым именем (именами) домена и (для сертификатов OV и EV) организационной информацией о компании, запрашивающей сертификат, используется для создания запроса на подпись сертификата (CSR) .
  • Инструкции по созданию пары ключей и CSR на многих серверных платформах см. В этом FAQ.
• CSR отправляется в общедоступный доверенный центр сертификации (например, SSL.com). Центр сертификации проверяет информацию в CSR и генерирует подписанный сертификат, который может быть установлен на веб-сервере запрашивающей стороны.
  • Инструкции по заказу сертификатов SSL / TLS на SSL.com см. В этом руководстве.

Сертификаты SSL / TLS различаются в зависимости от используемых методов проверки и уровня доверия, которое они предоставляют, при этом расширенная проверка (EV) предлагает наивысший уровень доверия. Для получения информации о различиях между основными методами проверки (DV, OV и EV), пожалуйста, обратитесь к нашей статье DV, OV и сертификаты EV .

Часто задаваемые вопросы

Что такое SSL?

SSL (Secure Sockets Layer) и его преемник, TLS (Transport Layer Security) , являются протоколами для установления аутентифицированных и зашифрованных соединений между компьютерами в сети.Несмотря на то, что протокол SSL устарел с выпуском TLS 1.0 в 1999 году, все еще принято называть эти связанные технологии «SSL» или «SSL / TLS».

Что такое сертификат SSL?

Сертификат SSL (также известный как сертификат TLS или SSL / TLS) — это цифровой документ, который связывает идентификатор веб-сайта с парой криптографических ключей, состоящей из открытого и закрытого ключей. Открытый ключ, включенный в сертификат, позволяет веб-браузеру инициировать зашифрованный сеанс связи с веб-сервером по протоколам TLS и HTTPS.Закрытый ключ хранится в безопасности на сервере и используется для цифровой подписи веб-страниц и других документов (например, изображений и файлов JavaScript).

Сертификат SSL также включает идентифицирующую информацию о веб-сайте, включая его доменное имя и, необязательно, идентифицирующую информацию о владельце сайта. Если сертификат SSL веб-сервера подписан общественно-доверенным центром сертификации (CA), например SSL.com, контент с цифровой подписью с сервера будет считаться подлинным для веб-браузеров и операционных систем конечных пользователей.

Сертификат SSL — это тип сертификата X.509.

Что такое TLS?

TLS (Transport Layer Security) , выпущенный в 1999 году, является преемником протокола SSL (Secure Sockets Layer) для аутентификации и шифрования. TLS 1.3 определен в RFC 8446 (август 2018 г.).

Нужен ли мне выделенный IP-адрес для использования SSL / TLS?

Когда-то было обязательным требованием иметь выделенный IP-адрес для каждого SSL-сертификата на веб-сервере.Это больше не так из-за технологии, называемой указанием имени сервера (SNI). Ваша хостинговая платформа должна будет поддерживать SNI. Вы можете узнать больше о SNI в этой статье SSL.com.

Через какой порт рекомендуется использовать SSL / TLS?

Для максимальной совместимости порт 443 является стандартным, поэтому рекомендуется, порт, используемый для защищенной связи SSL / TLS. Однако можно использовать любой порт.

Какая текущая версия SSL / TLS?

TLS 1.3, определенный в августе 2018 года в RFC 8446, является самой последней версией SSL / TLS. TLS 1.2 (RFC 5246) был определен в августе 2018 года и также остается широко используемым. Версии SSL / TLS до TLS 1.2 считаются небезопасными и больше не должны использоваться.

Каковы проблемы безопасности со старыми версиями TLS?

TLS версий 1.0 и 1.1 подвержены большому количеству уязвимостей протокола и реализации, которые были опубликованы исследователями безопасности за последние два десятилетия.Такие атаки, как ROBOT , повлияли на алгоритм обмена ключами RSA, в то время как LogJam и WeakDH показали, что многие серверы TLS могут быть обмануты, используя неверные параметры для других методов обмена ключами. Компрометация обмена ключами позволяет злоумышленникам полностью поставить под угрозу безопасность сети и расшифровать разговоры.

Атаки на симметричные шифры, такие как BEAST или Lucky13 , продемонстрировали, что различные шифры поддерживаются в TLS 1.2 и ранее, с примерами, включающими в себя шифры RC4 или CBC-mode , небезопасны.

Были затронуты даже подписи: атака Bleichenbacher с подделкой подписи RSA и другие подобные атаки заполнения.

Большинство этих атак было смягчено в TLS 1.2 (при условии, что экземпляры TLS настроены правильно), хотя TLS 1.2 все еще уязвим для атак понижения версии, таких как POODLE , FREAK или CurveSwap .Это связано с тем, что все версии протокола TLS до 1.3 не защищают согласование рукопожатия (которое определяет версию протокола, которая будет использоваться во время обмена).

Видео

Спасибо, что выбрали SSL.com! Если у вас есть какие-либо вопросы, свяжитесь с нами по электронной почте [email protected], позвоните по телефону 1-877-SSL-SECURE или просто нажмите ссылку чата в правом нижнем углу этой страницы.

Что такое SSL? Как работает SSL и как начать работу с SSL

Определение

Secure Sockets Layer (SSL) — это протокол для защиты связи в Интернете.Он позволяет предприятиям зашифровать данные перед их отправкой пользователям, не позволяя третьим лицам читать их во время передачи.

Обзор

Ежедневно миллионы пользователей передают конфиденциальную информацию через Интернет. От банковских выписок до номеров социального страхования передача незащищенных данных может привести к перехвату данных третьей стороной, манипулированию данными или использованию данных для кражи личных данных.

SSL и заменяющие его протоколы Transport Layer Security (TLS) решают эту проблему, шифруя данные, когда они покидают веб-сервер, и расшифровывая их, когда они прибывают в пункт назначения.SSL используется для веб-сайтов, электронной почты, удаленного входа в систему и многого другого.

Как работает SSL

SSL работает с использованием криптографии с открытым ключом. Криптография с открытым ключом использует два ключа — закрытый ключ и открытый ключ — для передачи защищенных данных между двумя системами. Эти ключи необходимы для декодирования и кодирования защищенных данных соответственно.

Пошаговая инструкция, как работает SSL:

1. Пользователь подключается к службе с поддержкой SSL, например к веб-сайту.
2. Приложение пользователя запрашивает у сервера открытый ключ в обмен на его собственный открытый ключ.Этот обмен открытым ключом позволяет обеим сторонам шифровать сообщения, которые может прочитать только другая сторона.
3. Когда пользователь отправляет сообщение на сервер, приложение использует открытый ключ сервера для шифрования сообщения.
4. Сервер получает сообщение пользователя и расшифровывает его, используя свой закрытый ключ. Сообщения, отправленные обратно в браузер, шифруются аналогичным образом с использованием открытого ключа, сгенерированного приложением пользователя.

Криптография с открытым ключом аналогична использованию замка.Сам замок — это открытый ключ, а комбинация — закрытый ключ. Сервер раздает свой замок, которым каждый может запереть дверь или ящик. Однако замок нельзя открыть без комбинации, которую знает только сервер.

Пример SSL

Допустим, пользователь хочет получить доступ к своей учетной записи StackPath. Чтобы обеспечить безопасность и конфиденциальность, StackPath использует высококлассное шифрование на своем веб-сайте. Когда пользователь входит в систему, его браузер автоматически обменивается ключами с серверами StackPath.Эти ключи затем используются для обмена зашифрованными сообщениями между обеими системами, предотвращая перехват конфиденциальной информации кем-либо.

Когда SSL включен на веб-странице, URL-адрес будет иметь префикс «https» вместо префикса «http». В большинстве браузеров рядом с URL-адресом также отображается значок замка или зеленая полоса, в зависимости от уровня шифрования.

Сертификаты SSL

выдаются через центры сертификации (ЦС), которым поручено продавать и распространять сертификаты SSL.Центры сертификации составляют основу SSL, предоставляя новые сертификаты и проверяя существующие сертификаты.

Начало работы с SSL

Шаги по включению SSL различны для Apache, Nginx и IIS, но процесс тот же. Первый шаг — выбрать ЦС и тип сертификата. Сертификаты могут использоваться для одного домена, для домена с несколькими поддоменами или для нескольких доменов. Центры сертификации также могут запрашивать различные уровни проверки в зависимости от типа сертификата, от проверки зарегистрированного владельца домена до запроса юридической идентификации.

Следующим шагом является создание закрытого ключа и запроса на подпись сертификата (CSR). CSR предоставляются ЦС в обмен на сертификат SSL. CSR содержат информацию, которая будет использоваться в сертификате, такую ​​как местонахождение организации, имя домена и адрес электронной почты администратора.

Когда CA проверяет CSR, он отправляет сертификат вместе с несколькими дополнительными сертификатами. Эти дополнительные сертификаты известны как промежуточные сертификаты и используются для проверки сертификата в ЦС.(Промежуточные сертификаты стоят между общедоступным Интернетом и корневым сертификатом ЦС, который должен оставаться частным.) После установки этих сертификатов сервер готов к использованию SSL.

Преимущества SSL

SSL создает доверие, предоставляя пользователям безопасный канал связи с онлайн-сервисами.

• Пользователи более уверены в веб-сервисах , поскольку они знают, что их данные передаются безопасно.
• Предприятия видят более высокий уровень удержания клиентов и доверия, , поскольку их клиенты более уверены в своей способности защитить данные.
• Пользователи и предприятия видят меньше случаев кражи данных , поскольку конфиденциальные данные больше не подвергаются риску перехвата.

Заключение

Только в 2012 году более 16 миллионов человек стали жертвами кражи личных данных из-за ненадлежащей защиты данных. Наша зависимость от цифровой связи повысила вероятность увеличения этого числа, если предприятия не предпримут дополнительных шагов для защиты пользовательских данных. SSL и TLS — это первая линия защиты клиентов и, в конечном итоге, самого бизнеса.

Сети доставки контента, такие как StackPath, упрощают развертывание SSL и защиту веб-сайтов, просто нажав кнопку.

Как работает SSL и почему это важно

SSL означает Secure Sockets Layer . Это важный протокол для защиты и аутентификации данных в Интернете. Благодаря таким движениям, как Encrypt All The Things и стремлению Google к более широкому внедрению SSL, SSL стал популярной темой в веб-кругах. Но, несмотря на это, многие веб-мастера до сих пор не знают, как работает SSL и почему он важен … или даже, что вообще означает SSL!

Хотя мы уже рассмотрели, что означает аббревиатура, мы углубимся в эту статью и расскажем, что такое SSL, а также как он работает, чтобы сделать Интернет лучше как для вас, так и для посетителей вашего веб-сайта.

Что означает SSL? Как работает SSL

Повторюсь — SSL означает Secure Sockets Layer. Это протокол, используемый для шифрования и аутентификации данных, передаваемых между приложением (например, вашим браузером) и веб-сервером. Это ведет к более безопасной сети как для вас, так и для посетителей вашего сайта. SSL тесно связан с другим акронимом — TLS . TLS, сокращение от Transport Layer Security , является преемником и более современной версией исходного протокола SSL.

В настоящее время SSL и TLS часто называют группой, например SSL / TLS — или взаимозаменяемые. Например, Let’s Encrypt (о котором мы поговорим позже) рекламирует «бесплатные сертификаты SSL / TLS». Но вы также найдете множество веб-сайтов, на которых просто обсуждаются сертификаты SSL , даже если они на самом деле имеют в виду TLS .

Пример объединения SSL и TLS

Итак, откуда появился SSL и как мы достигли сегодняшнего положения с TLS? SSL версии 1.0 был разработан Netscape в начале 1990-х годов. Но из-за недостатков безопасности он так и не был опубликован. Первым общедоступным выпуском SSL был SSL 2.0 в феврале 1995 года. Хотя он был улучшением по сравнению с невыпущенным SSL 1.0, SSL 2.0 также включал свой собственный набор недостатков безопасности, что привело к полному изменению дизайна и последующему выпуску SSL версии 3.0. Год спустя.

SSL версии 3.0 был последним общедоступным выпуском и был вытеснен в 1999 году, когда TLS был представлен в качестве замены.На данный момент SSL 3.0 устарел и больше не считается безопасным из-за его уязвимости для атаки POODLE. Что касается TLS, то теперь он использует TLS 1.3, который предлагает ряд улучшений производительности и безопасности. Kinsta поддерживает TLS 1.3 на всех наших серверах и в нашем Kinsta CDN.

Почему тогда все мы не используем сертификаты TLS?

Скорее всего, да. Хотя веб-сообщество обычно называет их сертификатами SSL из соображений удобства, сертификаты на самом деле не зависят от конкретного протокола в их имени.Вместо этого фактический используемый протокол определяется вашим сервером. Это означает, что даже если вы, , думаете, что вы установили нечто, называемое сертификатом SSL, вы, скорее всего, на самом деле используете более современный и безопасный протокол TLS.

Однако до тех пор, пока веб-сообщество не примет терминологию TLS, вы, вероятно, по-прежнему будете видеть такие сертификаты, которые для простоты чаще всего называют сертификатами SSL.

Как соединяются HTTPS и SSL?

Люди, создавшие Интернет, любят свои аббревиатуры — еще один термин, который часто обсуждают, говоря о SSL / TLS, — это HTTPS . HTTP (без S ) обозначает протокол передачи гипертекста .

HTTP и его преемник HTTP / 2 являются протоколами приложений, которые лежат в основе того, как информация передается в Интернете. По сути, они являются основой для передачи данных в Интернете. Когда вы добавляете обратно S , он просто становится Hypertext Transfer Protocol Secure (или HTTP через TLS или HTTP через SSL).

По сути, SSL / TLS защищает информацию, отправляемую и получаемую по HTTP.Это дает ряд преимуществ…

Каковы преимущества использования SSL / TLS?

Многие веб-мастера ошибочно полагают, что SSL / TLS дает преимущества только сайтам, обрабатывающим конфиденциальную информацию, например кредитные карты или банковские реквизиты. И хотя SSL / TLS, безусловно, важен для этих сайтов, его преимущества никоим образом не ограничиваются этими областями.

Одним из основных преимуществ SSL / TLS является шифрование. Когда вы или ваши пользователи вводите информацию на своем сайте, эти данные проходят через несколько точек соприкосновения, прежде чем достигнут своего конечного пункта назначения.Без SSL / TLS эти данные отправляются в виде простого текста, и злоумышленники могут перехватить или изменить эти данные. SSL / TLS предлагает защиту от точки к точке, чтобы гарантировать безопасность данных во время транспортировки. Даже страница входа в WordPress должна быть зашифрована! Если сертификат SSL присутствует, но недействителен, ваши посетители могут столкнуться с ошибкой «ваше соединение не защищено».

Еще одним ключевым преимуществом является проверка подлинности . Работающее соединение SSL / TLS гарантирует, что данные отправляются и принимаются с правильного сервера, а не злонамеренного «человека посередине».То есть это помогает предотвратить ложное выдачу себя за сайт злоумышленниками.

Третьим основным преимуществом SSL / TLS является целостность данных . SSL / TLS-соединения гарантируют отсутствие потери или изменения данных во время транспортировки за счет включения кода аутентификации сообщения или MAC. Это гарантирует, что отправляемые данные будут получены без каких-либо изменений или злонамеренных изменений.

Помимо шифрования, аутентичности и целостности, существуют и другие менее технические преимущества, например:

Как узнать, использует ли веб-сайт SSL / HTTPS?

Самый простой способ узнать, использует ли веб-сайт SSL / TLS, — это посмотреть в свой браузер.Большинство браузеров помечают безопасные соединения зеленым замком и / или сообщением. Например, в Google Chrome вы можете найти зеленый замок и сообщение Secure :

Как Google Chrome обрабатывает HTTPS

В Firefox вы увидите только зеленый замок:

Подпишитесь на информационный бюллетень

Хотите узнать, как мы увеличили трафик более чем на 1000%?

Присоединяйтесь к 20 000+ другим пользователям, которые получают нашу еженедельную новостную рассылку с инсайдерскими советами по WordPress!

Подпишитесь сейчас

Как Firefox обрабатывает HTTPS

В Microsoft Edge на самом деле вы видите не цвет, а простой серо-белый замок.

Как Edge обрабатывает HTTPS

Собирается ли Google наказывать сайты, не использующие SSL?

В последнее время Google вводит все более строгий набор штрафов / предупреждений в Google Chrome для сайтов, которые не могут установить сертификаты SSL. Эти штрафы начались в январе 2017 года с введения предупреждения Not secure на страницах, которые запрашивали данные кредитной карты или пароли без сертификата SSL:

Предупреждение о небезопасности Chrome, январь 2017 г.

Это изменение было первым толчком в стремлении Google увеличить использование SSL и HTTPS.Но в последнее время они пошли еще дальше.

Увеличение числа небезопасных предупреждений в октябре 2017 г.

В октябре 2017 года Google выпустил еще более агрессивные уведомления. Начиная с Chrome 62 (выпущенного 17 октября 2017 г.), Google добавил предупреждение Not secure в:

• Все HTTP-страницы, на которых пользователи вводят данные любого типа, в том числе такие простые, как поле поиска. Предупреждение не появится при начальной загрузке страницы, но появится каждый раз, когда пользователь начнет вводить данные в поле
.
• Все HTTP-страницы в режиме инкогнито Chrome

Предупреждение о небезопасности Chrome Октябрь 2017 г.

Google собирается стать более агрессивным

Долгосрочный план Google состоит в том, чтобы со временем пометить все HTTP-страницы как Небезопасные .Это означает, что даже если вы не просите пользователей заполнять какие-либо поля формы, вы в конечном итоге попадете на предупреждение, несмотря ни на что. По этой причине важно, чтобы вы начали планировать переход на SSL / TLS и HTTPS прямо сейчас.

В 2020 году Chrome начал отображать предупреждения ERR_SSL_OBSOLETE_VERSION, когда сайты используют TLS 1.0 или TLS 1.1 (устаревшие версии).

Как установить сертификат SSL на ваш сайт

Многие хосты позволяют легко установить бесплатный сертификат SSL / TLS.Здесь, в Kinsta, все проверенные домены автоматически защищены нашей интеграцией Cloudflare, которая включает бесплатные сертификаты SSL с поддержкой подстановочных знаков. Другие хосты могут использовать сервис Let’s Encrypt, который предлагает бесплатные сертификаты SSL / TLS. Вы можете просмотреть полный список хостов, поддерживающих Let’s Encrypt, здесь.

Если ваш хост не предлагает бесплатные сертификаты SSL или если вам нужен другой тип сертификата SSL, вы также можете приобрести собственный сертификат у стороннего поставщика.

Вы можете прочитать это руководство, чтобы узнать, как добавить сертификат SSL на свой сайт в Kinsta. Вы можете сделать это одним щелчком мыши!

Что делать после установки сертификата SSL

Да — после установки SSL-сертификата необходимо выполнить как технические, так и нетехнические действия. Во-первых, на техническом уровне важно перенаправлять весь HTTP-трафик на HTTPS. Вы также должны убедиться, что вы не загружаете какие-либо ресурсы через HTTP. Обычно это будут ваши собственные изображения или внешний контент, который вы загружаете, например скрипты или внешние рекламные сервисы.Это поможет вам избежать предупреждения о смешанном содержимом.

Помимо этих двух технических деталей, вы, вероятно, также захотите выполнить следующие задачи, в зависимости от используемых вами инструментов:

• Добавьте HTTPS-версию своего сайта в инструменты Google для веб-мастеров.
• Убедитесь, что скрипты отслеживания, такие как Google Analytics или другие, настроены для работы с HTTPS.
• Убедитесь, что вы не получаете сообщений об ошибках, связанных с подключением SSL.

В общем, SSL / TLS — важный протокол для создания безопасного и безопасного Интернета. .И теперь, когда вы знаете, как работает SSL, если вы еще не сделали этого, мы рекомендуем вам рассмотреть возможность установки сертификата SSL / TLS и перевода вашего сайта на HTTPS.

У нас есть очень подробное руководство по переходу с HTTP на HTTPS. Обязательно прочтите его и следуйте инструкциям!

---

Если вам понравилось это руководство, то вам понравится наша поддержка. Все планы хостинга Kinsta включают круглосуточную поддержку наших опытных разработчиков и инженеров WordPress. Общайтесь с той же командой, которая поддерживает наших клиентов из списка Fortune 500.Ознакомьтесь с нашими тарифами

Что такое SSL (уровень защищенных сокетов)? | Глоссарий

SSL (Secure Sockets Layer), эволюционировавший в TLS (Transport Layer Security)

SSL (Secure Sockets Layers) — это криптографический протокол, используемый для аутентификации интернет-соединений и обеспечения шифрования и дешифрования данных для сетевых коммуникаций. Первоначально разработанный Netscape в середине 1990-х годов, SSL преодолел свои первоначальные недостатки безопасности с выпуском SSL 3.0 в 1996 году, который в течение нескольких лет служил стандартом де-факто для безопасной связи через Интернет.По мере того, как новые уязвимости безопасности стали очевидными, протокол Secure Sockets Layer был заменен TLS (Transport Layer Security), который был первоначально определен в 1999 году и обновлен до TLS 1.3 в августе 2018 года. Все версии SSL устарели и являются наиболее современными. браузеры больше не поддерживают протокол, хотя одни и те же сертификаты могут использоваться как с TLS, так и с SSL.

Протоколы Secure Sockets Layer и Transport Layer Security работают, по сути, одинаково, хотя они отличаются такими особенностями, как используемые ими алгоритмы шифрования и поддерживаемые порты.Как и TLS, Secure Sockets Layer выполняет SSL-шифрование и SSL-дешифрование с использованием набора из двух ключей, один публичный, а другой известный только получателю. Когда браузер пытается подключиться к веб-сайту, защищенному с помощью SSL (или TLS), указанному HTTPS в его URL-адресе, веб-сервер ответит на свой запрос на идентификацию копией своего сертификата открытого ключа. Если сертификат является доверенным или подтвержденным центром сертификации, браузер и сервер инициируют зашифрованный сеанс. Все данные, передаваемые между ними, будут полностью защищены и конфиденциальны, недоступны для понимания посторонними лицами и защищены от атак.

Из-за того, что SSL-шифрование и SSL-дешифрование требуют больших вычислительных ресурсов, это может обременить веб-сервер, снижая его производительность. Это можно решить с помощью разгрузки SSL, в которой для выполнения этих функций используется отдельное устройство.

Как A10 Networks поддерживает SSL (Secure Sockets Layer)

Шифрование, благодаря обеспечению конфиденциальности и безопасности соединений между пользователями и серверами, стало повсеместным, вплоть до того, что более 90 процентов интернет-трафика зашифровано.Контроллер доставки приложений (ADC) A10 Networks Thunder® предоставляет возможности разгрузки SSL, которые заботятся о дешифровании SSL и SSL-шифровании трафика приложений, требующем больших вычислительных ресурсов, освобождая веб-серверы от этих обязанностей и позволяя им работать с оптимальным уровнем производительности.

Расшифрованный трафик SSL также может быть направлен в устройства безопасности, такие как Thunder® SSL Insight (SSLi®) A10, где проверка SSL может выполняться в открытом виде до того, как достигнет серверов, защищая их от потенциальных зашифрованных атак.

SSL (Secure Sockets Layer) Статьи и интересующие активы

Хостинг-провайдер увеличивает ценность с помощью разгрузки SSL (пример из практики)

Компания: SapientNitro

Критические проблемы:

Устаревшие решения ADC не могут удовлетворить требования к емкости для крупномасштабной веб-инфраструктуры
• 2048-битные ключи SSL увеличивают стоимость оборудования веб-сервера
• Управление ключами SSL было сложным и требовало много времени

Критерии выбора:

• Высокая производительность , SSL Offload, отсутствие лицензионных уловок для расширенных функций и высококачественной поддержки

Результаты:

• Обращайтесь с большим количеством клиентов с существующей инфраструктурой и улучшайте качество обслуживания конечных пользователей за счет более быстрого реагирования при одновременном сокращении операционных и капитальных затрат

Читать Преимущества SapientNitro

Вт что такое SSL Security? Определение и часто задаваемые вопросы

<< Вернуться к техническому глоссарию

Определение безопасности SSL

Secure Sockets Layer (SSL) — это стандартная технология безопасности для установления зашифрованного соединения между сервером и клиентом — обычно веб-сервером (веб-сайтом) и браузером или почтовым сервером и почтовым клиентом (e.г., Outlook). Безопасность SSL защищает конфиденциальные данные, такие как номера кредитных карт и финансовую информацию, от захвата или изменения, когда две системы отправляют и получают их, чтобы предотвратить доступ, чтение или изменение любой личной информации неавторизованными пользователями.

Обе системы, передающие информацию, могут быть серверами, например, когда приложение обращается к конфиденциальной информации. Системы также могут быть клиентом и сервером, например, когда пользователь покупает вещи на веб-сайте электронной коммерции через свой веб-браузер.

Для защиты конфиденциальных данных при передаче, безопасность SSL шифрует информацию с помощью алгоритмов, делая ее нечитаемой во время передачи между сайтами, системами и / или пользователями. Различные версии протоколов безопасности SSL широко используются в таких приложениях, как электронная почта, чат и обмен мгновенными сообщениями, передача голоса по IP (VoIP) и просмотр веб-страниц.

Часто задаваемые вопросы по безопасности SSL

Что такое безопасность SSL?

SSL — это протокол безопасности, который определяет, как шифровать данные с помощью определенных алгоритмов.Протокол SSL уровня защищенных сокетов оценивает как данные для передачи, так и канал, а также определяет переменные шифрования для обоих.

Технология безопасности SSL устанавливает зашифрованные связи между клиентами и серверами. Например, он шифрует конфиденциальную информацию, передаваемую между клиентом, часто веб-сайтом, и пользователем, часто браузером или почтовым сервером.

Режим связи по умолчанию между веб-серверами и браузерами позволяет отправлять данные в виде обычного текста. Это делает пользователей уязвимыми для хакеров, которые могут «видеть» информацию, которую они перехватывают.SSL шифрует конфиденциальные данные, такие как учетные данные, номера социального страхования и банковскую информацию, чтобы неавторизованные пользователи не могли интерпретировать и использовать данные, даже если они их видят.

Значок замка, который пользователи видят на веб-сайтах, защищенных SSL, и адрес https указывают на наличие защищенного соединения. Сайты с зеленой адресной строкой имеют веб-сайт с расширенной проверкой SSL. Эти визуальные сигналы иногда называют индикаторами EV.

Хотя любой веб-браузер может использовать протокол SSL для взаимодействия с защищенными веб-серверами, и сервер, и браузер должны иметь сертификат SSL для установления безопасного соединения.

Что такое сертификат безопасности SSL?

Сертификат безопасности SSL идентифицирует владельца сертификата / веб-сайта в его теме. Сертификаты безопасности SSL также содержат пару публичных и частных криптографических ключей, которые они используют для установления зашифрованного соединения.

Чтобы получить сертификат SSL или TLS, нужно выполнить несколько шагов:

• Создайте запрос на подпись сертификата (CSR) на своем сервере, чтобы сгенерировать открытый и закрытый ключи.
• Отправьте файл данных CSR, который называется центром сертификации или ЦС, издателю сертификата SSL.
• CA содержит открытый ключ, который CA использует вместе с остальной частью файла данных CSR, чтобы сопоставить ваш закрытый ключ со структурой данных. CA никогда не видит закрытый ключ и не скомпрометирован.

Издатель сертификата предоставляет вам сертификат SSL. Вы устанавливаете как сертификат SSL, так и промежуточный сертификат, подтверждающий его надежность на вашем сервере. В зависимости от сервера и других фактов способы установки и тестирования сертификата SSL будут различаться.

Когда ваш браузер подключается к сертификату SSL на вашем сервере, протокол SSL (или TLS) начинает шифровать любую передаваемую информацию.

Протокол управления передачей (TCP) — это первый уровень защиты, при этом протокол безопасности SSL служит зоной безопасности и работает непосредственно поверх TCP, обеспечивая безопасное соединение, оставляя без изменений более высокие уровни протокола. Таким образом, другие уровни протокола обычно функционируют ниже уровня SSL.

Безопасна ли безопасность SSL от человека при средней атаке?

SSL-сертификат может позволить хакерам в атаке «человек в середине» увидеть, сколько данных передается и какие IP-адрес и порт подключены.Однако они не могут перехватить какую-либо информацию, и хотя они могут разорвать соединение, как пользователю, так и серверу будет ясно, что третье лицо разорвало соединение.

Что такое центр сертификации (ЦС)?

Центр сертификации (ЦС) — это доверенный объект, который выдает сертификаты SSL и управляет ими. В рамках инфраструктуры открытых ключей (PKI) CA также управляет открытыми ключами, которые используются в общедоступной сети для безопасного обмена данными.Наряду с органом регистрации (RA) CA также проверяет информацию, которую запрашивающие цифровые сертификаты предоставляют в поддержку своих запросов. После проверки информации ЦС может выдать сертификат.

Очевидно, что центры сертификации играют важную роль в шифровании, но они также могут повысить безопасность, аутентифицируя личность владельца веб-сайта с помощью своих сертификатов SSL. Существует три категории проверки подлинности для сертификатов в зависимости от уровня проверки подлинности: сертификаты проверки домена, сертификаты проверки организации и сертификаты расширенной проверки.

Сертификаты проверки домена

требуют от пользователей подтверждения контроля только над доменным именем и представляют собой базовый уровень безопасности SSL. Сертификаты проверки организации представляют собой следующий уровень, и для выдачи такого сертификата пользователи должны подтвердить как контроль над доменным именем, так и юридическую ответственность и владение бизнесом.

Сертификаты EV с расширенной проверкой требуют от пользователей больше всего, включая все, что требуется для других сертификатов, а также дополнительные шаги проверки.Этот высший уровень безопасности SSL помогает защитить от фишинга и других проблем безопасности.

Можете ли вы объяснить, как протокол SSL используется для безопасных транзакций?

Когда браузер пытается получить доступ к веб-сайту, защищенному безопасностью SSL, веб-сервер и браузер используют процесс, называемый квитированием SSL, для установления SSL-соединения. Этот процесс подтверждения SSL происходит мгновенно и невидим для пользователя.

Во время подтверждения SSL веб-сайт и браузер подключаются безопасно.Браузер требует, чтобы сервер идентифицировал себя, чтобы он мог начать проверку подлинности и шифрование соединения. Сервер отвечает, отправляя браузеру копию своего сертификата SSL и своего открытого ключа.

Браузер сравнивает корень сертификата со списком доверенных центров сертификации, чтобы определить, может ли он доверять сертификату и является ли веб-сайт безопасным. Если сертификат не отозван, не истек срок действия и имеет допустимое общее имя для веб-сайта, к которому он подключается, браузер будет использовать открытый ключ сервера для создания, шифрования и возврата симметричного сеансового ключа.

Затем сервер использует свой закрытый ключ для расшифровки симметричного сеансового ключа. Он шифрует и отправляет подтверждение с использованием сеансового ключа, начиная зашифрованный сеанс. Теперь браузер и сервер могут использовать сеансовый ключ для шифрования всех передаваемых данных. Вот почему процесс установления связи лежит в основе работы безопасности SSL.

Что безопаснее — SSL или HTTPS?

Это частый вопрос, но на самом деле веб-сайт имеет https: // или защищенный протокол передачи гипертекста появляется в его URL-адресе, когда его защищает сертификат SSL.Нажав на символ замка на панели браузера, вы можете увидеть подробную информацию о сертификате, включая фирменное наименование владельца веб-сайта и орган, выдавший сертификат.

Согласно рекомендациям Google для веб-мастеров, SSL-безопасность и HTTPS-адреса должны использоваться везде в Интернете. С 2014 года Google награждает веб-сайты, защищенные SSL, более высокими рейтингами в Интернете.

В чем разница между безопасностью TLS и SSL?

Transport Layer Security (TLS) на самом деле просто улучшенная версия SSL.Протокол TLS работает очень аналогично тому, как работает SSL, включая использование защиты данных во время передачи с помощью шифрования. Фактически, TLS и SSL часто используются в отрасли как взаимозаменяемые, хотя SSL по-прежнему широко используется.

Самая последняя версия — TLS 1.3, которая определена в RFC 8446 на основе стандартов Internet Engineering Task Force (IETF). С точки зрения того, какая версия SSL / TLS является безопасной, как SSL, так и его преемник TLS могут шифровать конфиденциальные данные, такие как номера кредитных карт, пароли, имена пользователей и другую личную информацию.

Что вызывает ошибки безопасности SSL?

После инициации подтверждения SSL и установления TCP-соединения сервер отправляет пользователю свой сертификат вместе с рядом спецификаций. Эти сведения включают, какую версию SSL / TLS использовать, а также какие методы шифрования.

Когда пользователь пытается получить доступ к странице с проблемами безопасности, возникает ошибка соединения SSL. Это связано с тем, что при их продолжении возникают проблемы с безопасностью, поэтому для их собственной защиты их доступ прерывается.

Ошибки безопасности SSL могут принимать различные формы, иногда в зависимости от браузера. В некоторых случаях https: // страницы может быть выделен, в то время как в других пользователи могут видеть предупреждение о подключении, которое не является частным.

При настройке безопасности SSL, если администратор неправильно конфигурирует систему, делая ее менее защищенной, возникает опасность снижения производительности, снижения скорости, неудачных транзакций и потери данных. Очевидно, что безопасность SSL настолько безопасна, насколько шифры могут совместимо позволить пользователям клиентов подключаться к определенным приложениям.

Настройка шифров проще в системах, которые позволяют администраторам включать и отключать определенные шифры и изменять их порядок путем перетаскивания. Понимание правильной конфигурации безопасности и комплексной доставки приложений также имеет важное значение для повышения производительности.

Правильная программная платформа балансировки нагрузки может помочь предотвратить ошибки в конфигурации безопасности SSL за счет детального анализа потока трафика SSL. Эти сведения помогают выявить такие риски, как уязвимость POODLE и DDoS-атаки, и обеспечить более четкое представление о том, что используют посетители, что позволяет дополнительно снизить риски в режиме реального времени.

Что такое SSL-безопасные покупки в Интернете (электронная торговля)?

Сертификат SSL появится в адресной строке веб-сайта и будет читать https: //, а не http: //. Некоторые сайты в некоторых браузерах также показывают значок замка в адресной строке, чтобы сообщить, что соединение зашифровано для безопасных покупок по протоколу SSL.

И, наконец, те сайты, на которых название компании отображается в адресной строке зеленым цветом, имеют сертификат SSL с расширенной проверкой, обеспечивающий максимальную безопасность покупок.Однако простое присутствие значка висячего замка не всегда означает полную безопасность из-за сбора данных АНБ, другими странами и частными компаниями, не говоря уже об утечке данных сеанса с ошибкой Heartbleed и судах, требующих от веб-сайтов раскрытия их ключей SSL. . Более того, существует несколько направлений атаки на SSL и TLS.

Сегодня самая большая слабость — это сам секретный ключ SSL, который используется для шифрования каждой сессии. Если злоумышленник получит этот ключ даже намного позже, возможно расшифровать любые прошлые транзакции, которые были зашифрованы с использованием закрытого ключа.

Существует простое решение, поддерживаемое как SSL, так и TLS: Perfect Forward Secrecy. PFS генерирует одноразовый «эфемерный» ключ для шифрования одного сеанса, а затем отбрасывает его, вместо того, чтобы использовать сертификат (и ключ) SSL для прямого шифрования клиентского соединения.

PFS требует определенных комбинаций настроек SSL, в частности эфемерного набора шифров Диффи-Хеллмана, который он развертывает для обмена ключами. Большинство современных веб-серверов и OpenSSL поддерживают PFS и шифры Диффи-Хеллмана.Серверы и инфраструктура, которые не могут использовать PFS, по-прежнему могут извлечь выгоду из PFS благодаря более новым программным балансировщикам нагрузки.

Балансировка нагрузки и SSL

Балансировщик нагрузки часто расшифровывает SSL-трафик для повышения производительности. Это работает, потому что расшифровка в балансировщике нагрузки избавляет веб-серверы от лишних циклов ЦП и энергии, необходимой для расшифровки данных.

Этот процесс расшифровки трафика перед его передачей называется завершением SSL. Очевидно, это означает, что трафик между веб-сервером и балансировщиком нагрузки больше не зашифрован, что увеличивает риск атаки, но сохранение балансировщика нагрузки в одном месте снижает этот риск.

Балансировщик нагрузки также может действовать как сквозной протокол SSL, позволяя веб-серверу расшифровывать запросы после их передачи. Хотя это увеличивает нагрузку на мощность сервера, это обеспечивает дополнительную безопасность.

Может ли платформа Avi поддерживать политику безопасности SSL?

Avi Vantage поддерживает завершение клиентских соединений SSL и TLS в качестве виртуальной службы.