SSL

TLS ir SSL pradedantiesiems

TLS ir SSL pradedantiesiems
Asimetrinės kriptografijos įvadas.

Sveiki atvykę į TLS ir SSL pradedančiųjų vadovą. Giliai panirsime į asimetrinio ar viešojo rakto kartografijos programas.

Kas yra asimetrinė kriptografija?

Viešojo rakto kriptografija buvo įvesta 1970 m. Pradžioje. Kartu kilo mintis, kad užuot šifravus ir iššifravus informaciją, reikia naudoti du raktus: šifruoti ir iššifruoti. Tai reiškia, kad informacijos šifravimui naudojamas raktas nėra susijęs su tos informacijos iššifravimo klausimu. Jis taip pat žinomas kaip asimetrinė kriptografija.

Tai yra nauja koncepcija, o norint ją toliau išplėtoti, reikėtų naudoti labai sudėtingą skaičiavimą, todėl šią diskusiją išsaugosime kitam laikui.

Kas yra TLS ir SSL?

TLS reiškia „Transport Layer Security“, o SSL yra „Secure Socket Layer“ santrumpa. Abi yra viešojo rakto kriptografijos programos ir kartu jos leido interneto vartotojams bendrauti internetu.

Kas tiksliai yra šie du, paaiškinta toliau.

Kuo TLS skiriasi nuo SSL?

TLS ir SSL naudoja asimetrinį šifravimo metodą, kad apsaugotų ryšį internetu (rankos paspaudimai). Esminis skirtumas tarp šių dviejų yra tas, kad SSL atsirado dėl komercinių naujovių, taigi ir jos patronuojančios bendrovės, kuri yra „Netscape“, nuosavybė. Priešingai, TLS yra interneto inžinerijos darbo grupės standartas, šiek tiek atnaujinta SSL versija. Jis buvo pavadintas kitaip, kad būtų išvengta autorių teisių problemų ir galimai teismo.

Tiksliau sakant, TLS yra su tam tikrais atributais, skiriančiais jį nuo SSL. TSL rankos paspaudimai nustatomi be saugumo ir yra sustiprinami komanda STARTTLS, o tai nėra SSL.

TSL laikomas SSL patobulinimu, nes tai leidžia atnaujinti paprastai nesaugius ar nesaugius rankos paspaudimus į apsaugotą būseną.

Kas daro TLS ryšius saugesnius nei SSL?

Kompiuterių saugumo rinkose vyko intensyvi konkurencija. SSL 3.0 negalėjo atsilikti nuo interneto ir 2015 m. Buvo pasenęs. Tai lemia kelios priežastys, daugiausia susijusios su pažeidimais, kurių nebuvo galima pašalinti. Vienas iš tokių jautrumo aspektų yra SSL suderinamumas su šifrais, kurie gali atlaikyti šiuolaikines kibernetines atakas.

Pažeidžiamumas tebėra TLS 1.0, nes įsibrovėlis gali priversti SSL 3.0 kliento ryšio ir išnaudokite jo pažeidžiamumą. Tai nebėra TLS naujojo atnaujinimo atvejis.

Kokių priemonių galime imtis?

Jei esate priėmimo gale, tiesiog atnaujinkite savo naršyklę. Šiais laikais visose naršyklėse yra integruotas palaikymas TLS 1.2, todėl saugumą išlaikyti klientams nėra taip sunku. Tačiau vartotojai vis tiek turėtų imtis atsargumo priemonių, pamatę raudonas vėliavas. Praktiškai visi įspėjamieji pranešimai iš jūsų naršyklių rodo tokias raudonas vėliavas. Šiuolaikinės interneto naršyklės išskirtinai nustato, ar svetainėje vyksta kažkas šešėlinio.

Svetaines talpinantys serverių administratoriai turi didesnę atsakomybę. Šiuo klausimu galite padaryti daug, tačiau pradėkime rodyti pranešimą, kai klientas naudoja pasenusią programinę įrangą.

Pavyzdžiui, tie, kurie naudoja „Apache“ mašinas kaip serverius, turėtų tai išbandyti:

$ SSLOptions + StdEnvVars
$ RequestHeader nustatė X-SSL protokolą% SSL_PROTOCOL s
$ RequestHeader nustatė X-SSL šifrą% SSL_CIPHER s

Jei naudojate PHP, scenarijuje ieškokite $ _SERVER. Jei susidursite su tuo, kas rodo, kad TLS yra pasenęs, atitinkamai bus rodomas pranešimas.

Norėdami geriau sustiprinti savo serverio saugumą, yra nemokamų paslaugų, kurios tikrina sistemą, ar nėra TLS ir SSL trūkumų. Kai kurie iš jų gali dar geriau sukonfigūruoti jūsų serverį. Jei jums patinka ši idėja, patikrinkite „Mozilla SSL Configuration Generator“, kuri iš esmės atlieka visą darbą, kad nustatytumėte savo serverį, kad sumažintumėte TLS riziką ir pan.

Jei norite patikrinti, ar serveryje nėra SSL jautrumo, apsilankykite „Qualys“ SSL laboratorijose. Ji vykdo automatizuotą konfigūraciją, kuri yra išsami ir sudėtinga, jei esate orientuotas į detales.

Apibendrinant

Atsižvelgus į viską, atsakomybės svoris tenka visiems ant pečių.

Atsiradus šiuolaikiniams kompiuteriams ir technikai, kibernetinės atakos laikui bėgant tapo vis įtakingesnės ir didesnės. Visi interneto vartotojai privalo turėti pakankamai žinių apie savo privatumą internete ginančias sistemas ir, bendraudami internetu, imtis būtinų atsargumo priemonių.

Bet kokiu atveju jums visada daug geriau naudotis atvirojo kodo paslaugomis, nes jie yra saugesni, nemokami ir gali atlikti darbą.

Pelė Kaip pakeisti kairįjį ir dešinįjį pelės mygtukus „Windows 10“ kompiuteryje
Kaip pakeisti kairįjį ir dešinįjį pelės mygtukus „Windows 10“ kompiuteryje
Gana įprasta, kad visi kompiuterio pelės įrenginiai yra ergonomiškai sukurti dešiniarankiams. Tačiau yra pelių prietaisų, specialiai sukurtų kairiaran...
Pelė Mėgdžiokite pelės paspaudimus, užveskite pelės žymeklį naudodami pelę „Clickless Mouse“ sistemoje „Windows 10“
Mėgdžiokite pelės paspaudimus, užveskite pelės žymeklį naudodami pelę „Clickless Mouse“ sistemoje „Windows 10“
Pelės ar klaviatūros naudojimas netinkamoje laikysenoje, kai naudojama per daug, gali sukelti daug sveikatos problemų, įskaitant įtampą, riešo kanalo ...
Pelė Pridėkite pelės gestus prie „Windows 10“ naudodami šiuos nemokamus įrankius
Pridėkite pelės gestus prie „Windows 10“ naudodami šiuos nemokamus įrankius
Pastaraisiais metais kompiuteriai ir operacinės sistemos labai išsivystė. Buvo laikas, kai vartotojai turėjo naudoti komandas naršydami per failų tvar...