SSL / TLS 101 pradedantiesiems

Išsamus šifravimo, užtikrinančio mūsų interneto ryšį, vaizdas


Nors „Netscape“ iš pradžių išrado SSL devintojo dešimtmečio viduryje, kiekvienai svetainei nebuvo privaloma įdiegti SSL / TLS sertifikatą iki 2018 m. Vasaros, kai „Google“ pradėjo žymėti nešifruotas svetaines „Nesaugu.“

Nors „Google“, naudodama savo paieškos variklį, „Chrome“ naršyklę ir „Android“ OS, gali vienašališkai iš naujo apibrėžti internetą, ši kompetencija nebuvo vienintelė. „Apple“, „Microsoft“, „Mozilla“ ir kitos pagrindinės technologijos pramonės suinteresuotosios šalys priėmė suderintą sprendimą įgalioti SSL / TLS sertifikatus ir HTTPS.

Priežastis yra paprasta: be SSL / TLS ir galimybės saugiai prisijungti per HTTPS, visa komunikacija tarp svetainių ir jų lankytojų būtų keičiama paprastu tekstu ir lengvai skaitoma trečiosios šalies..

Vienintelis šio pastarojo meto universaliojo šifravimo postūmis yra tas, kad jis privertė naujų klientų antplūdį nepažįstamoje rinkoje, o tai daro labai mažai, kad mažiau painiotų paprastą interneto ar verslo savininką..

Šis straipsnis taps išsamiu visų dalykų, susijusių su SSL / TLS, vadovu, pamatysime pagrindines sąvokas, tokias kaip šifravimas, HTTPS ir interneto ryšių pobūdis..

Tikiuosi, kad iki pabaigos jausitės užtikrintai pasirinkę, įsigiję ir įgyvendinę TLS sertifikatą ir atsiminsite, jei turite klausimų, kuriuos galite palikti juos komentaruose žemiau.

Pagrindiniai elementai

Pradėkime nuo to, kas pagrindinė viso to esmė: šifravimas.

Šifravimas, atliekant paprasčiausią iteraciją, yra tik šiek tiek daugiau nei duomenų šifravimas – naudojant iš anksto nustatytą šifrą ar raktą, kad jis taptų neįskaitomas niekam, išskyrus kitą šalį su tuo pačiu privačiu raktu..

Per visą istoriją dažniausiai buvo naudojamas privačių raktų šifravimas. Privatų raktą šifruodamos, abi šalys privalo turėti ar bent keistis privačiu raktu, kurį galima naudoti tiek šifruoti, tiek iššifruoti informaciją..

Anksčiau dauguma šifrų, kuriais grindžiamos šios kriptosistemos, buvo primityvūs, pasikliaudami paprastais pakaitalais arba pakeisdami įprastus žodžius rašmenimis. Tačiau laikui bėgant šifrai darė didesnę įtaką matematikai ir tapo vis sudėtingesni.

Pavyzdžiui, 1600-ųjų viduryje Prancūzijoje karaliaus Liudviko XIV kriptografas sukūrė šifrą, kuris buvo taip gerai suprojektuotas, kad nebuvo sulaužytas tik po 250 metų ir tik tada iš dalies. Iki šiol Prancūzijos archyvuose yra šimtai metų vertės įrašų, kurių niekada negalima iššifruoti.

Bet nors istoriškai šifravimas buvo slapto ar slapto būdo priemonė, interneto atsiradimas įgavo šią sąvoką labiau. Internetas yra visur paplitęs ir vykdo daugybę kritinių funkcijų. Kiekvieną dieną milijardai žmonių naudojasi prieigai prie slaptos informacijos ir jos siuntimui, savo finansų tvarkymui, sandorių sudarymui su įmonėmis.

Problema ta, kad internetas nebuvo visiškai sukurtas atsižvelgiant į tai, kuo jis tapo. Anksčiau, tais laikais, kai akademinė bendruomenė ir JAV vyriausybė pirmą kartą kūrė tinklų kūrimo protokolus, internetas buvo laikomas tik laisvo valdžios ir akademinių institucijų keitimosi informacija mechanizmu. Tuo metu komercinė veikla buvo neteisėta internete. e-komercija nebuvo žodis, kuris dar nebuvo sugalvotas. O svetainė buvo labiau geografinė sąvoka.

Taigi, kai HTTP arba hiperteksto perdavimo protokolas pirmą kartą buvo įvestas 1991 m., Faktas, kad jo suformuotos jungtys apsikeitė duomenimis paprastu tekstu, nebuvo diskvalifikuojanti problema.

Šiandien viskas yra daug kitaip. Informacija, kuria keičiamasi internetu, nėra akademiniai tyrimai ar laisvai prieinama informacija, tai asmeniškai identifikuojama informacija ir neskelbtini duomenys, kurie gali kainuoti žmonėms pinigus ar net kai kuriuose regionuose jų gyvybes. Tai reikalavo saugesnio požiūrio.

Atsakymas buvo šifravimas.

Keitimosi raktais klausimas

Viena problema, istoriškai kamuojanti net geriausias kriptosistemas, išlieka iki šiol.

Tai, apie ką kalbėjome anksčiau ir kas tradiciškai buvo šifravimo standartas, yra privačių raktų šifravimas. Tai taip pat vadinama simetriniu šifravimu arba dvipusiu šifravimu – privatūs raktai valdo tiek šifravimo, tiek dešifravimo funkcijas, reikalingas bendravimui.

Kad privataus rakto šifravimas veiktų, privatų raktą reikia perduoti tarp šalių, arba abi šalys turi turėti savo kopiją. Bet kokiu atveju, privataus rakto saugumas buvo labai svarbus kriptosistemos vientisumui ir, kaip jūs, be abejo, galite suabejoti, keitimasis raktais yra tokia sena problema, kaip ir pats šifravimas..

Tada aštuntajame dešimtmetyje – techniškai dviem skirtingais laikais, išskyrus visą vandenyną – buvo suplanuota ir atgaivinta nauja šifravimo forma: viešojo rakto šifravimas.

Kadangi privataus rakto šifravimas yra dvipusė simetrinė funkcija, kai privatusis raktas gali ir šifruoti, ir iššifruoti duomenis, o viešojo rakto šifravimas yra asimetriškas; Vienas kelias. Vietoj vieno privataus rakto yra viešojo ir privačiojo raktų pora. Viešasis raktas tvarko šifravimą ir, kaip matyti iš pavadinimo, yra viešai prieinamas, o privatųjį raktą, kuris tvarko iššifravimą, jo savininkas laiko paslaptyje. Naudodamas viešą raktą, gali užšifruoti duomenų dalį ir nusiųsti jį rakto savininkui, kur tik jie galės jį iššifruoti..

Puiku, bet kaip tai naudinga?

Na, vienpusis šifravimas nėra idealus šifruoti interneto ryšius. Tai sunku bendrauti, kai viena šalis gali tik šifruoti, o kita – tik iššifruoti. Ne, norint užšifruoti interneto ryšį, turėsite naudoti simetrišką, privačiojo rakto šifravimą.

Bet kaip jūs keičiate raktus? Ypač internete?

Viešojo rakto šifravimas.

SSL / TLS esmė yra distiliuotas iki esmės: saugus raktų keitimas.

Čia mes susiesime visas šias sąvokas. Jei norite, kad jūsų bendravimas su svetaine būtų privatus, turite saugiai prisijungti prie jos. Jei norite saugiai prisijungti prie tos svetainės, turite apsikeisti simetriniais asmeniniais raktais, kad galėtumėte juos naudoti bendravimui. SSL / TLS (ir apskritai PKI) yra tik išgalvotas to seanso rakto kūrimo ir mainų mechanizmas.

Naudodamiesi SSL / TLS, galite autentifikuoti serverį ar organizaciją, su kuria ketinate prisijungti, ir įsitikinti, kad saugiai apsikeisite privačiais raktais, kuriuos naudojate šifruodami savo ryšius su numatoma šalimi..

Deja, SSL / TLS ir PKI turi daug terminų ir judančių dalių, kurios gali lengvai supainioti žmones, tačiau tie, kurie mano, kad tai, kai atitrauki visą matematiką ir techninį žargoną, tai yra tik elegantiškas šiuolaikinis technologinis sprendimas amžiams. sena problema: raktų keitimas.

Dabar pereikime keletą pagrindinių terminų

Prieš eidami toliau, pažiūrėkime apie keletą kitų pagrindinių terminų. Mes jau pristatėme HTTP, hiperteksto perdavimo protokolą, kuris dešimtmečius buvo interneto pagrindas. Bet kaip mes diskutavome, internetas tapo kažkuo kitokiu, nei buvo tada, kai HTTP pirmą kartą buvo paskelbtas 1991 m.

Reikėjo saugesnio protokolo. Taigi, HTTPS.

HTTPS, kuris kartais vadinamas HTTP per TLS, naudoja šifravimą, kad duomenys, kuriais keičiamasi ryšio metu, taptų neįskaitomi niekam, išskyrus numatytą šalį. Tai ypač svarbu, kai atsižvelgiama į šiuolaikinio interneto ryšio pobūdį.

Ankstyvomis interneto dienomis ryšys buvo pagrįstas tiesioginiu ryšiu, tačiau dabar ryšiai yra nukreipiami per dešimtis įrenginių, pakeliui į galutinę kelionės vietą. Jei kada nors norėjote tai parodyti praktiškai, savo operacinėje sistemoje atidarykite komandų eilutę ir įveskite komandą „tracert geekflare.com“.

Ką matysite, yra kelias, kuriuo jūsų ryšys nukeliavo iki tikslo. Iki 30 šuolių. Tai reiškia, kad jūsų duomenys praeina per kiekvieną iš šių įrenginių, kol jie nepatenka į bet kurią svetainę ar programą, prie kurios jungiatės. Ir jei bet kuriame iš tų įrenginių yra įdiegtas paketų sniferis ar klausytojas, kai kuriais atvejais jie gali pavogti visus perduotus duomenis ir net manipuliuoti ryšiu..

Tai vadinama vidurio žmogaus (MITM) ataka.

Jei norite sužinoti apie MITM ataką, tada Peržiūrėkite šį internetinį kursą.

Šiuolaikiniu interneto ryšiu reikia padengti daug daugiau paviršiaus ploto, nei supranta didžioji dauguma žmonių, todėl yra svarbu užšifruoti duomenis perdavimo metu. Jūs net neįsivaizduojate, kas galėtų jos klausytis ar kaip nesąmoningai lengva tai padaryti.

HTTP ryšys užmezgamas per 80 prievadą. Mūsų tikslais jūs galite galvoti apie uostus kaip konstrukcijas, nurodančias tinklo paslaugą ar protokolą. Standartinė svetainė, teikiama per HTTP, naudoja 80 prievadą. HTTPS paprastai naudoja 443 prievadą. Kai svetainė įdiegia sertifikatą, ji gali nukreipti savo HTTP puslapius į HTTPS puslapius, o vartotojų naršyklės bandys saugiai prisijungti per 443 prievadą, kol laukiama autentifikavimo..

Deja, terminai SSL / TLS, HTTPS, PKI ir šifravimas yra daug suplanuoti, kartais net vartojami pakaitomis, todėl norint išsklaidyti bet kokius nesusipratimus, pateikiame trumpą vadovą:

  • SSL – „Secure Sockets Layer“, originalus šifravimo protokolas, naudojamas kartu su HTTPS
  • TLS – „Transport Layer Security“ – naujesnis šifravimo protokolas, pakeitęs SSL
  • HTTPS – Saugi HTTP versija, naudojama ryšiams su svetainėmis kurti
  • PKI – Viešojo rakto infrastruktūra – tai visas pasitikėjimo modelis, palengvinantis viešojo rakto šifravimą

SSL / TLS veikia kartu ir įgalina HTTPS ryšius. O PKI nurodo visą tai, kai jūs tolinate.

Supratau? Nesijaudink, tu tai padarysi.

Viešojo rakto infrastruktūros kūrimas

Dabar, kai padėjome pagrindą, atitolinkime ir pažvelkime į pasitikėjimo modelio naudojamą architektūrą, esančią SSL / TLS centre..

Kai atvykstate į svetainę, pirmiausia jūsų naršyklė patikrins SSL / TLS sertifikato, kurį svetainė pateikia, autentiškumą. Mes sužinosime, kas nutiks po to, kai autentifikacija įvyks keliuose skyriuose, tačiau pradėsime aptardami pasitikėjimo modelį, kuris visa tai įgalina.

Pradėsime nuo klausimo: kaip mano kompiuteris žino, ar reikia pasitikėti duotu SSL / TLS sertifikatu?

Norėdami atsakyti į tai, turėsime aptarti PKI ir įvairius elementus, kurie verčia jį veikti. Pradėsime nuo pažymėjimų autoritetų ir šaknų programų.

Sertifikatų institucijos

Sertifikatų institucija yra organizacija, kuri laikosi nustatytų standartų rinkinio mainais už galimybę išduoti patikimus skaitmeninius sertifikatus.

Yra dešimtys CA, tiek nemokamų, tiek komercinių, galinčių išduoti patikimus sertifikatus.

Jie visi privalo laikytis standartų rinkinio, kuris buvo svarstomas ir priimtas CA / naršyklės forume, kuris veikia kaip TLS pramonės reguliavimo institucija. Šie standartai apibūdina tokius dalykus kaip:

  • Techninės apsaugos priemonės, kurios turi būti įdiegtos
  • Geriausia patvirtinimo praktika
  • Išdavimo geriausia praktika
  • Panaikinimo procedūros ir terminai
  • Sertifikatų registravimo reikalavimai

Šias gaires nustatė naršyklės kartu su CA. Naršyklės vaidina unikalų vaidmenį TLS ekosistemoje.

Niekas negali pasiekti interneto bet kur be savo interneto naršyklės. Iš esmės naršyklė gaus ir patvirtins skaitmeninį TLS sertifikatą, o vėliau keisis raktais su serveriu. Taigi, atsižvelgiant į svarbiausią jų vaidmenį, jie daro didelę įtaką.

Svarbu nepamiršti, kad naršyklės buvo sukurtos kuo skeptiškiau. Nepasitikėti niekuo. Tai yra geriausias būdas apsaugoti jų vartotojus. Taigi, jei naršyklė pasitikės skaitmeniniu sertifikatu, kuris gali būti netinkamai panaudotas pakenkiant vartotojui, jam reikia tam tikrų garantijų, kad tas, kuris išdavė šį pažymėjimą, atliko jų deramą patikrinimą.

Tai yra sertifikatus išduodančių institucijų vaidmuo ir atsakomybė. Ir naršyklės nepaiso klaidų. Yra tiesioginių buvusių CA kapinių kapinės, veikiančios naršyklėse ir išleistos į ganyklas..

Kai sertifikatų institucija įrodo, kad laikosi CAB forumo pagrindinių reikalavimų, ir atlikusi visus būtinus auditus bei peržiūras, ji gali pateikti peticiją įvairioms šakninėms programoms, kad būtų pridedami „Root“ sertifikatai..

Šaknų programos

Šakninė programa – pagrindines, kurias vykdo „Apple“, „Microsoft“, „Google“ ir „Mozilla“ – tai aparatas, prižiūrintis ir palengvinantis šaknų saugyklas (kartais vadinamas pasitikėjimo parduotuvėmis), kurios yra „root CA“ sertifikatų kolekcijos, esančios vartotojo sistemoje. Vėlgi, šios šaknys yra nepaprastai vertingos ir nepaprastai pavojingos – juk jos gali išduoti patikimus skaitmeninius sertifikatus – taigi, saugumas kelia didžiausią susirūpinimą.

Štai kodėl CA beveik niekada neišduoda tiesiogiai iš „Root CA“ sertifikatų. Vietoj to, jie sugeneruoja tarpinius šakninius sertifikatus ir naudoja juos galutiniams vartotojams arba lapų sertifikatams išduoti. Jie taip pat gali perduoti šias šaknis sub-CA, kurios yra sertifikatų institucijos, neturinčios specialių šaknų, tačiau vis tiek gali išduoti kryžminiu parašu pažymėtus sertifikatus tarpininkams.

Taigi, sudėkime visa tai kartu. Kai svetainė nori išduoti TLS sertifikatą, serveryje, kuriame jis yra priglobtas, jis sukuria tai, kas vadinama sertifikato pasirašymo užklausa (CSR). Šioje užklausoje yra visa išsami informacija, kurią svetainė nori įtraukti į sertifikatą. Kaip po truputį matysite, informacijos kiekis gali skirtis – nuo išsamios verslo informacijos iki paprastos serverio tapatybės, tačiau užpildžius CSR, ji siunčiama kartu su sertifikato tarnyba išduoti.

Prieš išduodama sertifikatą, CA turės atlikti savo CA / naršyklės forumo įpareigojimą atlikti deramą patikrinimą ir patvirtinti, kad CSR pateikta informacija yra tiksli. Kai tai bus patikrinta, jis pasirašo pažymėjimą savo asmeniniu raktu ir išsiunčia jį svetainės savininkui įdiegti.

Sertifikatų sujungimas

Įdiegus TLS sertifikatą, kaskart apsilankęs svetainėje, kuriame jį priima, pateiks vartotojo naršyklei pažymėjimą. Naršyklė žiūrės į pažymėjimo skaitmeninį parašą, tą, kurį sukūrė patikima sertifikatų institucija, kuri garantuoja, kad visa sertifikate esanti informacija yra tiksli.

Tai yra terminas „sertifikavimo grandinėjimas“.

Naršyklė nuskaitys skaitmeninį parašą ir perkels grandinės saitą aukštyn – toliau patikrins tarpiniame sertifikate esantį skaitmeninį parašą, kurio privatus raktas buvo naudojamas pasirašyti lapo pažymėjime. Tai bus tęsiama po parašų, kol sertifikatų grandinė pasibaigs vienoje iš patikimų šaknų savo šaknų saugykloje, arba tol, kol grandinė baigsis nepasiekus šaknies. Tokiu atveju pasirodys naršyklės klaida ir ryšys nutrūks..

Štai kodėl jūs negalite išduoti ir savarankiškai pasirašyti savo pažymėjimų.

Naršyklės pasitikės tik SSL / TLS pažymėjimais, kuriuos jos gali sugrąžinti į savo šaknų saugyklą (tai reiškia, kad juos išdavė patikimas subjektas). Sertifikavimo institucijos privalo laikytis konkrečių standartų, kad išlaikytų savo patikimumą, ir net tada naršyklės yra linkusios jomis pasitikėti..

Naršyklės neturi tokių garantijų dėl savarankiškai pasirašytų sertifikatų, todėl juos reikėtų diegti tik vidiniuose tinkluose, už užkardų ir bandymo aplinkoje..

SSL / TLS sertifikatų tipai ir funkcionalumas

Prieš pradėdami pažvelgti į SSL / TLS, pakalbėkime apie sertifikatus ir įvairius galimus pakartojimus. TLS sertifikatai palengvina TLS protokolą ir padeda diktuoti šifruotų HTTPS jungčių, kurias sukuria svetainė, sąlygas..

Anksčiau minėjome, kad įdiegę TLS sertifikatą galite sukonfigūruoti savo svetainę per HTTPS ryšius per 443 prievadą. Tai taip pat veikia kaip tam tikras pavadinimo ženklelis svetainei ar serveriui, su kuriuo bendraujate. Grįžtant prie minties, kad visos SSL / TLS ir PKI yra išskirtinės saugaus raktų apsikeitimo formos, SSL / TLS sertifikatas padeda naršyklei pranešti, kam jis siunčia sesijos raktą – kam kitame šalies gale. ryšys yra.

Kai suskaidysite įvairius SSL / TLS sertifikatų kartojimus, atminkite, kad tai svarbu. Sertifikatai skiriasi atsižvelgiant į funkcionalumą ir patvirtinimo lygį. Ar kitaip tariant, jie skiriasi atsižvelgiant į:

  • Kiek tapatybių patvirtinti
  • Kokiais požymiais patvirtinti tapatybę

Atsakę į šiuos du klausimus, jūs gana aiškiai nurodysite, kokio tipo pažymėjimo jums reikia.

Kiek tapatybių yra Assertui

Yra trys skirtingi SSL / TLS sertifikatų patvirtinimo lygiai: jie skiriasi priklausomai nuo to, kiek tapatybės informacijos jūsų svetainė nori patvirtinti..

  • Domeno patvirtinimo SSL sertifikatai – patvirtinti serverio tapatybę
  • Organizacijos patvirtinimo SSL sertifikatai – patvirtinti dalinę organizacijos tapatybę
  • Išplėstiniai patvirtinimo SSL sertifikatai – patvirtinkite visą organizacijos tapatybę

Domeno patvirtinimas SSL sertifikatai yra patys populiariausi dėl jų kainos ir greičio, kuriuo jie gali būti išduodami. Norint gauti DV SSL / TLS sertifikatus, reikia atlikti paprastą domeno valdymo patikrinimą, kurį galima atlikti keliais skirtingais būdais, tačiau kai tik jis bus išduotas. Taip pat galite nemokamai gauti 30 ir 90 dienų versijas, kurios neabejotinai padidino jų rinkos dalį.

Neigiama yra tai, kad DV SSL sertifikatai patvirtina minimalų tapatumą. Ir atsižvelgiant į tai, kad dabar beveik pusėje visų sukčiavimo svetainių yra įdiegtas DV SSL sertifikatas, jos nebūtinai perka jus pasitikėjimo keliu.

Organizacijos patvirtinimas SSL sertifikatai yra originalus SSL / TLS sertifikatų tipas. Jie taip pat yra vieninteliai SSL sertifikatai, galintys apsaugoti IP adresą po 2016 m. CAB forumo sprendimo panaikinti visus intraneto SSL sertifikatus. Organizacijos patvirtinimui reikalingas lengvas verslo patikrinimas ir paprastai jis gali būti išduotas per dieną ar dvi – kartais greičiau. OV SSL sertifikatai reikalauja tam tikros organizacinės informacijos, tačiau interneto vartotojui reikėtų spustelėti spynos piktogramą ir jos ieškoti. Šiais laikais matote daug OV SSL sertifikatų, diegiamų didelėse įmonėse ir korporatyviniuose tinkluose, pavyzdžiui, jungtims, sukurtoms už užkardų.

Nes nei DV, nei OV SSL sertifikatai neužtikrina pakankamo tapatumo, kad patenkintų daugumą naršyklių, nes jiems taikomas neutralus režimas.

Išplėstiniai patvirtinimo SSL sertifikatai yra bene prieštaringiausiai vertinami dalykai, nes kai kurie technologijų bendruomenės nariai mano, kad reikia daugiau nuveikti, norint sustiprinti patvirtinimą, nuo kurio jie priklauso. Tačiau „EV SSL“ patvirtina maksimalų tapatumą. Norėdami baigti išplėstinį patvirtinimą, Sertifikavimo tarnyba pateikia organizacijai griežtą tikrinimo procesą, kuris kai kuriais atvejais gali užtrukti savaitę..

Bet nauda neabejotina: kadangi ji turi pakankamai tapatybės, svetainė, turinti „EV SSL“ sertifikatą, gauna unikalų naršyklės gydymą, įskaitant jos pavadinimo pateikimą naršyklės adreso juostoje..

Nėra jokio kito būdo, kaip tai padaryti, ir to negalima ir suklastyti – EV adreso juosta yra vienas galingiausių vaizdinių rodiklių, kuriuos šiandien turime..

Kokiais požymiais galima patvirtinti tapatybę

Kitas būdas, kaip skiriasi SSL / TLS sertifikatai, yra susijęs su funkcionalumu. Nuo pirmųjų dienų internetinės svetainės vystėsi gana nedaug, kai įvairios kompanijos diegė svetaines skirtingais būdais. Kai kurie turi kelis domenus skirtingoms įmonės vertikalėms; kiti naudoja potinkinius domenus kelioms funkcijoms ir žiniatinklio programoms. Kai kurie naudojasi abiem.

Nesvarbu, koks kontekstas yra, yra SSL / TLS sertifikatas, kuris gali padėti jį apsaugoti.

Vienas domenas

Pagrindinė svetainė ir standartinis SSL sertifikatas yra tik vienas domenas. Dauguma šiuolaikinių SSL / TLS sertifikatų saugos ir to domeno, ir ne WWW, ir ne WWW versijas, tačiau jis apsiriboja vienu domenu. Tu gali palyginkite SSL sertifikatus čia.

Daugiadomis

Kelių domenų sertifikatai arba „Unified Communication“ sertifikatai („Microsoft Exchange“ ir „Office Communications“ serverių atveju) taip pat egzistuoja, kad organizacijoms būtų suteikta galimybė užšifruoti kelis domenus vienu sertifikatu. Tai gali būti patrauklus pasirinkimas, nes sutaupoma pinigų ir žymiai paprasčiau valdyti pažymėjimus (galiojimo laikas / atnaujinimas).

Kelių domenų ir UCC sertifikatai naudoja SAN, CSR lauką „Alternative Name“ (subjekto alternatyvus pavadinimas), kad sertifikate būtų galima pridėti papildomų domenų. Daugelis CA leidžia viename sertifikate naudoti iki 250 skirtingų SAN. Dauguma domenų sertifikatų yra su 2–4 nemokamais SAN, o likusius galima įsigyti pagal poreikį.

Pakaitos simbolių SSL sertifikatai

Pakaitos SSL sertifikatai yra nepaprastai naudingas pažymėjimo tipas, nes tuo pačiu URL lygiu jie gali užšifruoti neribotą skaičių subdomenų. Pvz., Jei turite svetainę, kurioje naudojami tokie subdomenai kaip:

  • app.website.com
  • portalas.vetainė.com
  • user.website.com

Galite juos visus užšifruoti tuo pačiu pakaitos simboliu naudodami žvaigždutę jūsų CSR laukelyje FQDN: * .website.com

Dabar bet kurį potinkį, net dar nepridėtą, galite apsaugoti tuo sertifikatu.

Yra du „Wildcard“ sertifikatų pranašumai. Pirmasis yra tas, kad naudodamiesi tuo pačiu viešuoju raktu tam tikruose galiniuose taškuose, esate labiau pažeidžiami tam tikrų išnaudojimų, tokių kaip „Bleichenbacher“ išpuoliai, atžvilgiu..

Kita, kad nėra „EV Wildcard“ parinkties. Dėl atvirojo tipo „Wildcard“ funkcijų pobūdžio naršyklės netinka deleguoti joms tokį pasitikėjimo lygį. Jei norite, kad jūsų padomeniuose būtų „EV“ adreso juosta, turėsite juos užšifruoti atskirai arba naudoti „EV Multi-Domain“ sertifikatą.

Kelių domenų pakaitos kortelė

Palyginti naujas SSL / TLS ekosistemos priedas „Multi-Domain Wildcard“ gali užšifruoti iki 250 skirtingų domenų, tačiau SAN laukeliuose taip pat gali naudoti žvaigždutę, kuri taip pat leidžia užšifruoti 250 skirtingų domenų IR visus juos lydinčius pirmuosius. – pakopiniai domenai.

Kitas daugiadomių pakaitos simbolių naudojimo atvejis yra daugiapakopis pakaitos simbolis, kuriame jis gali užšifruoti subdomenus keliais URL lygiais (standartinė pakaitos kortelė gali juos užšifruoti tik viename lygyje)..

Dėl pakaitos sistemos funkcijos daugialypės srities pakaitos kortelės negalimos ir EV.

SSL / TLS judantis

Dabar, kai apžvelgėme visas reikšmingas SSL / TLS ir PKI formuojančias sąvokas, sudėkime viską ir pamatykime judesį.

Įteisinimas ir išdavimas

Pradėkime nuo pradžių su svetaine, įsigyjančia SSL / TLS sertifikatą iš CA ar perpardavėjo. Po pirkimo organizacinis kontaktas, kuris tvarko sertifikatų įsigijimą, sukuria pažymėjimo pasirašymo užklausą serveryje, kuriame bus įdiegtas sertifikatas (serveris, kuriame yra svetainė).

Kartu su CSR serveris taip pat sukurs viešųjų / privačiųjų raktų porą ir išsaugos privatų raktą vietoje. Kai CA gauna CSR ir viešąjį raktą, ji atlieka būtinus patvirtinimo veiksmus, kad įsitikintų, jog sertifikate esanti informacija yra tiksli. Paprastai verslo autentifikavimo pažymėjimams (ne DV) reikia ieškoti organizacijos registracijos informacijos ir viešųjų įrašų vyriausybės duomenų bazėse..

Kai tikrinimas bus baigtas, CA naudoja vieną iš savo išduodančių sertifikatų privačių raktų, paprastai tarpinę šaknį, ir pasirašo sertifikatą prieš grąžindama jį svetainės savininkui..

Dabar svetainės savininkas gali paimti naujai išduotą SSL / TLS sertifikatą, įdiegti jį į savo serverį ir sukonfigūruoti svetainę, kad būtų galima atlikti HTTPS ryšius prie 443 prievado (naudojant 301 peradresavimus srautui iš esamų HTTP puslapių siųsti į naujus HTTPS kolegas)..

Autentifikavimas ir SSL rankos paspaudimas

Dabar, kai įdiegtas SSL / TLS sertifikatas ir svetainė sukonfigūruota naudoti HTTPS, pažiūrėkime, kaip tai palengvins užšifruotus ryšius su svetainės lankytojais.

Atėjęs į svetainę, serveris vartotojo naršyklėje pateiks SSL / TLS sertifikatą. Tada vartotojo naršyklė atlieka keletą patikrinimų.

Pirmiausia ji patvirtins sertifikatą, peržiūrėdama jo skaitmeninį parašą ir sekdama sertifikato grandine. Ji taip pat įsitikins, kad sertifikato galiojimo laikas nėra pasibaigęs, ir patikrins pažymų skaidrumo (CT) žurnalus ir pažymėjimų atšaukimo sąrašus (CRL). Jei grandinė veda atgal į vieną iš sistemos pasitikėjimo šaknų ir kad ji yra galiojanti, naršyklė pasitikės sertifikatu.

Dabar yra rankos paspaudimo laikas.

SSL / TLS rankinis paspaudimas yra žingsnių seka, kurioje klientas (vartotojas) ir serveris (svetainė) derina savo saugaus ryšio parametrus, sukuria ir keičiasi simetriniais sesijos klavišais..

Pirma, jie spręs dėl šifravimo rinkinio. Šifrų rinkinys yra algoritmų ir šifrų, kurie bus naudojami prisijungimui, grupė. SSL / TLS sertifikate pateiktas šifravimo rinkinių, kuriuos palaiko serveris, sąrašas. Paprastai šifrų rinkinį sudaro viešojo rakto šifravimo algoritmas, raktų generavimo algoritmas, pranešimo autentifikavimo algoritmas ir simetriškas arba masinis šifravimo algoritmas – nors tai buvo patobulinta TLS 1.3.

Pateikęs palaikomų šifrų sąrašą, klientas pasirinks malonų šifrą ir perduos jį serveriui. Iš ten klientas sugeneruos simetrinį sesijos raktą, užšifruos jį naudodamas viešąjį raktą ir nusiųs kartu su serveriu, kuris turi privatų raktą, reikalingą sesijos rakto iššifravimui..

Kai abi šalys turės sesijos rakto kopiją, bendravimas gali prasidėti.

Tai yra SSL / TLS.

Galite pamatyti, kaip visos sąvokos, kurias mes ėjome anksčiau, sąveikauja viena su kita, kad sukurtų modernią, tačiau elegantišką sistemą, užtikrinančią interneto ryšį. Mes naudojame viešojo rakto kriptografiją, kad užtikrintai keistume sesijos raktus, su kuriais bendrausime. Sertifikatai, patvirtinantys serverio ar organizacijos identitetą, gali būti patikimi dėl turimos infrastruktūros tarp įvairių CA, naršyklių ir šakninių programų..

Ryšys atsiranda dėl simetrinio privataus rakto šifravimo, kuris yra nusileidęs nuo klasikinių senovės kriptosistemų..

Judančių dalių yra daug, tačiau sulėtinus ir suprantant jas atskirai, daug lengviau pamatyti, kaip visa tai veikia kartu.

Prieš pradėdami eiti, pabaigkite keletą su SSL / TLS susijusių judesių, kuriuos galite atlikti įdiegę / konfigūravę, kad gautumėte maksimalią naudą iš savo investicijų.

Po SSL / TLS – išnaudokite visas savo įdiegimo galimybes

Paprasčiausiai įdiegus sertifikatą ir tinkamai sukonfigūravus savo svetainę, dar nereiškia, kad svetainė yra saugi. TLS yra tik vienas iš platesnės, holistinės kibernetinės gynybos strategijos komponentų. Vis dėlto svarbus komponentas. Apžvelkime kelis dalykus, kuriuos galite padaryti, kad užtikrintumėte, jog naudosite visas galimybes.

Išjungti senų protokolų serverių palaikymą

Padvigubėję prie pokalbio, kurį jau turėjome apie „Cipher Suites“, serverio konfigūravimo dalis yra sprendimas, kokius šifrų rinkinius ir SSL / TLS versijas palaikyti. Būtina išjungti senesnių SSL / TLS versijų palaikymą ir specialius algoritmus, kad būtų išvengta pažeidžiamumo keliems žinomiems išnaudojimams..

SSL 2.0 ir SSL 3.0 yra senesni nei 20 metų. Geriausia praktika buvo nuvertinti paramą jiems prieš daugelį metų, tačiau iki šiol tai leidžia iki šiol maždaug 7% „Alexa“ populiariausių 100 000 žmonių. Tai pavojinga, nes dėl to jūs galite SSL ištrinti ir paversti žemesnėmis atakomis, tokiomis kaip POODLE.

TLS 1.0 ir TLS 1.1 taip pat yra skolinto laiko.

Didžiosios technologijų kompanijos „Apple“, „Microsoft“, „Google“ ir „Mozilla“ šį rudenį paskelbė bendrą pranešimą, kad 2020 m. Pradžioje jos nustos remti TLS 1.0 ir 1.1..

Protokolo versijose yra pažeidžiamumų, tokių kaip POOD, FREAK, BEAST ir CRIME (tai visi sutrumpinimai). TLS 1.2 neveikia dešimt metų ir turėtų būti standartas. TLS 1.3 buvo baigtas rengti praėjusią vasarą ir nuo to laiko priėmimas vyko stabiliu tempu.

Be to, yra ir specialių algoritmų, kurie taip pat neturėtų būti naudojami. Pavyzdžiui, DES gali būti sugadintas per kelias valandas. RC4 yra labiau pažeidžiamas nei kada nors tikėta ir jau buvo uždraustas pagal Mokėjimo kortelių pramonės duomenų apsaugos standartus. Galiausiai, atsižvelgiant į naujienas apie naujausius išnaudojimus, neberekomenduojama RSA naudoti raktų mainams.

Siūlomi algoritmai / šifrai:

  • Raktų keitimas: Elipsinė kreivė Diffie-Helman (ECDH)
  • Autentifikavimas: Elipsinės kreivės skaitmeninio parašo algoritmas (ECDSA)
  • Simetrinis / masinis šifravimas: AES 256 „Galois“ skaitiklio režime (AES256-GCM)
  • MAC algoritmas: SHA-2 (SHA384)

Visada įjungtas SSL

Anksčiau svetainės kartais tik perkeldavo tinklalapius, kuriuose kaupiama informacija, į HTTPS, o likusią svetainės dalį aptarnaudavo per HTTP. Tai bloga praktika.

Be to, kad „Google“ pažymės tuos puslapius kaip „Neapsaugotus“, jūs taip pat potencialiai rizikuojate savo svetainės lankytojais, jei jų naršyklės pereis pirmyn ir atgal tarp užšifruotų ir HTTP puslapių..

Turėtumėte sukonfigūruoti visą savo svetainę HTTPS. Tai vadinama visada įjungta SSL. Juk nėra taip, kad mokate už puslapį, jūsų SSL / TLS sertifikatas gali užšifruoti visą jūsų svetainę. Taigi pasidaryk taip.

Nustatykite sertifikavimo tarnybos autorizacijos (CAA) įrašą

Viena iš reikšmingiausių skaitmeninių pažymėjimų keliamų pavojų yra neteisingas išdavimas. Jei kitai šaliai nei jūs išduodate savo svetainės SSL / TLS sertifikatą, ji gali veiksmingai apsimesti jumis ir sukelti visokių problemų.

CAA įrašai padeda sumažinti šią riziką ribojant tai, ką sertifikavimo institucijos gali išduoti skaitmeninius sertifikatus jūsų svetainei. CA / naršyklės forumas reikalauja, kad sertifikatų institucijos patikrintų CAA įrašus prieš išduodant bet kurį sertifikatą. Jei CA neturi leidimo išduoti tos svetainės, ji negali. Tai padarius būtų laikoma, kad leidimas neišduodamas, ir kaupiama naršyklės bendruomenės rūstybė.

Pridėti CAA įrašą yra gana lengva – tai paprastas DNS įrašas, kurį galima pridėti per daugumos prieglobos platformų sąsają. Galite apriboti CA, kurios gali būti išduodamos jūsų domenui, taip pat tai, ar taip pat gali būti išduodami pakaitos pažymėjimai.

Įtraukite savo svetainę į HSTS išankstinio įkėlimo sąrašą

HTTP griežta transporto sauga (HSTS) yra HTTP antraštė, verčianti naršykles užmegzti tik HTTPS ryšį su tam tikra svetaine. Tokiu būdu, net jei žiniatinklio vartotojas bandys pereiti prie puslapio HTTP versijos, jis apsilankys tik HTTPS versijoje. Tai svarbu, nes jis užveria langą dėl kelių žinomų išnaudojimų, tokių kaip pažeminimo išpuoliai ir slapukų užgrobimas.

Deja, HSTS tebėra nedidelis išpuolių vektorius, todėl turėtumėte įtraukti savo svetainę į išankstinio įkėlimo sąrašą. Paprastai lankytojui atvykus į jūsų svetainę, jo naršyklė atsisiunčia HTTP antraštę ir tada jos laikosi tol, kol politika buvo nustatyta paskutinė. Tačiau per patį pirmąjį apsilankymą, prieš gaunant antraštę, užpuolikui dar yra maža anga.

HSTS išankstinio įkėlimo įrašų sąrašą tvarko „Google“, o kai kuriuos jo variantus naudoja visos pagrindinės naršyklės. Tos naršyklės žino tik tai, kad per bet kurią sąraše esančią svetainę galima prisijungti per HTTPS, net jei ji niekada anksčiau ten nebuvo apsilankiusi. Tai gali užtrukti savaitę ar dvi, kol svetainė pasirodys sąraše, nes sąrašo atnaujinimai bus išstumti kartu su naršyklių išleidimo tvarkaraščiais..

SSL / TLS DUK

Kas yra X.509 sertifikatas?

X.509 nurodo skaitmeninio pažymėjimo tipą, kuris naudojamas su SSL / TLS ir kitais PKI tipais. X.509 yra viešojo rakto šifravimo standartas. Kartais pamatysite, kad įmonės naudoja „X.509“ sertifikatą vietoje „skaitmeninio pažymėjimo“ arba „PKI pažymėjimo“.

Kodėl baigiasi SSL / TLS sertifikatų galiojimas??

Tam yra dvi priežastys.

Pirma, internetas nuolat keičiasi, atsiranda internetinės svetainės, o internetinės svetainės išeina. Ir atsižvelgdami į tai, kaip jautriai naršyklės pasitiki šiais sertifikatais, jie pirmiausia nori žinoti, kad sertifikatus pristatančios svetainės reguliariai tikrinamos. Jis skiriasi ne tuo, kaip retkarčiais turite registruotis, kad atnaujintumėte informaciją apie vairuotojo pažymėjimą.

Kita priežastis yra labiau techninė. Sunkiau yra atnaujinti ir atnaujinti techninius pakeitimus, kai pažymėjimų galiojimas nesibaigia 3–5 metus. Tuo tarpu jei sertifikatų galiojimas baigiasi kas 24 mėnesius, ilgiausias sertifikatas gali būti pasenęs yra dveji metai. 2017 m. Maksimalus galiojimas buvo sutrumpintas nuo trejų metų iki dvejų. Greitai tai greičiausiai sutrumpės iki 12 mėnesių.

Kaip jūs atnaujinate SSL / TLS sertifikatą?

Atnaujinimas gali šiek tiek suklaidinti, nes jūs keičiate seną pažymėjimą naujai išduotu. Jei tai darysite reguliariai, galėsite sekti naujausius patobulinimus, naudodami šifravimo technologiją, ir užtikrinsite, kad jūsų patvirtinimo informacija būtų atnaujinta. Įgaliotosios institucijos gali pakartotinai naudoti tikrinimo informaciją, kuri iš pradžių buvo tiekiama tiek ilgai, kad baziniai reikalavimai priversti ją pakartotinai patvirtinti..

Atnaujindami galite išlaikyti tą patį pažymėjimo tipą, kurį turėjote anksčiau, arba galite eiti su kažkuo nauju, netgi galite pakeisti CA. Svarbu tai, kiek laiko turite pasibaigusiam pažymėjimui – galite perkelti iki trijų mėnesių. Jei pratęsite iki pažymėjimo galiojimo pabaigos, galite perkelti bet kurį likusį laiką ir pakartotinai naudoti bet kokią patvirtinimo informaciją, kuri dar nepasibaigė nuo paskutinio jūsų patvirtinimo. Jei leisite jam pasibaigti, pradedate nuo nulio.

Kas yra „HTTPS Inspection“?

Daugelis didesnių kompanijų, turinčių didesnius tinklus, nori, kad jų srautas būtų matomas. Šiuo atžvilgiu „HTTPS“ yra dviašmenis kalavijas. Tai apsaugo žmonių privatumą, tačiau taip pat gali padėti elektroniniams nusikaltėliams pasislėpti. Daugybė organizacijų iššifruos savo HTTPS srautą kraštiniame įrenginyje arba tarpinėje dėžutėje, tada nusiųs jį paprastuoju tekstu už savo ugniasienės arba iš naujo užšifruos ir išsiųs. Kai nebešifruojate srauto, jis vadinamas SSL nutraukimu. Kai dar kartą užšifruojate, tai vadinama SSL sujungimu.

Kas yra SSL iškrovimas?

SSL iškrovimas yra dar viena įmonės praktika. Atliekant tūkstančius rankų paspaudimų ir šifruojant bei iššifruojant visus tuos duomenis gali būti apmokestinami tinklo ištekliai. Taigi, daug didesnių tinklų SSL funkcijas perkels į kitą įrenginį, kad programų serveris galėtų sutelkti dėmesį į savo pagrindines užduotis. Tai kartais vadinama apkrovos balansavimu.

Kodėl mano CA man atsiuntė tarpinį pažymėjimą?

Prisiminkite anksčiau, kai aptarėme šaknines programas?

„OS“ turi „šaknų saugyklą“, kurią naudoja priimdama sprendimus dėl PKI pasitikėjimo. Tačiau CA neišduoda galutinio vartotojo sertifikatų iš tų šaknų, bijodamos, kas nutiks, jei kada nors tai turėtų būti atšaukta. Vietoj to, jie sukasi tarpines šaknis ir jas išleidžia. Problema ta, kad tarpinės šaknys negyvena sistemos patikimumo saugykloje.

Taigi, jei svetainė nepateikia tarpinio pažymėjimo kartu su lapų SSL / TLS sertifikatu, daugelis naršyklių negalės užpildyti sertifikato grandinės ir paskelbs įspėjimą. Kai kurios naršyklės kaupia talpyklos tarpinius sertifikatus, tačiau vis dar laikoma geriausia praktika tarpinius produktus įdiegti kartu su jūsų lapo sertifikatu.

Kokios dokumentacijos man reikia norint išplėsti SSL sertifikatą?

Daugeliu atvejų išplėstinį patvirtinimą atliekanti sertifikatų institucija pirmiausia bandys prieiti prie informacijos naudodama viešai prieinamus „valdžios institucijos“ išteklius.

Tačiau kai kuriose vietose tai gali būti neįmanoma. Tačiau yra keletas dalykų, kurie gali padėti paspartinti patvirtinimą. Nors patvirtinimo patikrų, kurias profesionalus nuomonės raštas gali patenkinti, skaičius pastaruoju metu sumažėjo, advokato ar buhalterio turėjimas turi gerą ženklą, tačiau tai vis tiek gali padėti..

Be to, galite pateikti vyriausybės išduotą verslo įgaliojimą arba „Teisės įrodymo“ dokumentą, suteikiantį jūsų organizacijai teisę užsiimti verslu nurodytu pavadinimu. Keli šių dokumentų pavyzdžiai:

  • Įstatai
  • Formavimo pažymėjimai
  • Verslo / pardavėjo / prekybininko licencijos
  • Chartijos dokumentai
  • Partnerystės susitarimai
  • Prekės ar numanomo vardo registracija
  • „Registro Mercantil“

Uždaryme

Tikiuosi, kad tai suteiks jums idėją apie SSL / TLS. Jei jus domina daugiau sužinoti, tada aš rekomenduočiau lankyti šį internetinį kursą.

Prie šio pranešimo prisidėjo Patrick Nohe, Išpjaustyta SSL parduotuvėje, internetinis dienoraštis, apimantis kibernetinio saugumo naujienas ir tendencijas.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map