Phenquestions
Добре дошли в ръководството за начинаещи за TLS и SSL. Ще се задълбочим в приложенията на асиметричната картография или картографията с публичен ключ.
Какво е асиметрична криптография?
Криптографията с публичен ключ е въведена в началото на 1970 г. Заедно с това дойде идеята, че вместо да се използва един ключ за криптиране и дешифриране на част от информацията, трябва да се използват два отделни ключа: криптиране и декриптиране. Това означава, че ключът, използван за криптиране на информацията, не е от значение за въпроса за дешифрирането на тази информация. Известна е още като асиметрична криптография.
Това е нова концепция и за по-нататъшното й доразвиване ще е необходимо използването на много сложно смятане, така че ще запазим тази дискусия за друг път.
Какво представляват TLS и SSL?
TLS означава Transport Layer Security, докато SSL е съкращение за Secure Socket Layer. И двете са приложения за криптография с публичен ключ и заедно са направили потребителите на интернет способни да осъществяват комуникация през интернет.
Какво точно представляват тези две е обяснено по-долу.
Как се различава TLS от SSL?
TLS и SSL използват асиметричния подход към криптирането, за да защитят комуникациите през интернет (ръкостискания). Основната разлика между двете е, че SSL е резултат от търговски иновации и следователно е собственост на компанията майка, която е Netscape. За разлика от това, TLS е Internet Engineering Task Force Standard, малко актуализирана версия на SSL. Той е кръстен по различен начин, за да се избегнат проблеми с авторските права и евентуално съдебно дело.
За да бъдем точни, TLS идва с някои атрибути, които го разделят от SSL. В TSL ръкостисканията се установяват без сигурност и се засилват от командата STARTTLS, което не е така в SSL.
TSL се счита за подобрение на SSL, защото позволява ръкостисканията, които обикновено са опасни или несигурни, да бъдат надстроени до защитен статус.
Какво прави TLS връзките по-безопасни от SSL?
На пазарите на компютърна сигурност се провежда интензивна конкуренция. SSL 3.0 не можеше да бъде в крак с интернет и беше изтекъл през 2015 г. Зад това има няколко причини, главно свързани с уязвимостите, които не биха могли да бъдат отстранени. Една такава податливост е съвместимостта на SSL с шифри, които могат да издържат на съвременните кибератаки.
Уязвимостта остава в TLS 1.0, тъй като нарушителят може да принуди SSL 3.0 връзка с клиента и след това използвайте неговата уязвимост. Това вече не е така при новия ъпгрейд на TLS.
Какви мерки можем да предприемем?
Ако сте на приемащия край, просто поддържате браузъра си актуализиран. В днешно време всички браузъри идват с вградена поддръжка за TLS 1.2, поради което поддържането на сигурността не е толкова трудно за клиентите. Потребителите обаче трябва да вземат предпазни мерки, когато видят червени знамена. Почти всички предупредителни съобщения от вашите браузъри сочат към такива червени знамена. Съвременните уеб браузъри са изключителни при откриването, ако нещо уебсайт се случва сенчесто.
Администраторите на сървъри, хостващи уебсайтове, имат по-големи отговорности. В това отношение можете да направите много, но нека започнем да показваме съобщение, когато клиент използва остарял софтуер.
Например тези, които използват машини Apache като сървъри, трябва да изпробват това:
$ SSLOptions + StdEnvVars$ RequestHeader зададе X-SSL-протокол% SSL_PROTOCOL s
$ RequestHeader зададе X-SSL-Cipher% SSL_CIPHER s
Ако използвате PHP, потърсете $ _SERVER в скрипта. Ако попаднете на нещо, което показва, че TLS е остарял, съответно ще се покаже съобщение.
За по-добро укрепване на сигурността на сървъра ви има безплатни помощни програми, които тестват системата за чувствителност към недостатъци на TLS и SSL. Някои от тях могат дори по-добре да конфигурират вашия сървър. Ако тази идея ви харесва, разгледайте Mozilla SSL Configuration Generator, който основно върши цялата работа, за да настроите сървъра си да минимизирате TLS рисковете и други подобни.
Ако искате да тествате сървъра си за SSL податливост, разгледайте Qualys SSL Labs. Той изпълнява автоматизирана конфигурация, която е едновременно изчерпателна и сложна, ако сте ориентирани към детайлите.
В обобщение
Като се има предвид всичко, тежестта на отговорността лежи върху раменете на всички.
С появата на съвременните компютри и техники кибератаките стават все по-въздействащи и мащабни с времето. Всички потребители на интернет трябва да имат адекватни познания за системите, защитаващи тяхната неприкосновеност на личния живот и да вземат необходимите предпазни мерки, докато комуникират по интернет.
Във всеки случай винаги е много по-добре да използвате отворен код, тъй като те са по-безопасни, безплатни и могат да свършат работата.
