Co to jest TLS a SSL w bezpieczeństwie online?

Spisu treści:

Co to jest TLS a SSL w bezpieczeństwie online?
Co to jest TLS a SSL w bezpieczeństwie online?
Anonim

Zważywszy, że ostatnio pojawiło się tak wiele poważnych naruszeń bezpieczeństwa danych, możesz się zastanawiać, w jaki sposób Twoje dane są chronione, gdy jesteś online. Kiedy wchodzisz na stronę internetową, aby zrobić zakupy i wprowadzasz numer karty kredytowej, miejmy nadzieję, że za kilka dni paczka dotrze do twoich drzwi. Ale w tym momencie, zanim naciśniesz przycisk Zamów, zastanawiasz się, jak działa ochrona online?

Image
Image

Podstawy bezpieczeństwa online

W swojej podstawowej formie bezpieczeństwo online - bezpieczeństwo, które ma miejsce między komputerem a witryną - jest realizowane poprzez serię pytań i odpowiedzi. Wpisujesz adres internetowy w przeglądarce, a następnie przeglądarka prosi tę witrynę o zweryfikowanie jej autentyczności. Witryna odpowiada odpowiednią informacją i po wyrażeniu przez obie strony zgody, witryna otwiera się w przeglądarce internetowej.

Wśród zadawanych pytań i wymienianych informacji są dane dotyczące rodzaju szyfrowania, które przekazuje informacje o przeglądarce, informacje o komputerze i dane osobowe między przeglądarką a witryną. Te pytania i odpowiedzi nazywane są uściskiem dłoni. Jeśli ten uścisk dłoni nie nastąpi, witryna, którą próbujesz odwiedzić, zostanie uznana za niebezpieczną.

HTTP a

  • Otwórz, aby każdy mógł je zobaczyć po drodze.
  • Łatwiejsze w konfiguracji i uruchomieniu.

  • Brak bezpieczeństwa haseł i przesyłanych danych.
  • W pełni zaszyfrowane, aby ukryć informacje.
  • Wymaga dodatkowej konfiguracji serwera.
  • Chroni przesyłane informacje, w tym hasła.

Jedną z rzeczy, które możesz zauważyć podczas odwiedzania witryn internetowych, jest to, że niektóre mają adres zaczynający się od http, a niektóre zaczynają się od https. HTTP oznacza protokół przesyłania hipertekstu; jest to protokół lub zestaw wytycznych, które wyznaczają bezpieczną komunikację przez internet.

Niektóre witryny, zwłaszcza witryny, w których użytkownik jest proszony o podanie informacji poufnych lub umożliwiających identyfikację użytkownika, mogą wyświetlać https w kolorze zielonym lub czerwonym z przekreśloną linią. HTTPS oznacza protokół Hypertext Transfer Protocol Secure, a zielony oznacza, że witryna ma weryfikowalny certyfikat bezpieczeństwa. Czerwony z przekreśloną linią oznacza, że witryna nie ma certyfikatu bezpieczeństwa, certyfikat jest niedokładny lub wygasł.

Tu sprawy stają się nieco zagmatwane. HTTP nie oznacza, że dane przesyłane między komputerem a serwisem są szyfrowane. Oznacza to jedynie, że strona komunikująca się z przeglądarką ma aktywny certyfikat bezpieczeństwa. Tylko w przypadku uwzględnienia S (jak w S) przesyłane dane są bezpieczne, a używana jest inna technologia, która zapewnia bezpieczne oznaczenie możliwe.

SSL kontra TLS

  • Pierwotnie opracowany w 1995 roku.
  • Wcześniejszy poziom szyfrowania sieci.
  • Zostaje w tyle za szybko rozwijającym się internetem.
  • Uruchomiony jako trzecia wersja SSL.
  • Bezpieczeństwo warstwy transportowej.
  • Kontynuujemy ulepszanie szyfrowania używanego w SSL.
  • Dodano poprawki bezpieczeństwa dla nowych typów ataków i luk w zabezpieczeniach.

SSL był oryginalnym protokołem bezpieczeństwa zapewniającym bezpieczeństwo witryn internetowych i danych przesyłanych między witrynami. Według GlobalSign, SSL został wprowadzony w 1995 roku jako wersja 2.0. Pierwsza wersja (1.0) nigdy nie trafiła do domeny publicznej. Wersja 2.0 została zastąpiona wersją 3.0 w ciągu roku, aby usunąć luki w protokole.

W 1999 roku wprowadzono kolejną wersję SSL, zwaną Transport Layer Security (TLS), aby poprawić szybkość konwersacji i bezpieczeństwo uzgadniania. TLS to wersja, która jest obecnie w użyciu, chociaż dla uproszczenia często nazywa się ją SSL.

Zrozumienie protokołu SSL

  • Ukryj informacje ustawione między komputerem a witryną.
  • Chroni informacje logowania.
  • Zabezpiecza zakupy online.
  • Nie chroni przed wszystkimi zagrożeniami.
  • Nie mogę zabezpieczyć Cię na stronach nie używających SSL.
  • Nie można ukryć odwiedzanych witryn.

Kiedy rozważasz udostępnienie komuś uścisku dłoni, oznacza to, że w grę wchodzi druga strona. Bezpieczeństwo online jest bardzo podobne. Aby uścisk dłoni zapewniający bezpieczeństwo w Internecie miał miejsce, musi być zaangażowana druga strona. Jeśli HTTPS jest protokołem używanym przez przeglądarkę w celu zapewnienia bezpieczeństwa, druga połowa tego uzgadniania to protokół zapewniający szyfrowanie.

Szyfrowanie to technologia używana do ukrywania danych przesyłanych między dwoma urządzeniami w sieci. Odbywa się to poprzez zamianę rozpoznawalnych znaków w nierozpoznawalny bełkot, który można przywrócić do pierwotnego stanu za pomocą klucza szyfrowania. Zostało to pierwotnie osiągnięte dzięki technologii zwanej bezpieczeństwem Secure Socket Layer (SSL).

SSL to technologia, która zmieniła wszelkie dane przesyłane między witryną internetową a przeglądarką w bełkot, a następnie z powrotem w dane. Oto jak to działa:

  • Otwierasz przeglądarkę i wpisujesz adres swojego banku.
  • Przeglądarka internetowa puka do drzwi banku i przedstawia Cię.
  • Odźwierny weryfikuje, że jesteś tym, za kogo się podajesz i zgadza się wpuścić Cię pod pewnymi warunkami.
  • Przeglądarka internetowa akceptuje te warunki, a następnie masz dostęp do strony internetowej banku.

Proces powtarza się po wprowadzeniu nazwy użytkownika i hasła, z kilkoma dodatkowymi krokami.

  • Wprowadzasz swoją nazwę użytkownika i hasło, aby uzyskać dostęp do swojego konta.
  • Twoja przeglądarka internetowa informuje menedżera konta banku, że chcesz uzyskać dostęp do swojego konta.
  • Rozmawiają i zgadzają się, że jeśli podasz prawidłowe dane uwierzytelniające, uzyskasz dostęp. Jednak te poświadczenia muszą być przedstawione w specjalnym języku.
  • Przeglądarka internetowa i menedżer konta banku zgadzają się na język, który będzie używany.
  • Przeglądarka internetowa konwertuje Twoją nazwę użytkownika i hasło na ten specjalny język i przekazuje je do menedżera konta banku.
  • Kierownik klienta otrzymuje dane, dekoduje je i porównuje ze swoimi rekordami.
  • Jeśli Twoje dane są zgodne, masz dostęp do swojego konta.

Proces odbywa się w nanosekundach, więc nie zauważysz, ile czasu zajmuje rozmowa i uścisk dłoni między przeglądarką internetową a witryną.

Szyfrowanie TLS

  • Bardziej bezpieczne szyfrowanie.
  • Ukryj dane między komputerem a witrynami.
  • Lepszy proces uzgadniania podczas negocjowania zaszyfrowanej komunikacji.
  • Żadne szyfrowanie nie jest idealne.
  • Nie zabezpiecza automatycznie DNS.
  • Nie w pełni kompatybilny ze starszymi wersjami.

szyfrowanie TLS zostało wprowadzone w celu poprawy bezpieczeństwa danych. Chociaż SSL był dobrą technologią, zabezpieczenia zmieniały się w szybkim tempie, co doprowadziło do potrzeby lepszych, bardziej aktualnych zabezpieczeń. TLS został zbudowany w oparciu o protokół SSL z ulepszeniami algorytmów, które zarządzają komunikacją i procesem uzgadniania.

Która wersja TLS jest najbardziej aktualna?

Podobnie jak w przypadku SSL, szyfrowanie TLS wciąż się poprawia. Obecna wersja TLS to 1.2, ale TLSv1.3 został opracowany, a niektóre firmy i przeglądarki używały zabezpieczeń przez krótki czas. W większości przypadków powracają do TLSv1.2, ponieważ wersja 1.3 jest wciąż udoskonalana.

Po sfinalizowaniu TLSv1.3 wprowadzi wiele ulepszeń bezpieczeństwa, w tym lepszą obsługę bardziej aktualnych typów szyfrowania. Jednak TLSv1.3 zrezygnuje również z obsługi starszych wersji protokołów SSL i innych technologii bezpieczeństwa, które nie są już wystarczająco solidne, aby zapewnić odpowiednie bezpieczeństwo i szyfrowanie danych osobowych.

Zalecana: