SSL / TLS 101 fyrir byrjendur

Ítarlegt yfirlit um dulkóðunina sem tryggir internettengingar okkar


Þótt Netscape hafi upphaflega fundið upp SSL um miðjan níunda áratug síðustu aldar varð það ekki skylda fyrir hverja vefsíðu að setja upp SSL / TLS vottorð fyrr en sumarið 2018 þegar Google byrjaði að merkja ódulkóðaðar síður “Ekki öruggt.“

Þó að Google – með leitarvél sína, Chrome vafra og Android OS – geti endurskilgreint internetið einhliða, var það ekki einn um þetta umboð. Apple, Microsoft, Mozilla og aðrir helstu hagsmunaaðilar í tækniiðnaðinum hafa allir tekið samstillta ákvörðun um að gera umboð til SSL / TLS skírteina og HTTPS.

Ástæðan fyrir því er einföld: án SSL / TLS og hæfileikinn til að tengjast á öruggan hátt í gegnum HTTPS væri öllum samskiptum milli vefsíðna og gesta þeirra skipst á texta og auðveldlega læsilegur af þriðja aðila.

Eini ókosturinn við þessa nýlegu ýtingu um alhliða dulkóðun er að það neyðir tilstreymis nýrra viðskiptavina inn á framandi markað, einn sem gerir mjög lítið til að gera sig minna ruglingslegt fyrir meðalvefsíðuna eða viðskipti eiganda.

Þessi grein mun þjóna sem víðtæk leiðarvísir um alla hluti SSL / TLS, við leggjum grunninn að því að fara yfir grunnhugtök eins og dulkóðun, HTTPS og eðli internettenginga.

Vonandi, í lokin, muntu vera viss um að velja, kaupa og útfæra TLS vottorð, og mundu hvort þú hefur einhverjar spurningar um að þú getir skilið þau eftir í athugasemdunum hér að neðan.

Grunnþættir

Byrjum á því að ræða hugtakið sem er kjarninn í þessu öllu: dulkóðun.

Dulkóðun, í einföldustu endurtekningu hennar, er fátt annað en skreið gagna – með því að nota fyrirfram ákveðinn dulmál eða lykil – svo að það sé gert ólesanlegt af neinum nema öðrum aðila með sama einkalykil.

Í gegnum söguna hefur dulkóðun einkalyklanna verið algengasta gerðin sem notuð var. Í dulkóðun einkalykla verða báðir aðilar að eiga eða að minnsta kosti skiptast á einkalykli sem hægt er að nota til að dulkóða og afkóða upplýsingar.

Snemma voru flestir dulmálsins sem studdu þessi dulmálskerfi frumstæðir, reiða sig á einfaldar skiptingar eða skipta út algengum orðum með stöfum. En með tímanum urðu dulmálin fyrir meiri áhrifum af stærðfræði og óx í flækjum.

Til dæmis, um miðjan 1600 í Frakklandi, bjó dulritunarfræðingur King Louis XIV dulmál sem var svo vel hannað að það var ekki brotið fyrr en 250 árum síðar og aðeins þá að hluta. Enn þann dag í dag eru mörg hundruð ára virði skráa í frönsku skjalasafnunum sem aldrei er hægt að hallmæla.

En þótt dulkóðun sögulega hafi verið leið til að vera leynilegar eða leynilegar hefur tilkoma internetsins tekið hugtakið almennari. Netið er alls staðar nálægur og það sinnir ýmsum mikilvægum aðgerðum. Milljónir manna nota það á hverjum degi til að fá aðgang og senda viðkvæmar upplýsingar, stjórna fjárhag sínum, eiga viðskipti við fyrirtæki – þú nefnir það.

Vandamálið er að internetið var ekki að öllu leyti hannað til að mæla það sem það hefur orðið. Snemma á dögunum þegar fræðimenn og Bandaríkjastjórn voru fyrst að þróa samskiptareglur um net var litið á internetið sem vélbúnað til frjálsrar upplýsingaskipta milli stjórnvalda og háskólastofnana. Á þeim tímapunkti var atvinnustarfsemi ólögleg á netinu. rafræn viðskipti var ekki orð sem hafði jafnvel verið fundið upp enn. Og vefsíða var meira landfræðileg hugmynd.

Svo þegar HTTP eða Hypertext Transfer Protocol var fyrst kynnt árið 1991, þá var staðreyndin að tengingarnar sem það myndaði skipst á gögnum í texta ekki vanhæfandi vandamál.

Hlutirnir eru miklu mismunandi í dag. Upplýsingarnar sem skiptast á netinu eru ekki fræðilegar rannsóknir eða frjálst upplýsingar, það eru persónugreinanlegar upplýsingar og viðkvæm gögn sem geta kostað fólk peninga eða jafnvel á sumum svæðum líf þeirra. Þetta kallaði á öruggari nálgun.

Svarið var dulkóðun.

Mál um skipti á lyklum

Eitt vandamál sem hefur sögulega hernað jafnvel bestu dulmálskerfin heldur áfram til þessa dags.

Það sem við ræddum um áðan og það sem venjulega hefur verið staðallinn fyrir dulkóðun, er dulkóðun einkalyklanna. Þetta er einnig kallað samhverf dulkóðun eða tvíhliða dulkóðun – með einkalyklum sem meðhöndla bæði dulkóðun og dulkóðunaraðgerðir sem þarf til að hafa samskipti.

Til að dulkóðun einkalykla virki verður að flytja einkalykilinn milli aðila, eða þurfa báðir aðilar að eiga sitt eigið eintak. Hvort heldur sem er, einka lykilöryggi var lykilatriði fyrir heilleika dulmálskerfisins og eins og þú getur eflaust ályktað um, skiptir lykill vandamál eins gamalt og dulkóðunin sjálf.

Síðan á áttunda áratugnum – tæknilega séð á tveimur mismunandi tímum, heilt haf í sundur – var nýtt form dulkóðunar hugleitt og lífgað: dulkóðun almenningslykils.

Dulkóðun einkalykla er tvíhliða aðgerð, samhverf, með einkalykilinn sem er bæði fær um að dulkóða og afkóða gögn, er dulkóðun almennings lykils ósamhverf. ein leið. Frekar en einn einkalykill, það er til einka-lykillapar. Opinberi lykillinn sér um dulkóðun og er, eins og nafnið gefur til kynna, aðgengilegur almenningi meðan einkalykillinn, sem sér um afkóðun, er leyndur af eiganda sínum. Með almenningslyklinum er hægt að dulkóða stykki af gögnum og senda það til eiganda lykilsins, þar sem aðeins þeir geta afkóðað það.

Flott, en hvernig er það gagnlegt?

Jæja, dulkóðun í aðra áttina er ekki tilvalin til að dulkóða internettengingar, það er svolítið erfitt að eiga samskipti þegar annar aðilinn getur aðeins dulkóðað og hinn getur aðeins afkóðað. Nei, til að dulkóða internettengingu, þá þarftu að nota samhverfa, einkalykil dulkóðun.

En hvernig skiptast þú á lyklum? Sérstaklega á netinu?

Dulkóðun opinberra lykla.

Og það, sem eimað er allt að kjarna þess, er það sem SSL / TLS snýst um: örugg lyklaskipti.

Þetta er þar sem við munum binda öll þessi hugtök saman. Ef þú vilt að samskipti þín við vefsíðu séu lokuð, þá þarftu að tengjast því á öruggan hátt. Ef þú vilt tengjast á öruggan hátt við þá vefsíðu þarftu að skiptast á samhverfum einkalyklum svo þú getir notað þá til að eiga samskipti. SSL / TLS (og PKI almennt) er bara sniðugt fyrirkomulag til að búa til og skiptast á þeim setulykli.

Með því að nota SSL / TLS geturðu sannvottað netþjóninn eða stofnunina sem þú ert að fara að tengjast og tryggt að þú skiptir öruggum einkalyklum sem þú munt nota til að dulkóða samskipti þín við tilætlaðan aðila.

Því miður hafa SSL / TLS og PKI mikið af hugtökum og hreyfanlegum hlutum sem geta auðveldlega ruglað fólk, en þeir telja þá staðreynd að þegar þú rífur burt alla stærðfræði og tæknilega hrognamál, þá er þetta bara glæsileg nútímaleg tæknilausn til aldurs -alt vandamál: lykilskipti.

Nú skulum við fara yfir nokkur lykilhugtök

Áður en við förum lengra skulum við fara yfir nokkur önnur lykilhugtök. Við kynntum nú þegar HTTP, flutningssamskiptareglur um hypertext, sem hefur verið burðarás internetsins í áratugi. En eins og við ræddum þróaðist internetið í eitthvað allt annað en það var þegar HTTP var fyrst gefið út árið 1991.

Öruggari siðareglur var þörf. Þannig HTTPS.

HTTPS, sem stundum er vísað til sem HTTP yfir TLS, notar dulkóðun til að gera gögnin sem skipst er á meðan á tengingu er ólæsileg fyrir annan en fyrirhugaðan aðila. Þetta er sérstaklega mikilvægt þegar hugað er að eðli nútíma internettengingar.

Þó að á fyrstu dögum internetsins hafi tengingin verið nokkuð bein, nú eru tengingar fluttar í gegnum tugi tækja á leið til lokaáfangastaðar. Ef þú hefur einhvern tíma viljað hagnýta sýningu á þessu skaltu opna stjórnskipunina á stýrikerfinu og slá inn skipunina „tracert geekflare.com.“

Það sem þú sérð er slóðin sem tengingin þín fór á leið á áfangastað. Allt að 30 stökk. Það þýðir að gögnin þín fara í gegnum hvert þessara tækja áður en þau komast á hvaða vefsíðu eða forrit sem þú ert að tengjast. Og ef einhver er með pakkasniffara eða einhvern hlustun uppsett á einhverju þessara tækja geta þeir stolið öllum gögnum sem send hafa verið og jafnvel notað tenginguna í sumum tilvikum.

Þetta er kallað MITM-árás.

Ef þú vilt læra um MITM árás, þá kíktu á þetta námskeið á netinu.

Það er miklu meira yfirborð til að hylja með nútíma internettengingum en mikill meirihluti fólks gerir sér grein fyrir, og það er ástæðan fyrir því að gögnin eru dulkóðuð meðan á sendingu stendur skiptir sköpum. Þú hefur enga hugmynd um hver gæti verið að hlusta eða hversu léttvægt það er auðvelt.

HTTP tenging er gerð um höfn 80. Í okkar tilgangi geturðu hugsað um höfn sem smíðar sem benda til sérþjónustu eða samskiptareglu. Hefðbundin vefsíða sem er þjónað með HTTP notar höfn 80. HTTPS notar venjulega höfn 443. Þegar vefsíða setur upp vottorð getur það vísað HTTP síðum sínum yfir á HTTPS vefsíður og vafrar notenda munu reyna að tengjast á öruggan hátt um höfn 443, þar til staðfesting er beðið.

Því miður henda hugtökin SSL / TLS, HTTPS, PKI og dulkóðun öll mikið, stundum jafnvel notuð til skiptis, svo til að hreinsa upp allt ruglandi rugl, hér er fljótleg leiðarvísir:

  • SSL – Secure Sockets Layer, upprunalega dulkóðunarferlin sem notuð eru með HTTPS
  • TLS – Samgöngulögöryggi, nýlegri dulkóðunaraðferð sem hefur komið í stað SSL
  • HTTPS – Örugg útgáfa af HTTP, notuð til að búa til tengingar við vefsíður
  • PKI – Opinber lykilinnviðgerð, vísar til alls traustlíkansins sem auðveldar dulkóðun almenningslykla

SSL / TLS virkar í tengslum við að virkja HTTPS tengingar. Og PKI vísar til alls hlutans þegar þú zoomar út.

Náði því? Ekki hafa áhyggjur, þú munt gera það.

Uppbygging almennings lykilinnviða

Nú þegar við höfum lagt grunninn látum við stækka og skoða arkitektúrinn sem notaður er við traust líkanið í hjarta SSL / TLS.

Þegar þú kemur á vefsíðu er það fyrsta sem vafrinn þinn gerir að sannreyna áreiðanleika SSL / TLS vottorðsins sem vefurinn býður honum upp á. Við munum komast að því sem gerist eftir að sannvottunin fer fram á nokkrum hlutum, en við munum byrja á því að ræða traust líkanið sem gerir allt þetta mögulegt.

Svo byrjum við á því að spyrja: hvernig veit tölvan mín hvort ég eigi að treysta tilteknu SSL / TLS skírteini?

Til að svara því verðum við að ræða PKI og hina ýmsu þætti sem gera það að verkum. Við byrjum á skírteini yfirvalda og rótarforritum.

Skírteini yfirvalda

Vottorðaryfirvöld eru samtök sem uppfylla safn af fyrirfram ákveðnum stöðlum í staðinn fyrir getu til að gefa út áreiðanleg stafræn skilríki.

Það eru heilmikið af CA, bæði ókeypis og viðskiptalegum, sem geta gefið út áreiðanleg skírteini.

Þeir verða allir að fara eftir settum stöðlum sem hafa verið ræddir og lögfestir í gegnum CA / Browser Forum, sem starfar sem eftirlitsstofnun fyrir TLS iðnaðinn. Þessir staðlar gera grein fyrir hlutum eins og:

  • Tæknilegar öryggisráðstafanir sem verða að vera til staðar
  • Góð vinnubrögð við framkvæmd löggildingar
  • Bestu starfshættir við útgáfu
  • Verklagsreglur við afturköllun og tímalínur
  • Kröfur um skírteini skógarhögg

Þessar leiðbeiningar hafa verið settar af vöfrunum í tengslum við flugmálayfirvöld. Vafrarnir gegna einstöku hlutverki í TLS vistkerfinu.

Enginn getur komist hvar sem er á internetinu án vafra sinna. Sem slíkur er það vafrinn sem mun taka við og staðfesta stafræna TLS vottorðið og skiptast síðan á lyklum við netþjóninn. Svo að þeir hafa aðalhlutverk sitt hafa þeir talsverð áhrif.

Og það er mikilvægt að hafa í huga að vafrar hafa verið hannaðir til að vera eins efins og mögulegt er. Að treysta engu. Þetta er besta leiðin til að halda notendum sínum öruggum. Svo ef vafrinn ætlar að treysta stafrænu vottorði – sem hugsanlega er hægt að misnota til notanda – þarf hann vissar tryggingar fyrir því að hver sem gaf út vottorðið sinnti áreiðanleikakönnun sinni.

Þetta er hlutverk og ábyrgð skírteiniaryfirvalda. Og vafrarnir hljóta ekki heldur mistök. Það er bókstaflegur kirkjugarður fyrrum flugfélaga sem hafa hlaupið af vöfrum og verið settir út á beitiland.

Þegar vottorðseftirlitið hefur sýnt fram á að það sé í samræmi við grunnkröfur CAB Forum og staðist allar nauðsynlegar úttektir og umsagnir getur það beðið hina ýmsu rótarforrit til að láta rótarskírteini sín bætast við.

Rótaráætlanir

Rótarforrit – þau helstu eru rekin af Apple, Microsoft, Google og Mozilla – er tækið sem hefur umsjón með og auðveldar rótarverslanir (stundum kallaðar traustverslanir), en það eru söfn af Root CA vottorðum sem búa á kerfi notanda. Enn og aftur, þessar rætur eru ótrúlega dýrmætar og ótrúlega hættulegar – þær geta gefið út traust stafræn vottorð, þegar allt kemur til alls – svo öryggi skiptir öllu máli.

Það er ástæðan fyrir því að Flugmálastjórar gefa nánast aldrei beint út af Root CA vottorðunum sjálfum. Í staðinn snúa þeir upp millirótarvottorð og nota þau til að gefa út notendur eða laufskírteini. Þeir geta einnig skilað þessum rótum til undir-CA, sem eru skírteini yfirvalda sem hafa ekki sérstaka rætur sínar en geta samt gefið út skírteini undirritaðs af milliefnum sínum.

Svo skulum við setja þetta allt saman. Þegar vefsíða vill fá TLS vottorð út, býr það til eitthvað sem kallast Certificate Signing Request (CSR) á netþjóninum sem það er hýst á. Í þessari beiðni eru allar upplýsingar sem vefsíðan vill vera með á skírteininu. Eins og þú sérð í smáatriðum, getur upplýsingamagnið verið breytilegt frá fullkomnum viðskiptaupplýsingum yfir í einfaldan auðkenni netþjónsins, en þegar CSR er lokið er það sent til skírteinisyfirvalda til útgáfu.

Áður en CA gefur út skírteinið verður CA að gera áskilinn áreiðanleikakönnun CA / Browser Forum þess og staðfesta að upplýsingarnar sem eru í CSR séu réttar. Þegar það hefur verið staðfest undirritar það vottorðið með einkalyklinum og sendir það til eiganda vefsíðunnar til uppsetningar.

Skírteini keðja

Eftir að TLS vottorðið hefur verið sett upp, hvenær sem einhver heimsækir vefinn sem þjónninn hýsir, birtir vafrinn notandanum vottorðið. Vafrinn ætlar að skoða stafrænu undirskriftina á skírteininu, þeirri sem var gerð af traustum vottunaraðilum, sem ber ábyrgð á því að allar upplýsingar sem eru í skírteininu eru réttar.

Þetta er þar sem hugtakið keðjukeðja kemur við sögu.

Vafrinn ætlar að lesa stafrænu undirskriftina og færa upp tengil á keðjuna – næst mun hann athuga stafrænu undirskriftina á millistigsvottorðinu sem einkalykillinn var notaður til að undirrita laufskírteinið. Það mun halda áfram að fylgja undirskriftum þar til annað hvort skírteinakeðjan endar á einni af traustu rótunum í rótargeymslunni sinni, eða þar til keðjunni lýkur án þess að komast að rótinni, en þá birtist villu í vafranum og tengingin mistekst.

Þetta er ástæðan fyrir því að þú getur ekki gefið út og sjálfritað skírteinin þín.

Vafrarnir munu aðeins treysta SSL / TLS vottorðum sem þeir geta keðjað aftur í rótargeymslu sína (sem þýðir að þau voru gefin út af traustum aðila). Skírteini yfirvalda er skylt að hlíta sérstökum stöðlum til að viðhalda áreiðanleika þeirra, og jafnvel þá eru vafrarnir álitnir við að treysta þeim.

Vafrar hafa engar slíkar fullvissur um sjálfritað vottorð, þess vegna ætti þeim aðeins að vera sent á innri net, á bak við eldveggi og í prófunarumhverfi.

SSL / TLS vottorðategundir og virkni

Áður en við skoðum SSL / TLS á hreyfingu skulum við tala um vottorð og ýmsar endurtekningar sem eru í boði. TLS vottorð eru það sem auðveldar TLS siðareglur og hjálpa til við að fyrirmæla skilmálum dulkóðuðu HTTPS tenginga sem vefsíða gerir.

Fyrr nefndum við að með því að setja upp TLS vottorð gerir þér kleift að stilla vefsíðuna þína til að koma á HTTPS tengingum um tengi 443. Það virkar einnig sem eins konar nafnmerki fyrir vefinn eða netþjóninn sem þú ert í samskiptum við. Með því að snúa aftur til þeirrar hugmyndar að SSL / TLS og PKI séu í hjarta sínu öll stórkostleg form af öruggum lyklaskiptum, þá hjálpar SSL / TLS vottorðið að tilkynna vafranum hver hann er að senda fundarlykilinn til – hver aðilinn í hinum endanum á tengingin er.

Og þegar þú sundurliðar ýmsar endurtekningar SSL / TLS vottorða, þá er það viðeigandi að hafa í huga. Vottorð eru mismunandi varðandi virkni og staðfestingarstig. Eða til að segja það á annan hátt, þeir eru mismunandi eftir:

  • Hve mörg persónuskilríki á að fullyrða
  • Hvaða endapunktar til að fullyrða um sjálfsmynd

Að svara þessum tveimur spurningum mun gefa þér nokkuð skýra vísbendingu um hvaða tegund skírteina þú þarft.

Hve mörg auðkenni á að fullyrða

Það eru þrjú mismunandi staðfestingarstig í boði með SSL / TLS vottorðum og þau eru mismunandi eftir því hversu miklar persónuupplýsingar vefsíðan þín vill fullyrða.

  • SSL vottorð léns – Staðfestu auðkenni netþjónsins
  • SSL vottorð stofnunar – Gakktu úr skugga um að hver stofnun sé að hluta
  • Útvíkkuð SSL vottorð – Gakktu úr skugga um fullkomið auðkenni stofnunarinnar

SSL vottorð léns er lang vinsælast vegna verðs þeirra og hraðans sem hægt er að gefa þau út. A DV SSL / TLS vottorð krefjast einfaldrar lénseftirlitsathugunar, sem hægt er að framkvæma á mismunandi vegu, en um leið og það er hægt að gefa út skírteinið. Þú getur líka fengið nokkrar 30 daga og 90 daga útgáfur af þessum ókeypis, sem eflaust hefur bætt við markaðshlutdeild þeirra.

Gallinn er að DV SSL vottorð fullyrða um lágmarks sjálfsmynd. Og í ljósi þess að næstum helmingur allra vefveiða sem nú eru með phishing hafa DV SSL vottorð sett upp á þá kaupa þeir þig ekki endilega mikið af því að treysta.

SSL vottorð stofnana eru upphafleg tegund SSL / TLS vottorðs. Þeir eru líka eina tegund SSL vottorðs sem getur tryggt sér IP-tölu í kjölfar ákvörðunar CAB Forum 2016 um að ógilda öll SSL vottorð innri netsins. Löggilding stofnana krefst léttra viðskiptaáætlana og getur venjulega verið gefin út innan dags eða tveggja – stundum hraðar. OV SSL vottorð fullyrða einhverjar skipulagsupplýsingar, en netnotandi þyrfti að smella á hengilásartáknið og leita að þeim. Nú á dögum sérðu mikið af OV SSL vottorðum á stóru fyrirtækis- og fyrirtækjanetum fyrir tengingar sem eru gerðar á bak við eldveggi, til dæmis.

Vegna þess að hvorki DV né OV SSL vottorð fullyrða að þeir séu nægir til að fullnægja flestum vöfrum fá þeir hlutlausa meðferð.

Útvíkkun SSL skírteina er langmest umdeild þar sem sumum í tæknisamfélaginu finnst meira þarf að gera til að styrkja staðfestinguna sem þeir eru háðir. En, EV SSL fullyrðir hámarks sjálfsmynd. Til að ljúka útvíkkuðum löggildingum setur skírteini yfirvaldið samtökin í gegnum strangt skoðunarferli sem getur tekið yfir viku í sumum tilvikum.

En ávinningurinn er óumdeilanlegur: vegna þess að hann fullyrðir að næg skilríki fái vefsíðu með EV SSL vottorð einstaka vaframeðferð, þar með talið að nafn þess sé sýnt á veffangastiku vafrans..

Það er engin önnur leið til að ná þessu og þú getur ekki falsað einn – EV-vistfangið er einn öflugasti sjónrænn vísir sem við höfum í dag.

Hvaða endapunktar til að fullyrða um Identity

Hin leiðin sem SSL / TLS vottorð eru mismunandi er varðandi virkni. Vefsíður hafa þróast töluvert síðan á fyrstu dögum internetsins þar sem ýmis fyrirtæki beita vefjum á mismunandi vegu. Sum eru með mörg lén fyrir mismunandi lóðrétt fyrirtæki; aðrir nota undir lén fyrir margar aðgerðir og vefforrit. Sumir nota báða.

Sama hvað samhengið er, þá er SSL / TLS vottorð sem getur hjálpað til við að tryggja það.

Eitt lén

Aðalvefsíðan og venjulega SSL vottorðið eru aðeins eitt lén. Flest nútímaleg SSL / TLS vottorð munu tryggja bæði WWW og ekki WWW útgáfur af því ríki, en það er takmarkað við eitt lén. Þú getur bera saman SSL vottorð hér.

Margþætt lén

Vottorð fyrir mörg lén eða sameinað samskiptaskírteini (þegar um er að ræða Microsoft Exchange og Office Communications netþjóna) eru einnig til til að veita stofnunum möguleika á að dulkóða mörg lén með einu vottorði. Þetta getur verið aðlaðandi valkostur þar sem það sparar peninga og það gerir stjórnun skírteinanna (fyrningar / endurnýjun) mun einfaldari.

Multi-Domain og UCC vottorð nota SAN, efnið Alternative Name reitinn í CSR, til að bæta við fleiri lénum í vottorðið. Flestir CA leyfa allt að 250 mismunandi SANs á einu vottorði. Og flest Multi-Domain vottorð eru með 2-4 ókeypis SAN-skjöl og afgangurinn er hægt að kaupa eftir þörfum.

Wildcard SSL vottorð

Wildcard SSL vottorð eru afar gagnleg vottunargerð vegna þess að þau geta dulkóðað ótakmarkaðan fjölda undir léns á sama stigi slóðarinnar. Til dæmis, ef þú ert með vefsíðu sem notar undirlén eins og:

  • app.website.com
  • portal.website.com
  • user.website.com

Þú getur dulkóða alla með sama Wildcard vottorð með því að nota stjörnu í FQDN reit CSR: * .website.com

Nú er hægt að tryggja hvaða undir lén, jafnvel þau sem þú hefur ekki bætt við ennþá, með því vottorði.

Þó eru tvö galla við Wildcard vottorð. Hið fyrsta er að með því að nota sama opinbera lykil yfir einhverja endapunkta ertu viðkvæmari fyrir ákveðnum hetjudáðum eins og árásum á Bleichenbacher.

Hitt er að það er enginn EV Wildcard valkostur. Vegna opins eðlis Wildcard virkni eru vafrarnir ekki í lagi með að fela þeim það traust. Ef þú vilt fá EV Address Address á undirlénunum þínum þarftu að dulkóða þau fyrir sig eða nota EV Multi-Domain vottorð.

Villikort margra léna

Tiltölulega ný viðbót við SSL / TLS vistkerfið, Multi-Domain Wildcard getur dulkóðað allt að 250 mismunandi lén, en það getur líka notað stjörnu í SANs reitunum, sem gerir þér einnig kleift að dulkóða 250 mismunandi lén OG öll þeirra tilheyrandi fyrst -stig undirlén.

Annað notkunaratriði fyrir Multi-Domain Wildcard er sem multi-level Wildcard, þar sem það getur dulkóða undir lén á mörgum stigum slóðarinnar (venjulegt Wildcard getur aðeins dulkóðað þau á einu stigi).

Vegna Wildcard virkni eru mörg léns villikort ekki fáanleg í EV.

SSL / TLS í hreyfingu

Nú þegar við höfum fjallað um öll mikilvæg hugtök sem gera upp SSL / TLS og PKI, skulum við setja þetta allt saman og sjá það á hreyfingu.

Löggilding og útgáfa

Byrjum alla leið í byrjun með vefsíðu sem kaupir SSL / TLS vottorð frá CA eða endursöluaðila. Í kjölfar kaupanna býr skipulagssambandið sem sér um skírteinisöflunina til að fá skírteini undirritunarbeiðni á netþjóninum þar sem vottorðið verður sett upp (miðlarinn sem hýsir vefsíðuna).

Samhliða samfélagsábyrgðinni mun netþjóninn einnig búa til opinbert / einkalykilpar og vista einkalykilinn á staðnum. Þegar Flugmálastjórnarmaður fær CSR og Public Key framkvæmir það nauðsynlegar staðfestingarskref til að tryggja að allar upplýsingar sem eru í skírteininu séu réttar. Almennt felur þetta í sér að vottorð fyrirtækja (ekki DV) er að fletta upp skráningarupplýsingum stofnunarinnar og opinberum gögnum í gagnagrunnum stjórnvalda.

Þegar fullgildingu er lokið notar flugmálayfirvöld einn af einkalyklunum úr einu af útgefnu vottorðum sínum, venjulega millirót, og undirritar skírteinið áður en það er skilað til eiganda vefsins.

Nú getur eigandi vefsíðunnar tekið nýútgefið SSL / TLS vottorð, sett það upp á netþjóninum sínum og stillt vefsíðuna til að gera HTTPS tengingar í höfn 443 (með 301 tilvísunum til að senda umferð frá HTTP síðunum sem fyrir voru til nýrra HTTPS hliðstæðna).

Auðkenning og SSL-handabandið

Nú þegar SSL / TLS vottorðið er sett upp og vefsíðan hefur verið stillt fyrir HTTPS skulum við skoða hvernig það mun auðvelda dulkóðuð tengsl við gesti vefsins.

Þegar hann kemur á vefsíðuna mun netþjóninn kynna SSL / TLS vottorðið í vafra notandans. Vafri notandans framkvæmir síðan röð eftirlits.

Í fyrsta lagi mun það sannvotta skírteinið með því að skoða stafræna undirskrift þess og fylgja vottorðakeðjunni. Það mun einnig ganga úr skugga um að skírteinið sé ekki útrunnið og athuga skjöl um skírteini gagnsæis (CRLs) og vottunarlista. Að því tilskildu að keðjan leiði aftur að einni af rótum í traustvöruverslun kerfisins og að hún sé rétt mun vafrinn treysta vottorðinu.

Núna er það handabandi tími.

SSL / TLS handabandið er röð skrefa þar sem viðskiptavinurinn (notandi) og netþjóninn (vefsíða) semja um breytur öruggrar tengingar, búa til og skiptast síðan á samhverfar lotur.

Í fyrsta lagi ætla þeir að ákveða dulmál föruneyti. Dulmál föruneyti er hópurinn af reikniritum og dulmálum sem notaðir verða fyrir tenginguna. SSL / TLS vottorðið býður upp á lista yfir dulritsvítur sem netþjónninn styður. Almennt inniheldur dulkóðunarsvíta dulkóðunaralgrími fyrir almenna lykil, lykil kynslóðar reiknirit, sannprófunarskilaboð og samhverf eða dulkóðunaralgrit – þó að það hafi verið betrumbætt í TLS 1.3.

Þegar listinn yfir stuðlaða dulmál er kynntur mun viðskiptavinurinn velja ánægjulegan og senda hann við netþjóninn. Þaðan mun viðskiptavinurinn búa til samhverfan setulykil, dulkóða hann með almenningslyklinum og senda hann síðan á netþjóninn, sem býr yfir einkalyklinum sem þarf til að hallmæla setulykilinn.

Þegar báðir aðilar hafa fengið afrit af fundartakkanum geta samskipti hafist.

Og það er SSL / TLS.

Þú getur séð hvernig öll hugtökin sem við fórum í gegnum hafa samskipti sín á milli til að búa til fágað en samt glæsilegt kerfi til að tryggja internettengingar. Við notum dulritun opinberra lykla til að skiptast á fundartakkana á öruggan hátt og við munum eiga samskipti við. Hægt er að treysta skírteinunum sem fullyrða um netþjón eða netskipulag vegna þeirra innviða sem við höfum til staðar á milli hinna ýmsu flugmálayfirvalda, vafra og rótarforrita.

Og samskipti eiga sér stað sem afleiðing af samhverfri, einkalykil dulkóðun sem er upprunnin úr klassískum dulkóðakerfum fornaldar.

Það eru mikið af hreyfanlegum hlutum, en þegar þú hægir á þér og skilur þá alla fyrir sig, þá er miklu auðveldara að sjá hvernig þetta virkar allt saman.

Áður en þú ferð, skulum við klára nokkur SSL / TLS tengd hreyfing sem þú getur gert eftir uppsetningu / stillingu til að fá sem mest út úr fjárfestingunni.

Eftir SSL / TLS – Fá sem mest út úr útfærslunni

Með því að hafa vottorð sett upp og hafa vefsíðuna þína rétt stillta þýðir það ekki að vefsíðan þín sé örugg. TLS er aðeins einn hluti af víðtækari heildrænni netverndarstefnu. En mikilvægur þáttur, engu að síður. Við skulum fjalla um nokkur atriði sem þú getur gert til að tryggja að þú fáir sem mest út úr framkvæmdinni.

Slökkva á stuðningi netþjóns fyrir gamlar samskiptareglur

Tvöfaldur aftur til samræðunnar sem við áttum áður um Cipher Suites, hluti af því að stilla netþjóninn þinn er að ákveða hvaða dulmál svíta og SSL / TLS útgáfur styðja. Það er brýnt að þú slökkvi á stuðningi við eldri SSL / TLS útgáfur sem og sérstakar reiknirit til að koma í veg fyrir varnarleysi fyrir nokkrum þekktum hetjudáð.

SSL 2.0 og SSL 3.0 eru bæði eldri en 20 ára. Besta starfshættan var að afskrifa stuðning við þá fyrir mörgum árum, en enn þann dag í dag leyfa um 7% af 100.000 efstu Alexa enn þeim. Þetta er hættulegt vegna þess að það afhjúpar þig fyrir SSL nektardansmíð og niðurfellingu árása eins og POODLE.

TLS 1.0 og TLS 1.1 eru líka á lántíma.

Helstu tæknifyrirtækin, Apple, Microsoft, Google og Mozilla, tilkynntu í haust sameiginlega tilkynningu um að þau muni afskrifa stuðning við TLS 1.0 og 1.1 í byrjun árs 2020.

Siðareglur útgáfunnar eru næmar fyrir varnarleysi eins og POODLE, FREAK, BEAST og CRIME (þetta eru allir skammstöfun). TLS 1.2 hefur verið úti í tíu ár og ætti að vera staðalinn. Lokað var um TLS 1.3 síðastliðið sumar og ættleiðingin hefur verið að færast stöðugt síðan.

Að auki eru til sérstakar reiknirit sem ekki ætti að nota. DES, til dæmis, er hægt að brjóta á nokkrum klukkustundum. RC4 er viðkvæmari en einu sinni var talið og hefur þegar verið bannað samkvæmt gagnaöryggisstöðlum greiðslukortaiðnaðarins. Og að lokum, miðað við fréttir af nýlegum hetjudáð, er ekki ráðlegt að nota RSA til lykilaskipta lengur.

Leiðbeinandi reiknirit / dulmál:

  • Lykilskipti: Elliptic Curve Diffie-Helman (ECDH)
  • Auðkenning: Elliptic Curve Stafræn undirskrift reiknirit (ECDSA)
  • Samhverf / dulkóðun: AES 256 í Galois teljaraham (AES256-GCM)
  • MAC Reiknirit: SHA-2 (SHA384)

Alltaf á SSL

Í fortíðinni hafa vefsíður stundum aðeins flutt vefsíðurnar sem safna upplýsingum til HTTPS, meðan þær þjóna afganginum af vefnum með HTTP. Þetta er slæm framkvæmd.

Til viðbótar við þá staðreynd að Google mun merkja þessar síður „Ekki öruggar“ ertu einnig mögulega að láta gesti vefsvæðisins í hættu með því að láta vafra sína hoppa fram og til baka á milli dulkóðuðra síðna og HTTP.

Þú ættir að vera að stilla alla vefsíðuna þína fyrir HTTPS. Þetta er kallað Always-on SSL. Þegar öllu er á botninn hvolft er ekki eins og þú hafir borgað með síðunni, SSL / TLS vottorðið þitt getur dulkóðað síðuna þína. Svo gera það svo.

Setja upp heimildarskírteini fyrir heimildarskírteini (CAA)

Ein mikilvægasta áhættan sem stafar af stafrænum vottorðum, almennt, er misgóð útgáfa. Ef annar aðili en þú færð út SSL / TLS vottorð fyrir vefsíðuna þína geta þeir í raun haft eftir þér og valdið alls kyns vandamálum.

Flugmálastjórn Flugmálar hjálpa til við að draga úr þessari áhættu með því að takmarka hvað skírteini yfirvalda geta gefið út stafræn vottorð fyrir vefsíðuna þína. CA / Browser Forum þarf að yfirfara skírteini yfirvalda til að athuga skrár CAA áður en þeir gefa út eitthvert skírteini. Ef CA hefur ekki heimild til að gefa út fyrir þá síðu, getur það ekki. Með því að gera það væri litið svo á að hún væri gefin út og fái reiði vafrasamfélagsins.

Það er tiltölulega auðvelt að bæta við CAA-skrá, það er einföld DNS-skrá sem hægt er að bæta við í viðmóti flestra hýsingarpalla. Þú getur takmarkað CAs sem kunna að gefa út fyrir lénið þitt, svo og hvort heimilt sé að gefa út Wildcard vottorð fyrir það líka.

Bættu vefsíðunni þinni við HSTS forhlaðalistann

HTTP strangt flutningsöryggi, eða HSTS, er HTTP haus sem neyðir vafra aðeins til að gera HTTPS tengingar við tiltekið vefsvæði. Á þennan hátt, jafnvel þó að vefnotandinn reyni að fara í HTTP útgáfu af síðunni, þá endar hann aðeins með HTTPS útgáfuna. Það er mikilvægt vegna þess að það lokar glugganum á nokkrar þekktar hetjudáð, eins og niðurfellingar árásir og ræna kökur.

Því miður er pínulítill árásarvektor eftir með HSTS, þess vegna ættir þú að bæta vefsíðunni þinni við forhleðslalistann. Venjulega þegar gestur kemur á vefsíðuna þína mun vafrinn þeirra hala niður HTTP hausnum og hlíta honum svo lengi sem stefnan hefur verið stillt til að endast. En í þessari fyrstu heimsókn, áður en hausinn hefur borist, er enn örlítið opnun fyrir árásarmann.

HSTS forhleðslulisti yfir skrár er rekinn af Google og einhver afbrigði þeirra notuð af öllum helstu vöfrum. Þessir vafrar vita aðeins að tengjast HTTPS við hvaða vefsíðu sem er á listanum – jafnvel þó að hann hafi aldrei verið heimsóttur þar áður. Það getur tekið viku eða tvær að vefurinn þinn birtist á listanum vegna þess að uppfærslum á listanum er ýtt út í tengslum við útgáfuáætlun vafra.

SSL / TLS Algengar spurningar

Hvað er X.509 vottorð?

X.509 vísar til gerðar stafræns vottorðs sem notuð er með SSL / TLS og öðrum gerðum PKI. X.509 er almennur lykill dulkóðunarstaðall. Stundum sérðu að fyrirtæki nota X.509 vottorð í stað „stafræns vottorðs“ eða „PKI vottorðs.“

Af hverju fyrnast SSL / TLS vottorð?

Það eru tvær ástæður fyrir þessu.

Í fyrsta lagi er að internetið er stöðugt að breytast, vefsíður koma og vefsíður fara. Og í ljósi þess hve viðkvæmir vafrarnir eru að treysta þessum skilríkjum í fyrsta lagi, þá vilja þeir vita að vefsíðurnar, sem framvísa vottorðunum, gangast undir reglulega staðfestingu. Það er ekki frábrugðið því hvernig þú þarft stundum að skrá þig inn til að uppfæra upplýsingarnar um ökuskírteinið þitt.

Hin ástæðan er tæknilegri. Það er erfiðara að dreifa uppfærslum og tæknilegum breytingum þegar vottorð renna ekki út í 3-5 ár. Þó að skírteini renna út á 24 mánaða fresti er það lengsta sem einhver skírteini er úrelt í tvö ár. Árið 2017 var hámarksgildið lækkað úr þremur árum í tvö. Líklega verður það stytt í 12 mánuði innan skamms.

Hvernig endurnýjarðu SSL / TLS vottorð?

Endurnýjun getur verið svolítið rangt fyrir þig vegna þess að þú ert að skipta um gamla skírteinið fyrir nýútgefið skírteini. Með því að gera þetta reglulega geturðu fylgst með nýjum framförum með dulkóðunartækni og tryggir að staðfestingarupplýsingar þínar haldist uppfærðar. Flugmálastjórar geta aðeins notað löggildingarupplýsingarnar sem upphaflega voru afhentar svo lengi áður en grunnkröfur neyða þær til að endurmeta þær.

Þegar þú ert að endurnýja geturðu annað hvort haldið sömu vottunargerð og þú varst áður, eða þú getur farið með eitthvað nýtt, þú getur jafnvel breytt CA. Stóri hluturinn er hversu mikill tími er eftir á skilríkinu sem rennur út – þú getur haft allt að þrjá mánuði. Svo framarlega sem þú endurnýjar áður en vottorðið rennur út geturðu haft yfir allan þann tíma sem eftir er og notað aftur allar sannprófunarupplýsingar sem ekki er tímasettur frá síðustu staðfestingu. Ef þú lætur það renna út byrjarðu frá grunni.

Hvað er HTTPS skoðun?

A einhver fjöldi af stærri fyrirtækjum með stærri net eins og að hafa sýnileika yfir umferð sinni. Í því sambandi er HTTPS tvíeggjað sverð. Það verndar friðhelgi fólks en það getur líka hjálpað netbrotamönnum að fela sig líka. A einhver fjöldi af stofnunum munu afkóða HTTPS umferð sína við jaðartæki eða millikassa og senda þá annað hvort með látlausum hætti á bak við eldvegginn eða dulkóða hana og senda hana á leiðinni. Þegar þú dulkóðar ekki umferðina aftur heitir það SSL-uppsögn. Þegar þú dulkóðar aftur kallast það SSL brú.

Hvað er SSL offload?

SSL offloading er önnur fyrirtæki framkvæmd. Að stærðargráðu, með því að framkvæma þúsundir handabands og svo dulkóða og dulkóða öll þessi gögn geta skattlagt auðlindir netsins. Svo að mikið af stærri netum mun SSL virka í annað tæki svo að forritamiðlarinn geti einbeitt sér að grunnverkefnum sínum. Þetta er stundum kallað burðarjafnvægi.

Af hverju sendi CA minn millikvottorð?

Manstu eftir því þegar við ræddum um rótarforrit?

Mjög OS er með rótargeymslu sem það notar til að gera PKI traustdóma. En flugmálayfirvöld gefa ekki út notendaskírteini af þessum rótum af ótta við hvað myndi gerast ef einhvern tíma þyrfti að afturkalla það. Í staðinn snúa þeir upp millirætur og gefa frá sér þær. Vandamálið er að þær milliverkanir eru ekki búsettar í traustverslun kerfisins.

Þannig að ef vefsíðan er ekki með milliverkunarskírteinið ásamt SSL / TLS vottorðinu, munu margir vafrar ekki geta klárað vottunarkeðjuna og munu gefa út viðvörun. Sumir vafrar skila skyndiskírteini í skyndiminni en það er samt talið vera best að setja einhver milliefni ásamt laufskírteini þínu.

Hvaða skjöl þarf ég fyrir SSL vottorð um framlengingu?

Í flestum tilvikum mun skírteini yfirvaldsins, sem framkvæma útvíkkaða löggildingu, fyrst reyna að fá aðgang að upplýsingunum með opinberu aðgengilegu „stjórnvaldi“.

En á sumum stöðum gæti þetta ekki verið mögulegt. Það eru nokkur atriði sem geta hjálpað til við að flýta fyrir staðfestingunni. Þó að fjöldi löggildingareftirlits sem faglegur álitsbréf geti fullnægt hafi verið minnkaður undanfarið, þá getur það samt hjálpað talsvert að hafa lögmann eða endurskoðanda með gott merki.

Að auki getur þú framvísað viðskiptabréfum sem gefin eru út af ríkisstjórninni eða „Sönnun fyrir rétti“ skjal sem veitir fyrirtækjum þínum rétt til að eiga viðskipti undir nafninu sem skráð er. Nokkur dæmi um þessi skjöl eru:

  • Samþykktir
  • Vottorð um myndun
  • Viðskipta- / söluaðili / kaupmannsleyfi
  • Skipulagsgögn
  • Samstarfssamningar
  • Skráning viðskipta eða ávísað nafn
  • Registro Mercantil

Í lokun

Ég vona að þetta gefi þér hugmynd um SSL / TLS. Ef þú hefur áhuga á að læra meira, þá myndi ég mæla með að taka þetta námskeið á netinu.

Þessari færslu var stuðlað af Patrick Nohe, ritstjóra Hashed Out af SSL versluninni, blogg sem fjallar um net- og öryggisfréttir og þróun.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map