SSL / TLS 101 დამწყებთათვის

სიღრმისეული სახე დაშიფვრის შესახებ, რომელიც უზრუნველყოფს ჩვენს ინტერნეტ კავშირებს


მიუხედავად იმისა, რომ Netscape- მა თავდაპირველად გამოიგონა SSL 90-იანი წლების შუა ხანებში, არ გახდა აუცილებელი ყველა ვებსაიტზე დააყენოთ SSL / TLS სერთიფიკატი 2018 წლის ზაფხულამდე, როდესაც Google- მა დაიწყო დაუკითხავი საიტების აღნიშვნა ”უსაფრთხო არ არის.”

მიუხედავად იმისა, რომ Google– მა თავისი საძიებო სისტემით, Chrome ბრაუზერით და Android OS– ით შეძლო ინტერნეტით ცალმხრივად განისაზღვროს ინტერნეტი, იგი მხოლოდ ამ მანდატით არ აღმოჩნდა. Apple- მა, Microsoft- მა, Mozilla- მა და ტექნიკური ინდუსტრიის სხვა მნიშვნელოვანმა დაინტერესებულმა პირებმა მიიღეს შეთანხმებული გადაწყვეტილება SSL / TLS სერთიფიკატებისა და HTTPS- ის დანიშვნის შესახებ..

ამის მიზეზი მარტივია: SSL / TLS გარეშე და HTTPS- ით უსაფრთხოდ დაკავშირების შესაძლებლობა, ვებსაიტებსა და მათ ვიზიტორებს შორის მთელი კომუნიკაცია გაცვალეს მარტივი ტექსტით და ადვილად იკითხება მესამე მხარის მიერ.

საყოველთაო დაშიფვრის ამ ბოლოდროინდელ ერთადერთი უარყოფითი მხარე ის არის, რომ აიძულებს ახალი მომხმარებლების შემოდინებას უცნობ ბაზარზე, რომელიც ძალიან ცოტას აკეთებს იმისათვის, რომ საშუალო ვებგვერდის ან ბიზნესის მფლობელისთვის ნაკლებად დამაბნეველი იყოს..

ეს სტატია იქნება SSL / TLS ყველაფრის ყოვლისმომცველი სახელმძღვანელო, ჩვენ საფუძველს დავადგენთ ძირითადი ცნებები, როგორიცაა შიფრაცია, HTTPS და ინტერნეტ კავშირების ბუნება..

იმედია, საბოლოო ჯამში, თქვენ დარწმუნებული იქნებით TLS სერთიფიკატის არჩევის, შეძენის და განხორციელების შესახებ და გახსოვდეთ, თუ თქვენ გაქვთ რაიმე შეკითხვა, რომლის გამოც შეგიძლიათ დატოვოთ ისინი ქვემოთ მოცემულ კომენტარებში.

Contents

ფუნდამენტური ელემენტები

მოდით განვიხილოთ კონცეფციის განხილვა, რომელიც მთელი ამ ყველაფრის შუაშია: დაშიფვრა.

დაშიფვრა, მისი ყველაზე მკაფიო განმეორებით, მონაცემების გადანაწილებიდან ცოტა მეტია – წინასწარ განსაზღვრული შიფრის ან გასაღების გამოყენებით – ისე, რომ ის სხვის მიერ წაკითხული შეიძლება იყოს წაკითხული, იგივე კერძო კლავიში სხვა მხარის გარდა..

მთელი ისტორიის განმავლობაში, პირადი კლავიშის დაშიფვრა ყველაზე გავრცელებული მოდელია გამოყენებული. პირადი კლავიშის დაშიფვრაში, ორივე მხარე უნდა ფლობდეს ან მინიმუმ გაცვალოს პირადი კლავიში, რომელიც შეიძლება გამოყენებულ იქნას როგორც ინფორმაციის დაშიფვრის, ისე დაშიფვრის მიზნით..

დასაწყისშივე, ამ კრიპტოვალუტების ქვეშ მყოფი შიფრების უმეტესობა პრიმიტიული იყო, უბრალო ჩანაცვლებებს ეყრდნობოდა ან ჩვეულებრივი სიტყვების ჩანაცვლებას ხდიდა სიმბოლოებით. დროთა განმავლობაში შიფრები უფრო მეტ გავლენას ახდენდნენ მათემატიკაზე და იზრდებოდნენ სირთულეებში.

მაგალითად, საფრანგეთის 1600-იანი წლების შუა ხანებში, მეფე ლუი XIV- ის კრიპტოგრაფმა შექმნა შიფრი, რომელიც ისე კარგად იყო შემუშავებული, რომ იგი 250 წლის შემდეგ არ გატეხილიყო და მხოლოდ ამის შემდეგ ნაწილობრივ. დღემდე საფრანგეთის არქივებში ასობით წლიანი ღირებულების ჩანაწერია, რომლებიც შესაძლოა არასოდეს გაშიფრული იყოს.

მიუხედავად იმისა, რომ ისტორიულად დაშიფვრა იყო ფარული ან საიდუმლოებას, ინტერნეტით განვითარებამ კონცეფცია უფრო აქტუალური მიიღო. ინტერნეტი ყველგანმავალია, იგი მნიშვნელოვან ფუნქციებს ასრულებს. ყოველდღიურად მილიარდობით ადამიანი იყენებს მას მგრძნობიარე ინფორმაციის მისაღებად და გაგზავნისთვის, მათი ფინანსების მართვისთვის, ბიზნესთან ურთიერთობისთვის. თქვენ ასახელებთ მას.

პრობლემა ის არის, რომ ინტერნეტი არ იყო შექმნილი მთლიანად იმისთვის, რომ შეაფასოს ის, რაც გახდა. ადრე, იმ დღეებში, როდესაც აკადემიამ და აშშ-ს მთავრობამ ქსელური პროტოკოლები შეიმუშავეს, ინტერნეტი მხოლოდ მთავრობასა და აკადემიურ ინსტიტუტებს შორის ინფორმაციის თავისუფალ გაცვლის მექანიზმად აღიქმებოდა. ამ ეტაპზე კომერციული საქმიანობა არალეგალური იყო ინტერნეტით. eCommerce არ იყო სიტყვა, რომელიც ჯერ კიდევ გამოგონილი იყო. ხოლო ვებ – გვერდი უფრო გეოგრაფიული ცნება იყო.

ასე რომ, როდესაც HTTP ან ჰიპერტექსტის გადაცემის პროტოკოლი პირველად შემოიღეს 1991 წელს, ის ფაქტი, რომ მის მიერ შექმნილ კავშირებმა გაცვალეს მონაცემები უბრალო ტექსტში, არ იყო დისკვალიფიკაციის პრობლემა.

დღეს ყველაფერი ბევრად განსხვავებულია. ინფორმაციის გაცვლა არ არის აკადემიური კვლევა ან თავისუფლად ხელმისაწვდომი ინფორმაცია, ეს არის პირადად იდენტიფიცირებადი ინფორმაცია და მგრძნობიარე მონაცემები, რომლებიც შეიძლება ფულის დახარჯვა ხალხისთვის ან თუნდაც, ზოგიერთ რეგიონში, მათი ცხოვრებისთვის. ეს უფრო უსაფრთხო მიდგომას მოითხოვდა.

პასუხი დაშიფვრა იყო.

გასაღებების გაცვლის საკითხი

ერთი პრობლემა, რომელიც ისტორიულად აიღო საუკეთესო კრიპტოვალუტის სისტემებშიც კი დღემდე გრძელდება.

ის, რაც ადრე განვიხილეთ და ის, რაც ტრადიციულად დაშიფვრის სტანდარტი იყო, არის კერძო გასაღები დაშიფვრა. ამას ასევე უწოდებენ სიმეტრიულ დაშიფვრას ან ორმხრივ დაშიფვრას — კერძო კლავიშებით, რომლებიც ახორციელებენ დაშიფვრის და დაშიფვრის ფუნქციებს, რომლებიც საჭიროა კომუნიკაციისთვის..

პირადი კლავიშის დაშიფვრის შესაქმნელად, პირადი გასაღები უნდა გადავიდეს მხარეებს შორის, ან ორივე მხარეს უნდა ჰქონდეს საკუთარი ასლი. ყოველ შემთხვევაში, საკვანძო უსაფრთხოების დაცვა გადამწყვეტი იყო კრიპტოვალუტის მთლიანობისთვის და, რა თქმა უნდა გაკვირვებული ხართ, საკვანძო გაცვლა არის პრობლემა ისეთივე დაშიფრული, როგორც თავად კოდირება.

შემდეგ, 1970-იან წლებში – ტექნიკურად ორი განსხვავებული დრო, მთელი ოკეანე – დაშორდა დაშიფვრის ახალი ფორმა კონცეპტუალიზაციას და გამოიტანა სიცოცხლე: საჯარო გასაღების დაშიფვრა.

იმის გამო, რომ პირადი კლავიშის დაშიფვრა არის ორმხრივი ფუნქცია, სიმეტრიული, რომლის საშუალებითაც შესაძლებელია პირადი კლავიშის დაშიფვრა და მონაცემების გაშიფვრა, საჯარო კლავიში დაშიფვრა ასიმეტრიულია; ერთი გზა. კერძო პირადი გასაღების ნაცვლად, საჯარო და კერძო გასაღების წყვილი არსებობს. საჯარო გასაღები ასრულებს დაშიფვრას და, როგორც სახელი გულისხმობს, საჯაროდ ხელმისაწვდომია, ხოლო პირადი კლავიში, რომლის გაშიფვრას ასრულებს, მისი მფლობელის საიდუმლოებას ინახავს. საჯარო კლავიშის გამოყენებით, შეგიძლიათ დაშიფვროთ მონაცემების ნაწილი და გაგზავნოთ იგი კლავიშის მფლობელს, სადაც მხოლოდ მათ შეეძლებათ მისი გაშიფვრა.

შესანიშნავია, მაგრამ როგორ არის ეს სასარგებლო?

დაუშვებელია, ცალმხრივი დაშიფვრა არ არის იდეალური ინტერნეტ კავშირების დაშიფვრისთვის, კომუნიკაცია ერთგვარი რთულია, როდესაც ერთ მხარეს მხოლოდ დაშიფვრა შეუძლია, ხოლო მეორეს მხოლოდ დაშიფვრა შეუძლია. არა, ინტერნეტ კავშირის დასადგენად, საჭიროა სიმეტრიული, პირადი კლავიშის დაშიფვრა.

მაგრამ როგორ გაცვლით კლავიშებს? განსაკუთრებით ონლაინ რეჟიმში?

საჯარო გასაღების დაშიფვრა.

რაც შეეხება SSL / TLS- ს, ეს არის ის, რაც გამოკვეთილია მისი არსებით მდგომარეობიდან: უსაფრთხო საკვანძო გაცვლა.

აქ ჩვენ დავუკავშირდებით ყველა ამ ცნებას ერთად. თუ გსურთ თქვენი კომუნიკაცია ვებსაიტთან კერძო იყოს, მაშინ მას უსაფრთხოდ უნდა დაუკავშირდეთ მას. თუ გსურთ უზრუნველყოთ უსაფრთხო კავშირი ამ ვებსაიტთან, მაშინ უნდა გაცვალოთ სიმეტრიული პირადი კლავიშები, რათა მათ კომუნიკაციისთვის გამოიყენოთ. SSL / TLS (და PKI ზოგადად) მხოლოდ ლამაზი მექანიზმია ამ სესიის გასაღების შექმნისა და გაცვლისთვის.

SSL / TLS- ის გამოყენებით, თქვენ შეგიძლიათ ავთენტიფიკაცია გაუკეთოთ სერვერს ან ორგანიზაციას, რომელთანაც აპირებთ დაკავშირებას და უზრუნველყოთ, რომ უსაფრთხოდ გაცვალეთ პირადი კლავიშები, რომელსაც გამოიყენებთ, თქვენი კომუნიკაციის დაშიფვრის მიზნით..

სამწუხაროდ, SSL / TLS და PKI– ს ბევრი ტერმინოლოგია და მოძრავი ნაწილები აქვთ, რაც ადამიანებს მარტივად შეეძლებათ დაბნეულობა, მაგრამ მათ სჯერათ ის ფაქტი, რომ როდესაც ყველა მათემატიკასა და ტექნიკურ ჟარგონს წაართმევთ, ეს მხოლოდ თანამედროვე თანამედროვე ტექნოლოგიური გადაწყვეტაა. ყველა პრობლემა: გასაღების გაცვლა.

მოდით განვიხილოთ რამდენიმე ძირითადი პირობა

სანამ ჩვენ კიდევ უფრო წინ წავალთ, მოდით განვიხილოთ რამდენიმე სხვა ძირითადი პირობა. ჩვენ უკვე შემოვიტანეთ HTTP, ჰიპერტექსტის გადაცემის პროტოკოლი, რომელიც ათწლეულების განმავლობაში წარმოადგენს ინტერნეტის ხერხს. როგორც ჩვენ განვიხილეთ, ინტერნეტი განვითარდა რაღაც განსხვავებულად, ვიდრე ეს იყო, როდესაც HTTP პირველად გამოქვეყნდა 1991 წელს.

საჭიროა უფრო უსაფრთხო პროტოკოლი. ამრიგად, HTTPS.

HTTPS, რომელსაც ზოგჯერ HTTP TLS- ს უწოდებენ, იყენებს დაშიფვრას მონაცემების გაცვლის დროს, რაც არ არის მისთვის სასურველი, ვინმესთვის, მაგრამ სასურველი მხარისათვის. ეს განსაკუთრებით მნიშვნელოვანია, როდესაც გაითვალისწინებთ თანამედროვე ინტერნეტ კავშირის ბუნებას.

იმის გამო, რომ ინტერნეტის ადრეულ პერიოდში კავშირი გონივრულად იყო პირდაპირი, ახლა კავშირები ათეულობით მოწყობილობით ხვდება საბოლოო დანიშნულების ადგილამდე მიმავალ გზას. თუ თქვენ გსურდათ ამის პრაქტიკული დემონსტრირება, გახსენით ბრძანება თქვენს OS- ზე და შეიყვანეთ ბრძანება “tracert geekflare.com”.

რაც დაინახავთ არის ის გზა, რომლითაც თქვენი კავშირი იმოგზაურა მისი დანიშნულების ადგილამდე. 30-მდე გადასვლა. ეს ნიშნავს, რომ თქვენი მონაცემები გადის თითოეულ ამ მოწყობილობაში, სანამ არ მიაღწევს ისეთ ვებ – გვერდს ან პროგრამას, რომელსაც თქვენ უკავშირდებით. თუ ვინმეს აქვს შეფუთული sniffer ან რომელიმე მსმენელი დამონტაჟებული რომელიმე ამ მოწყობილობაზე, მათ შეუძლიათ მოიპარონ გადაცემული მონაცემები და ზოგიერთ შემთხვევაშიც კი მოახდინონ კავშირის მანიპულირება..

ამას ეწოდება ადამიანის შუაგული (MITM) შეტევა.

თუ გსურთ შეიტყოთ MITM შეტევის შესახებ, მაშინ შეამოწმეთ ეს ონლაინ კურსი.

თანამედროვე ინტერნეტ-კავშირებით დასაფარად გაცილებით მეტი ფართობია, ვიდრე ხალხის დიდი უმრავლესობა აცნობიერებს, რის გამოც გადაცემის დროს დაშიფრული მონაცემების ფლობა მნიშვნელოვანია. თქვენ წარმოდგენა არ გაქვთ ვის შეეძლო მოსმენა, ან რამდენად ადვილია ამის გაკეთება.

HTTP კავშირი იქმნება პორტის 80 საშუალებით. ჩვენი მიზნებისათვის შეგიძლიათ იფიქროთ პორტების კონსტრუქციებზე, რომლებიც მიუთითებს ქსელის სერვისზე ან პროტოკოლზე. სტანდარტული ვებგვერდი, რომელსაც HTTP ემსახურება, იყენებს პორტს 80. HTTPS ჩვეულებრივ იყენებს პორტს 443. როდესაც ვებსაიტი დააინსტალირებს სერთიფიკატს, მას შეუძლია გადააკეთოს მისი HTTP გვერდები HTTPS– ზე და მომხმარებლების ბრაუზერები შეეცდებიან უსაფრთხოდ დააკავშირონ პორტში 443, დადასტურების მოლოდინში.

სამწუხაროდ, SSL / TLS, HTTPS, PKI და შიფრაცია ხდება ყველაფერში, ზოგჯერ კი ურთიერთშეცვლელად გამოიყენება, ასე რომ, ყოველგვარი გაუგებრობის გარკვევა, აქ არის სწრაფი სახელმძღვანელო:

  • SSL – Secure Sockets Layer, ორიგინალი დაშიფვრის ოქმი, რომელიც გამოიყენება HTTPS- ით
  • TLS – Transport Layer Security, უახლესი დაშიფვრის ოქმი, რომელმაც შეცვალა SSL
  • HTTPS – HTTP უსაფრთხო ვერსია, რომელიც გამოიყენება ვებსაიტებთან კავშირების შესაქმნელად
  • PKI – საჯარო გასაღები ინფრასტრუქტურა, ეხება მთელი ნდობის მოდელს, რაც ხელს უწყობს საზოგადოებრივი გასაღების დაშიფვრას

SSL / TLS ერთად მუშაობს HTTPS კავშირების გასააქტიურებლად. და PKI ეხება მთელ ნივთს, როდესაც მასშტაბირდებით.

Გავიგე? ნუ ინერვიულებ, გინდა.

საზოგადოებრივი გასაღების ინფრასტრუქტურის შექმნა

ახლა ჩვენ დავამყარეთ საფუძველი, დავაზუსტოთ და გადავხედოთ ნდობის მოდელის მიერ გამოყენებულ არქიტექტურას SSL / TLS- ის გულში.

ვებსაიტზე მისვლისას, პირველი რაც თქვენს ბრაუზერს აკეთებს არის SSL / TLS სერტიფიკატის ნამდვილობის გადამოწმება, რომელსაც საიტი წარუდგენს მას. ჩვენ მივხვდებით, თუ რა ხდება მას შემდეგ, რაც ავთენტიფიკაცია მოხდება რამდენიმე სექციაში, მაგრამ ჩვენ დავიწყებთ ნდობის მოდელის განხილვას, რაც ამ ყველაფერს შესაძლებელს გახდის.

ამრიგად, ჩვენ დავიწყებთ შეკითხვას: როგორ იცის ჩემმა კომპიუტერმა, ენდოს თუ არა ენდობა მოცემულ SSL / TLS სერთიფიკატს?

ამაზე პასუხის გასაცემად, ჩვენ უნდა განვიხილოთ PKI და ის სხვადასხვა ელემენტები, რომლებიც მის მუშაობას ქმნის. ჩვენ დავიწყებთ სასერთიფიკატო უფლებამოსილებებს და Root პროგრამებს.

სერთიფიკატის უფლებამოსილებები

სასერთიფიკატო უფლებამოსილებაა ორგანიზაცია, რომელიც შეესაბამება წინასწარ განსაზღვრულ სტანდარტებს, სანდო ციფრული სერთიფიკატების გაცემის შესაძლებლობის სანაცვლოდ..

არსებობს ათობით CA, როგორც უფასო, ისე კომერციული, რომლებსაც შეუძლიათ სანდო სერთიფიკატების გაცემა.

ისინი ყველამ უნდა დაიცვან სტანდარტების მთელი რიგი, რომელიც განიხილეს და მიიღეს კანონმდებლობა CA / ბროუზერი ფორუმის საშუალებით, რომელიც მოქმედებს როგორც TLS ინდუსტრიის მარეგულირებელი ორგანო. ამ სტანდარტებში ასახულია ისეთი რამ, როგორიცაა:

  • ტექნიკური გარანტიები, რომლებიც უნდა არსებობდეს ადგილზე
  • დამოწმების შესრულების საუკეთესო პრაქტიკა
  • საუკეთესო პრაქტიკის გაცემა
  • გაუქმების პროცედურები და ვადები
  • სერთიფიკატის შეტანის მოთხოვნები

ეს სახელმძღვანელო მითითებულია ბრაუზერების მიერ, CA- სთან ერთად. ბრაუზერები უნიკალურ როლს ასრულებენ TLS ეკოსისტემაში.

ვერავინ შეძლებს ინტერნეტში არსად მოხვდეს მათი ბრაუზერის გარეშე. როგორც ასეთი, ეს არის ბრაუზერი, რომელიც მიიღებს და ამტკიცებს ციფრული TLS სერთიფიკატს, შემდეგ კი სერვერებთან გასვლას. ამრიგად, მათი გადამწყვეტი როლის გათვალისწინებით, ისინი მნიშვნელოვან გავლენას ახდენენ.

და მნიშვნელოვანია გვახსოვდეს, რომ ბრაუზერები შეიქმნა რაც შეიძლება მაქსიმალურად სკეპტიკური. რომ არაფერი ენდობოდეს. ეს საუკეთესო საშუალებაა მათი მომხმარებლების უსაფრთხო შესანარჩუნებლად. ასე რომ, თუ ბრაუზერი აპირებს ენდობა ციფრულ სერტიფიკატს – რაც შესაძლოა, მისი ბოროტად გამოყენება მოახდინოს მომხმარებლის საზიანოდ, – მას სჭირდება გარკვეული გარანტიები, რომ ვინც ამ სერტიფიკატს გამოსცემდა, აკეთებდა სათანადო გულმოდგინებას..

ეს არის სერტიფიკატის უფლებამოსილების როლი და პასუხისმგებლობა. არც ბრაუზერები არ ემორჩილებიან შეცდომებს. ყოფილი CA- ების პირდაპირი სასაფლაოა, რომლებიც ბრაუზერებს არღვევდნენ და საძოვრებამდე ატარებდნენ.

როდესაც სასერთიფიკატო ორგანომ გამოავლინა CAB ფორუმის საწყის მოთხოვნებთან შესაბამისობა და გაიარა ყველა საჭირო აუდიტი და მიმოხილვა, მას შეუძლია შუამდგომლობად მიმართოს სხვადასხვა ფესვგარეშე პროგრამებს, რომ დაამატოს თავისი Root სერთიფიკატები..

ფესვების პროგრამები

Root პროგრამას – მთავარ კომპანიებს Apple, Microsoft, Google და Mozilla ასრულებენ – ეს არის აპარატი, რომელიც მეთვალყურეობს და აადვილებს ფესვების მაღაზიებს (ზოგჯერ ე.წ. ნდობის მაღაზიებს), რომლებიც Root CA სერთიფიკატების კოლექციებს წარმოადგენს, რომლებიც ცხოვრობენ მომხმარებელთა სისტემაში. კიდევ ერთხელ, ეს ფესვები წარმოუდგენლად ღირებულია და წარმოუდგენლად საშიშია – მათ შეუძლიათ სანდო ციფრული სერთიფიკატების გაცემა, ყოველივე ამის შემდეგ – ასე რომ, უსაფრთხოება უაღრესად შეშფოთებულია..

სწორედ ამიტომ, CA– ები თითქმის არასდროს გასცემენ პირდაპირ Root CA– ს სერტიფიკატებს. ამის ნაცვლად, ისინი იბრუნებენ შუალედური ფესვების სერთიფიკატებს და იყენებენ საბოლოო მომხმარებლის ან ფოთლის სერთიფიკატების გასაცემად. მათ ასევე შეუძლიათ ამ ფესვების გადაცემა ქვე-CA- ებზე, რომლებიც არიან სერთიფიკატების ავტორიტეტები, რომლებსაც არ აქვთ თავიანთი თავდადებული ფესვები, მაგრამ მაინც შეუძლიათ თავიანთი შუამავლების გადაცემა ჯვრის ხელმოწერილი სერთიფიკატებით..

მოდით, მოდით, ეს ყველაფერი გავაერთიანოთ. როდესაც ვებსაიტს სურს გაიცეს TLS სერთიფიკატი, ის წარმოქმნის რაღაც სერტიფიკატის ხელმოწერის მოთხოვნას (CSR) სერვერზე, რომელსაც მას მასპინძლობს. ამ მოთხოვნაში მოცემულია ყველა ის დეტალი, რომელსაც ვებგვერდზე სურს მოხვდეს სერთიფიკატში. როგორც ცოტათი დაინახავთ, ინფორმაციის ოდენობა შეიძლება განსხვავდებოდეს ბიზნესის სრული დეტალებიდან, მარტივი სერვერის იდენტურობამდე, მაგრამ CSR დასრულების შემდეგ, იგი იგზავნება სერთიფიკატის ორგანოსთან გასაცემად..

სერთიფიკატის გაცემამდე, CA ვალდებულია გააკეთოს CA / ბროუზერი ფორუმის მიერ მანდატით გათვალისწინებული ფრთხილად დაცვა და დაადასტუროს, რომ CSR– ში მოცემული ინფორმაცია ზუსტია. მას შემდეგ რაც დადასტურდა, იგი ხელს აწერს სერთიფიკატს თავისი პირადი ღილაკით და ინსტალაციისთვის მას ვებ – გვერდის მფლობელს უგზავნის.

სერთიფიკატის მიჯნა

TLS სერთიფიკატის დამონტაჟების შემდეგ, ნებისმიერ დროს, ვინმეს ეწვევა საიტზე სერვერის მასპინძელი, იგი წარუდგენს მომხმარებლის ბრაუზერს სერთიფიკატთან. ბრაუზერი აპირებს გადახედოს სერთიფიკატზე ციფრულ ხელმოწერას, ის, რაც სანდო სასერთიფიკატო ორგანომ გააკეთა, რაც იმის გარანტიას იძლევა, რომ სერთიფიკატში მოცემული ყველა ინფორმაცია ზუსტია.

სწორედ აქ იწყება ტერმინის სერთიფიკატის ქსელი.

ბრაუზერი აპირებს ციფრული ხელმოწერის წაკითხვას და ბმულზე გადასასვლელად, შემდეგ – ის შეამოწმებს ციფრულ ხელმოწერას შუალედურ სერტიფიკატზე, რომლის პირადი კლავიშს იყენებდნენ ფოთლის სერთიფიკატის დასაფორმებლად. ის გაგრძელდება ხელმოწერების შემდეგ, სანამ რომელიმე სერტიფიკატის ქსელი დასრულდება ერთ – ერთ სანდო ფესვზე, მის ფესვთა მაღაზიაში, ან სანამ ჯაჭვი დასრულდება, სანამ ფესვს არ მიაღწევს, ამ შემთხვევაში ბრაუზერის შეცდომა გამოჩნდება და კავშირი ვერ მოხდება.

სწორედ ამიტომ, თქვენ არ შეგიძლიათ გაცემოთ და ხელმოწეროთ თქვენი სერთიფიკატები.

ბრაუზერები ენდობიან მხოლოდ SSL / TLS სერთიფიკატებს, რომლებსაც შეუძლიათ თავიანთი მაღაზიის ქსელში დაბრუნება (ეს ნიშნავს, რომ ისინი გაცემულია სანდო პირის მიერ). სერთიფიკატის ავტორიტეტებს მოეთხოვებათ დაიცვან კონკრეტული სტანდარტები, შეინარჩუნონ თავიანთი სანდოობა და მაშინაც კი, თუ ბრაუზერები არ არიან საჭირო, რომ ენდობოდნენ მათ.

ბრაუზერებს არ აქვთ ასეთი გარანტიები თვითდამოწერილი სერთიფიკატების შესახებ, რის გამოც ისინი უნდა იყვნენ განლაგებულნი მხოლოდ შიდა ქსელებში, ბუხრის კედლებს მიღმა და საცდელ გარემოში.

SSL / TLS სერთიფიკატის ტიპები და ფუნქციონალურობა

სანამ SSL / TLS მოძრაობას ვუყურებთ, მოდით ვისაუბროთ სერტიფიკატებზე და სხვადასხვა გამეორებაზე. TLS სერთიფიკატები წარმოადგენს TLS– ის ოქმს და ხელს უწყობს დაშიფრული HTTPS კავშირების პირობების კარნახს, რომლებიც ვებსაიტს ქმნის..

ადრე ჩვენ აღვნიშნეთ, რომ TLS სერთიფიკატის დაყენება საშუალებას გაძლევთ კონფიგურაცია გაუკეთოთ თქვენს ვებგვერდს, რომ გააკეთოთ HTTPS კავშირები პორტში 443. ის ასევე მოქმედებს როგორც ერთგვარი სახელის სამკერდე ნიშანი იმ საიტის ან სერვერისთვის, რომელთანაც თქვენთან ურთიერთობა გაქვთ. დავუბრუნდეთ იმ აზრს, რომ მისი გულისთვის SSL / TLS და PKI არის უსაფრთხო გასაღების გაცვლის ყველა დახვეწილი ფორმა, SSL / TLS სერთიფიკატი ეხმარება აცნობოს ბრაუზერს იმის შესახებ, თუ ვინ აგზავნის სხდომის კლავიშს, ვინ არის ეს მხარე სხდომის ბოლოს. კავშირი არის.

და როდესაც თქვენ ანგრევთ SSL / TLS სერთიფიკატების სხვადასხვა გამეორებას, გახსოვდეთ ეს მნიშვნელოვანი საკითხია. სერთიფიკატები განსხვავდება ფუნქციონალურობისა და დადასტურების დონის მიხედვით. ან სხვა გზით რომ ვთქვათ, ისინი განსხვავდება შემდეგიდან:

  • რამდენი პირადობის დასამტკიცებლად
  • რაზე მეტყველებს პირადობის დასამტკიცებლად

ამ ორ კითხვაზე პასუხის გაცემა ნათლად მიგვითითებთ იმაზე, თუ რა ტიპის სერთიფიკატი გჭირდებათ.

რამდენი პირადობის დასამტკიცებლად

SSL / TLS სერთიფიკატების საშუალებით არსებობს სამი განსხვავებული დონის დამოწმება და ისინი განსხვავდება იმის მიხედვით, თუ რამდენი პერსონალური ინფორმაცია აქვს თქვენს ვებსაიტს..

  • დომენის მოქმედების SSL სერთიფიკატები – ამტკიცეთ სერვერის ვინაობა
  • ორგანიზაციის დამოწმების SSL სერთიფიკატები – ამტკიცებენ ნაწილობრივი ორგანიზაციის იდენტურობას
  • გაფართოებული მოქმედების SSL სერთიფიკატები – ამტკიცებთ ორგანიზაციის სრულ იდენტურობას

დომენის დამოწმება SSL სერთიფიკატები გაცილებით პოპულარულია მათი ფასისა და სიჩქარის გამო, რომლის გაცემაც შეუძლიათ. DV SSL / TLS სერთიფიკატები მოითხოვს დომენის კონტროლის მარტივ შემოწმებას, რომლის შესრულება შესაძლებელია რამდენიმე სხვადასხვა გზით, მაგრამ როგორც კი ეს სერტიფიკატი გაიცემა. ასევე შეგიძლიათ უფასოდ მიიღოთ ამ 30 – დღიანი და 90 – დღიანი ვერსიები, რაც უდავოდ დაემატა მათ საბაზრო წილს.

უარყოფითი მხარე ის არის, რომ DV SSL სერთიფიკატები ასრულებენ მინიმალურ პირადობას. და იმის გათვალისწინებით, რომ ამჟამად ფიშინგის ყველა ვებსაიტის თითქმის ნახევარს აქვს დაინსტალირებული DV SSL სერთიფიკატი, ისინი ნამდვილად არ ყიდულობენ ნდობის მისაღწევად.

ორგანიზაციის დამოწმების SSL სერთიფიკატები არის SSL / TLS სერთიფიკატის ორიგინალი ტიპი. ისინი ასევე ერთადერთი სახის SSL სერთიფიკატია, რომელსაც შეუძლია უზრუნველყოს IP მისამართი CAB ფორუმის 2016 წლის გადაწყვეტილების შესაბამისად, ყველა ინტრანეტის SSL სერთიფიკატის გაუქმების შესახებ. ორგანიზაციის დამოწმება მოითხოვს მსუბუქი ბიზნესის შემოწმებას და ჩვეულებრივ შეიძლება გაიცეს დღეში ან ორ დღეში, ზოგჯერ უფრო სწრაფად. OV SSL სერთიფიკატები ამტკიცებენ გარკვეულ ორგანიზაციულ ინფორმაციას, მაგრამ ინტერნეტ მომხმარებელს უნდა დააჭიროთ ბოქლომის ხატულს და მოძებნოთ იგი. დღესდღეობით თქვენ ხედავთ უამრავ OV SSL სერთიფიკატს, რომლებიც განთავსებულია მსხვილ საწარმოებსა და კორპორაციულ ქსელებში, მაგალითად, Firewall- ების უკან გაკეთებული კავშირებისთვის..

იმის გამო, რომ არც DV და არც OV SSL სერთიფიკატები არ ირჩევენ საკმარის პირადობას ბროუზერების უმეტესობის დასაკმაყოფილებლად, ისინი იღებენ ნეიტრალურ მოპყრობას.

გაფართოებული ვალიდაციის SSL სერთიფიკატები გაცილებით სადავოა, რადგან ტექნიკური თემის ზოგი ადამიანი გრძნობს იმაზე მეტს, რომ უნდა გაკეთდეს იმისთვის, რომ მათზე იყოს დამოკიდებული. თუმცა, EV SSL ამტკიცებს მაქსიმალურ პირადობას. გაფართოებული ვალიფიკაციის დასასრულებლად, სასერთიფიკატო ორგანო ორგანიზაციას უწევს შემოწმების მკაცრ პროცესს, რომელსაც ზოგიერთ შემთხვევაში შეუძლია ერთი კვირის განმავლობაში..

მაგრამ სარგებელი უდავოა: იმის გამო, რომ იგი საკმარისი იდენტურობით ითვალისწინებს ვებსაიტი, რომელსაც აქვს SS SSL სერთიფიკატი, მიიღებს ბრაუზერის უნიკალურ მოპყრობას, ბრაუზერის მისამართების ზოლში ჩასმული სახელის ჩათვლით..

ამის მისაღწევად სხვა გზა არ არსებობს, და არ შეგიძლიათ მისი ყალბი გაკეთება – EV მისამართების ზოლი არის ერთ – ერთი ყველაზე ძლიერი ვიზუალური მაჩვენებელი, რომელიც დღეს გვაქვს.

რაზე მიანიშნებს პირადობის დასამტკიცებლად

SSL / TLS სერთიფიკატების განსხვავების სხვა გზა ფუნქციურობას ეხება. ვებსაიტები საკმაოდ განვითარდა ინტერნეტის პირველივე დღიდან, სხვადასხვა კომპანიებთან, რომლებიც სხვადასხვა საიტებს ათავსებენ საიტებზე. ზოგს აქვს სხვადასხვა დომენები სხვადასხვა კომპანიის ვერტიკალებისთვის; სხვები იყენებენ ქვე-დომენებს მრავალი ფუნქციისა და ვებ პროგრამებისთვის. ზოგი იყენებს ორივე.

არ აქვს მნიშვნელობა რა კონტექსტია, არსებობს SSL / TLS სერთიფიკატი, რომლის დახმარებითაც შესაძლებელია მისი უზრუნველყოფა.

ერთი დომენი

პირველადი ვებ – გვერდი და სტანდარტული SSL სერთიფიკატი მხოლოდ ერთ დომენად ითვლება. SSL / TLS სერთიფიკატების უმეტესობა უზრუნველყოფს ამ დომენის WWW და არა WWW ვერსიებს, მაგრამ ის შემოიფარგლება მხოლოდ ერთი დომენით. Შენ შეგიძლია შეადარეთ SSL სერთიფიკატები აქ.

მრავალ დომენი

მრავალ დომენის სერთიფიკატები ან ერთიანი საკომუნიკაციო სერთიფიკატები (Microsoft Exchange- ისა და ოფისის კომუნიკაციების სერვერების შემთხვევაში) ასევე არსებობს იმისთვის, რომ ორგანიზაციებს ჰქონდეთ მრავალჯერადი დომენის ცალკეული სერტიფიკატის დაშიფვრის შესაძლებლობა. ეს შეიძლება იყოს მიმზიდველი ვარიანტი, რადგან ის დაზოგავს ფულს და ეს გაცილებით მარტივია სერტიფიკატების (ამოწურვებისა / განახლების) მართვა..

მრავალ დომენის და UCC სერთიფიკატებს იყენებენ SAN, Subject Alternative Name ველი CSR– ში, დამატებითი დომენის დამატება სერთიფიკატში. CA- ების უმეტესობა ერთ სერტიფიკატზე 250-მდე სხვადასხვა SAN- ს საშუალებას აძლევს. მრავალ დომენის სერთიფიკატები მოდის 2-4 კომპლიმენტურ სანტექნიკასთან, დანარჩენი კი, საჭიროების შემთხვევაში, შესაძლებელია შეძენისთვის.

Wildcard SSL სერთიფიკატები

Wildcard SSL სერთიფიკატები უკიდურესად სასარგებლო სერტიფიკატის ტიპია, რადგან მათ შეუძლიათ დაშიფვრონ შეუზღუდავი რაოდენობის ქვე-დომენები URL- ს იმავე დონეზე. მაგალითად, თუ გაქვთ ვებ – გვერდი, რომელიც იყენებს ქვე – დომენებს, როგორიცაა:

  • app.website.com
  • პორტალი.website.com
  • user.website.com

თქვენ შეგიძლიათ დაშიფვრდეთ ისინი ყველა იმავე Wildcard სერთიფიკატის გამოყენებით, თქვენი CSR- ის FQDN ველში მდებარე ვარსკვლავის გამოყენებით: * .website.com

ახლა ნებისმიერი ქვე-დომენი, თუნდაც ის, რომელიც ჯერ არ დაუმატებიათ, უზრუნველყოფილია ამ სერტიფიკატის დაცვით.

Wildcard– ის სერთიფიკატების ორი ნაკვეთი არსებობს. პირველი ის არის, რომ ზოგიერთ ბოლო წერტილში იგივე საჯარო კლავიშის გამოყენებით, თქვენ უფრო დაუცველი ხართ გარკვეული ექსპლოიტეტების მიმართ, როგორიცაა Bleichenbacher თავდასხმები.

სხვა ის არის, რომ არ არსებობს EV Wildcard ვარიანტი. Wildcard ფუნქციონირების ღია ბუნების წყალობით, ბრაუზერები არ არიან კარგი, რომ მათ ენდონ დონის ნდობა. თუ გსურთ EV მისამართების ზოლი თქვენს ქვე-დომენებზე, თქვენ უნდა დაშიფროთ ისინი ინდივიდუალურად ან გამოიყენოთ EV Multi-Domain სერთიფიკატი.

მრავალ დომენის Wildcard

SSL / TLS ეკოსისტემის შედარებით ახალი დამატებაა, Multi-Domain Wildcard– ს შეუძლია დაშიფროს 250 სხვადასხვა დომენი, მაგრამ მას ასევე შეუძლია SAN– ს ველებში გამოიყენოს ვარსკვლავი, რომელიც ასევე საშუალებას გაძლევთ დაშიფროთ 250 სხვადასხვა დომენი და მათი თანმხლები პირველები. ქვედა დომენები.

Multi-Domain Wildcard– ის კიდევ ერთი გამოყენების შემთხვევაა, როგორც მრავალ დონის Wildcard, სადაც მას შეუძლია დაშიფროს ქვე-დომენები URL– ის მრავალ დონეზე (სტანდარტული Wildcard– ს შეუძლია მხოლოდ მათი დაშიფვრა ერთ დონეზე).

Wildcard ფუნქციონირების გამო, მრავალ დომენის Wildcards არ არის ხელმისაწვდომი EV- ში.

SSL / TLS მოძრაობაში

ახლა, როდესაც ჩვენ გავაშუქეთ ყველა ის მნიშვნელოვანი კონცეფცია, რომელიც SSL / TLS და PKI აწყობს, მოდით, ყველაფერი გავაერთიანოთ და დავინახოთ ის მოძრაობაში.

დამოწმება და გაცემა

თავიდან ბოლომდე დავიწყოთ ვებგვერდი, რომელიც შეიძენს SSL / TLS სერტიფიკატს CA– დან ან გამყიდველისგან. შესყიდვის შემდეგ, ორგანიზაციული კონტაქტი, რომელიც ასრულებს სერთიფიკატის შეძენას, ქმნის სერტიფიკატის ხელმოწერის მოთხოვნას სერვერზე, სადაც დაინსტალირდება სერთიფიკატი (სერვერი, რომელიც მასპინძლობს ვებსაიტი).

CSR- სთან ერთად, სერვერი ასევე გამოიმუშავებს საჯარო / კერძო გასაღების წყვილს და ადგილობრივად შეინახავს კერძო გასაღებას. როდესაც CA იღებს CSR და საზოგადოებრივ გასაღებას, ის ასრულებს სათანადო გადამოწმების ნაბიჯებს იმის უზრუნველსაყოფად, რომ სერთიფიკატში მოცემული ნებისმიერი ინფორმაცია ზუსტია. ზოგადად, ბიზნესის ავტორიზაციის სერტიფიკატების (არა DV) შემთხვევაში, ეს გულისხმობს ორგანიზაციის რეგისტრაციის ინფორმაციის და საჯარო ჩანაწერების მოძიებას მთავრობის მონაცემთა ბაზაში..

დადასტურების დასრულების შემდეგ, CA იყენებს მისი ერთ – ერთი შეტყობინების ღილაკს მისი ერთ – ერთი სერთიფიკატის გამცემიდან, ჩვეულებრივ, შუალედური ფესვიდან და ხელს აწერს სერთიფიკატს მას საიტის მფლობელის დაბრუნებამდე..

ახლა ვებსაიტის მფლობელს შეუძლია მიიღოს SSL / TLS- ის ახლად გაცემული სერტიფიკატი, დააინსტალიროს იგი მათ სერვერზე და გააფორმოს ვებგვერდი, რომ გააკეთოს HTTPS კავშირები პორტში 443 (301 გადამისამართების გამოყენებით, არსებული HTTP გვერდებისგან ტრეფიკის გაგზავნისთვის, მათ ახალ HTTPS კოლეგებთან).

ავთენტიფიკაცია და SSL ხელწერა

ახლა, როდესაც SSL / TLS სერთიფიკატი დამონტაჟებულია და ვებგვერდი კონფიგურებულია HTTPS- სთვის, მოდით განვიხილოთ, თუ როგორ შეუწყობს ხელს მას დაშიფრული კავშირები საიტის ვიზიტორებთან.

ვებგვერდზე მისვლისთანავე სერვერი წარუდგენს SSL / TLS სერთიფიკატს მომხმარებლის ბრაუზერში. შემდეგ მომხმარებლის ბრაუზერი ასრულებს შემოწმების სერიას.

პირველი, ის აპირებს სერთიფიკატის დამოწმებას მისი ციფრული ხელმოწერის ნახვისა და სერთიფიკატების ჯაჭვის მიბაძვით. ის ასევე დარწმუნდება, რომ სერთიფიკატი არ ამოიწურა და შეამოწმეთ სერთიფიკატის გამჭვირვალეობის (CT) ჩანაწერები და სერთიფიკატების გაუქმების სიები (CRLs). იმ პირობით, რომ ჯაჭვი მივყავართ სისტემის ნდობის მაღაზიაში ერთ ფესვას და ის მართებულია, ბრაუზერს ენდობა სერთიფიკატი.

ახლა უკვე ხელნაკეთობის დროა.

SSL / TLS handshake არის ნაბიჯების სერია, სადაც კლიენტი (მომხმარებელი) და სერვერი (ვებ – გვერდი) აწარმოებენ მოლაპარაკებებს მათი უსაფრთხო კავშირის პარამეტრებზე, წარმოქმნიან და შემდეგ ახდენენ სიმეტრიული სესიის გასაღებებს..

პირველი, ისინი აპირებენ გადაწყვიტონ შიფრირებული პაკეტი. შიფრირების კომპლექტი არის ალგორითმების და შიფრების ჯგუფი, რომელიც გამოყენებული იქნება კავშირისთვის. SSL / TLS სერთიფიკატი შეიცავს შიფრი ლუქსის ჩამონათვალს, რომელსაც სერვერი უჭერს მხარს. საერთოდ, შიფრირებული პაკეტი მოიცავს საზოგადოებრივი გასაღების დაშიფვრის ალგორითმს, საკვანძო თაობის ალგორითმს, შეტყობინებების ავტორიზაციის ალგორითმს და სიმეტრიულ ან ნაყარში დაშიფვრის ალგორითმს – თუმცა ეს დახვეწილია TLS 1.3 -ში..

დამცავი შიფრების ჩამონათვალის წარდგენის შემდეგ, კლიენტი შეარჩევს შეთანხმებულს და აცნობებს მას სერვერს. იქიდან, კლიენტი გამოიმუშავებს სიმეტრიული სესიის ღილაკს, დაშიფვრავს მას საჯარო გასაღების გამოყენებით და შემდეგ მას სერვერზე აგზავნის, რომელიც ფლობს სხდომის ღილაკის გაშიფვრას, რომელიც საჭიროა პერსონალური გასაღებისთვის..

მას შემდეგ, რაც ორივე მხარეს აქვს სხდომის კლავიშის ასლი, კომუნიკაცია შეიძლება დაიწყოს.

ეს არის SSL / TLS.

თქვენ ხედავთ, როგორ ურთიერთქმედებს ყველა კონცეფცია ერთმანეთთან, რომ შევქმნათ დახვეწილი, მაგრამ ელეგანტური სისტემა ინტერნეტ კავშირების უზრუნველსაყოფად. ჩვენ ვიყენებთ საჯარო გასაღების კრიპტოგრაფიას, რათა უსაფრთხოდ გავცვალოთ სესიის ღილაკები, რომელთანაც კომუნიკაცია შეგვიძლია. სერთიფიკატებს, რომლებიც ირწმუნებიან სერვერზე ან ორგანიზაციულ პირადობას, შეიძლება ვენდოთ იმ ინფრასტრუქტურის გამო, რომელიც ჩვენს სხვადასხვა ადგილობრივ CA- ს, ბრაუზერსა და root პროგრამებს შორის გვაქვს..

და კომუნიკაცია ხდება სიმეტრიული, შეტყობინების გასაღების დაშიფვრის შედეგად, რომელიც წარმოშობით ანტიკური ხანის კლასიკური კრიპტო სისტემებიდან.

უამრავი მოძრავი ნაწილია, მაგრამ როდესაც შენელდება და ყველა მათ ინდივიდუალურად ესმის, ბევრად უფრო ადვილია იმის ნახვა, თუ როგორ მუშაობს ეს ყველაფერი ერთად.

სანამ წავიდეთ, მოდით დავასრულოთ SSL / TLS- სთან დაკავშირებული რამდენიმე ნაბიჯი, შეგიძლიათ გააკეთოთ ინსტალაცია / კონფიგურაცია, რომ მიიღოთ ყველაზე მეტი თქვენი ინვესტიციიდან.

SSL / TLS- ის შემდეგ – მაქსიმალურად ისარგებლეთ თქვენი განხორციელებიდან

უბრალოდ სერთიფიკატის დაყენება და თქვენი ვებ – გვერდის სწორად კონფიგურაცია არ ნიშნავს რომ თქვენი ვებ – გვერდი უსაფრთხოა. TLS არის ფართო, ჰოლისტიკური კიბერ თავდაცვის სტრატეგიის მხოლოდ ერთი კომპონენტი. მაგრამ მნიშვნელოვანი კომპონენტია. მოდით განვიხილოთ რამდენიმე საკითხი, რისი გაკეთებაც შეგიძლიათ გააკეთოთ იმისთვის, რომ მაქსიმალურად გამოიყენოთ შედეგიდან.

გამორთეთ სერვერის მხარდაჭერა ძველი პროტოკოლებისთვის

საუბარი იმაზე, რაც ჩვენ ადრე გვქონდა საუბარი Cipher Suites- ის შესახებ, თქვენი სერვერის კონფიგურაციის ნაწილი გადაწყვეტს, თუ რა მხარს უჭერს შიფრირებული ლუქსი და SSL / TLS ვერსიებს. აუცილებელია, რომ გამორთოთ მხარდაჭერა ძველი SSL / TLS ვერსიებისთვის, ასევე სპეციფიური ალგორითმები, რამდენიმე ცნობილი ექსპლუატაციის დაუცველობის თავიდან ასაცილებლად..

SSL 2.0 და SSL 3.0 ორივე 20 წელზე მეტი ასაკისაა. საუკეთესო პრაქტიკა იყო წლების წინ მათთვის მხარდაჭერის გაფუჭება, მაგრამ ამ დროისთვის Alexa 100 000 – ის დაახლოებით 7% –მა მაინც დაუშვა ეს. ეს საშიშია, რადგან ის ექსკლუზიურად მოგგვრის SSL– ს მოსაშორებლად და შეამცირებს შეტევებს, როგორიცაა POODLE.

TLS 1.0 და TLS 1.1 არის ნასესხები დროით.

დიდმა ტექნიკურმა კომპანიებმა, Apple- მა, Microsoft- მა, Google- მა და Mozilla- მა, ამ შემოდგომაზე გააკეთეს ერთობლივი განცხადება, რომ ისინი 2020 წლის დასაწყისში გამოაცხადებენ მხარდაჭერას TLS 1.0 და 1.1..

პროტოკოლის ვერსიები მგრძნობიარეა ისეთი დაუცველობებისთვის, როგორებიცაა POODLE, FREAK, BEAST და CRIME (ეს ყველაფერი აბრევიატურაა). TLS 1.2 უკვე ათი წელია გასულია და ეს უნდა იყოს სტანდარტი. TLS 1.3 დასრულდა გასულ ზაფხულს და მას შემდეგ თანდათანობით მიღება მიმდინარეობს.

გარდა ამისა, არსებობს კონკრეტული ალგორითმები, რომლებიც არ უნდა იქნას გამოყენებული. მაგალითად, DES შეიძლება რამდენიმე საათში დაიშალა. RC4 უფრო დაუცველია, ვიდრე ოდესღაც სჯეროდა და უკვე არ არის დადგენილი გადახდის ბარათების ინდუსტრიის მონაცემთა უსაფრთხოების სტანდარტები. დაბოლოს, ბოლოდროინდელი ექსპლუატაციების შესახებ ახალი ამბების გათვალისწინებით, მიზანშეწონილი არ არის, რომ გამოიყენოთ RSA საკვანძო გაცვლისთვის.

შემოთავაზებული ალგორითმები / შიფრები:

  • საკვანძო გაცვლა: ელიფსური მრუდი Diffie-Helman (ECDH)
  • ავტორიზაცია: ელიფსური მრუდის ციფრული ხელმოწერის ალგორითმი (ECDSA)
  • სიმეტრიული / ნაყარი დაშიფვრა: AES 256 Galois Counter Mode (AES256-GCM)
  • MAC ალგორითმი: SHA-2 (SHA384)

ყოველთვის SSL- ზე

წარსულში, ვებსაიტებზე ზოგჯერ მიგრირებულ იქნა მხოლოდ ის ვებ – გვერდები, რომლებიც ინფორმაციას აგროვებენ HTTPS– ზე, ხოლო დანარჩენი საიტის მომსახურებას HTTP– ს საშუალებით. ეს ცუდი პრაქტიკაა.

გარდა იმისა, რომ Google დაასახელებს ამ გვერდებს “არა უსაფრთხო”, თქვენ ასევე პოტენციურად აყენებთ თქვენი საიტის ვიზიტორებს რისკზე, თუ მათ ბრაუზერებს გადახტავთ უკან და მეოთხე დაშიფრული გვერდებსა და HTTP გვერდებს შორის..

თქვენ უნდა დააკონფიგურიროთ თქვენი მთელი ვებგვერდი HTTPS– სთვის. ამას ეწოდება Always-on SSL. ყოველივე ამის შემდეგ, არ მოგეწონებათ გვერდის გადახდა, თქვენს SSL / TLS სერტიფიკატს შეუძლია დაშიფროს თქვენი მთელი საიტი. ასე გააკეთე.

შექმენით სერთიფიკატების უფლებამოსილების ავტორიზაციის (CAA) ჩანაწერი

ზოგადად, ციფრული სერთიფიკატების მხრიდან ერთ-ერთი ყველაზე მნიშვნელოვანი რისკი არის არასათანადო გაცემა. თუ თქვენს მხარეს სხვა პირს SSL / TLS სერთიფიკატი გამოაქვს თქვენი ვებსაიტისთვის, მათ შეუძლიათ ეფექტურად განაწყენონ თქვენი თავი და გამოიწვიოს ყველა სახის პრობლემა.

CAA ჩანაწერები ამ რისკის შემსუბუქებაში დაგეხმარებათ იმ შეზღუდვით, თუ რა სერტიფიკატის ორგანოს შეუძლია გასცეს ციფრული სერთიფიკატები თქვენი ვებგვერდისთვის. სერთიფიკატის ავტორიტეტებს სთხოვენ CA / ბროუზერი ფორუმს, შეამოწმონ CAA ჩანაწერები, სანამ რომელიმე სერთიფიკატის გაცემამდე. თუ CA- ს არ აქვს უფლებამოსილება ამ საიტისთვის გასცეს, მას არ შეუძლია. ამით ჩაითვლება შეცდომის გამოშვება და ბრაუზერის საზოგადოების რისხვას.

CAA ჩანაწერის დამატება შედარებით მარტივია, ეს არის მარტივი DNS ჩანაწერი, რომელსაც შეიძლება დაამატოთ უმეტესი ჰოსტინგის პლატფორმის ინტერფეისი. თქვენ შეგიძლიათ შეიზღუდოთ CA– ები, რომლებიც შეიძლება გამოიტანონ თქვენი დომენისთვის, ასევე შეიძლება გაიცეს თუ არა Wildcard– ის სერთიფიკატები, ასევე.

დაამატეთ ვებგვერდი HSTS- ის გადატვირთვის სიაში

HTTP მკაცრი ტრანსპორტის უსაფრთხოება, ან HSTS, არის HTTP სათაური, რომელიც ბრაუზერებს აიძულებს მხოლოდ გააკეთონ HTTPS კავშირები მოცემულ საიტზე. ამ გზით, მაშინაც კი, თუ ვებ-მომხმარებელი ცდილობს გვერდის HTTP ვერსიაზე გადასვლას, ისინი მხოლოდ HTTPS ვერსიის მონახულებას შეძლებენ. ეს მნიშვნელოვანია, რადგან ის ფანჯრის დახუჭვას ახდენს რამდენიმე ცნობილ ექსპლოატზე, მაგალითად, შეამცირა შეტევები და ქუქი-ფაილების გატაცება.

სამწუხაროდ, მცირე თავდასხმის ვექტორი რჩება HSTS– ით, სწორედ ამიტომ უნდა დაამატოთ თქვენი ვებ – გვერდი preload list– ში. როგორც წესი, როდესაც სტუმარი ჩამოდის თქვენს ვებსაიტზე, მათი ბრაუზერი გადმოწერს HTTP სათაურს და შემდეგ შეინარჩუნებს მას, მაგრამ ხანგრძლივია პოლიტიკა. პირველივე ვიზიტზე, სანამ თავსდება, სანამ თავით არ მიიღებენ, თავდამსხმელისთვის კიდევ ერთი პატარა გახსნაა.

ჩანაწერების HSTS გადატვირთვის სიას აწარმოებს Google და მისი ყველა სხვაობა, რომელსაც ყველა ძირითადი ბრაუზერი იყენებს. ამ ბრაუზერებმა იციან მხოლოდ დაუკავშირდნენ HTTPS- ს მეშვეობით ნებისმიერ ვებსაიტზე, რომელიც ამ სიაშია, თუნდაც ის აქამდე არასდროს ნამყოფი. შეიძლება თქვენს საიტზე ერთი ან ორი კვირა დასჭირდეს იმის გამო, რომ სიაში განახლებები ამოძრავებს ბრაუზერების გამოშვების გრაფიკებს..

SSL / TLS FAQ

რა არის X.509 სერთიფიკატი?

X.509 ეხება ციფრული სერთიფიკატის ტიპს, რომელიც გამოიყენება SSL / TLS და PKI სხვა სახეობებთან. X.509 არის საჯარო გასაღების დაშიფვრის სტანდარტი. ზოგჯერ ნახავთ, რომ კომპანიები იყენებენ X.509 სერთიფიკატს “ციფრული სერთიფიკატის” ან “PKI სერთიფიკატის” ნაცვლად. “

რატომ იწურება SSL / TLS სერთიფიკატები?

ამის ორი მიზეზი არსებობს.

პირველი ის არის, რომ ინტერნეტი მუდმივად იცვლება, ვებსაიტები მოდის და ვებსაიტები მიდიან. იმის გათვალისწინებით, თუ რამდენად მგრძნობიარეა ბრაუზერები ამ სერთიფიკატების პირველ რიგში ნდობის შესახებ, მათ სურთ იცოდნენ, რომ სერტიფიკატების წარდგენის ვებსაიტები რეგულარულად გადადიან. ეს არ არის განსხვავებული იმით, თუ როგორ უნდა შეამოწმოთ დროდადრო თქვენი მძღოლის ლიცენზიის შესახებ ინფორმაციის განახლება.

სხვა მიზეზი უფრო ტექნიკურია. სიახლეების და ტექნიკური ცვლილებების გახანგრძლივება უფრო რთულია, როდესაც სერთიფიკატები არ ამოიწურება 3-5 წლის განმავლობაში. ამასთან, თუ სერთიფიკატები ამოიწურება ყოველ 24 თვეში, ყველაზე გრძელი ნებისმიერი სერთიფიკატი შეიძლება იყოს ორი წელი. 2017 წელს მაქსიმალური მოქმედება შემცირდა სამი წლიდან ორზე. სავარაუდოდ, იგი მალე 12 თვემდე შემცირდება.

როგორ განაახლებთ SSL / TLS სერთიფიკატს?

განახლება შეიძლება იყოს შეცდომა, რადგან თქვენ შეცვლით ძველ მოწმობას ახლად გამოცემულთან. ამის გაკეთება რეგულარულად საშუალებას გაძლევთ მუდმივად იყოთ თანამედროვე დაშიფრული დაშიფვრის ტექნოლოგიით და უზრუნველყოფს თქვენი ვალიდობის შესახებ ინფორმაციის განახლებას. CA- ებს მხოლოდ ერთხელ შეუძლიათ ხელახლა გამოიყენონ ინფორმაცია, რომელიც თავდაპირველად იქნა მიწოდებული ამდენი ხნით ადრე, სანამ საბაზისო მოთხოვნები აიძულებენ მათ გადაამოწმონ იგი.

როდესაც განახლდებით, შეგიძლიათ შეინარჩუნოთ იგივე სერთიფიკატის ტიპი, რომელიც ადრე გქონდათ, ან შეგიძლიათ რაიმე ახალი წასულით, CA- ების შეცვლაც კი შეგიძლიათ. მთავარია, რამდენი დრო დარჩა ვადაგასული სერთიფიკატზე – შეგიძლიათ სამ თვეზე მეტი გაატაროთ. სანამ განახლდებით სერთიფიკატის ამოწურვამდე, შეგიძლიათ გადაიტანოთ დარჩენილი დრო და ხელახლა გამოიყენოთ ნებისმიერი დამადასტურებელი ინფორმაცია, რომელიც არ დასრულებულა თქვენი ბოლო შემოწმების შემდეგ. თუ თქვენ ამ ვადაზე ადრე ამოიწურება, ნულიდან იწყებთ.

რა არის HTTPS ინსპექცია?

უამრავ მსხვილ კომპანიას, რომელთაც უფრო დიდი ქსელები აქვთ, მოსწონთ თავიანთი ტრეფიკი. ამასთან დაკავშირებით, HTTPS არის ორმაგი ზღვარი. ეს იცავს ადამიანების კონფიდენციალურობას, მაგრამ მას ასევე შეუძლია დაეხმაროს კიბერდანაშაულებს დამალვაში. უამრავი ორგანიზაცია გაშიფვრავს HTTPS- ის ტრაფიკს ზღვარზე მოწყობილობის ან შუა ყუთის საშუალებით და შემდეგ ან აგზავნის მას თავის ტექსტურ ფანჯარასთან, ან ხელახლა დაშიფვრას და აგზავნის მას გზაზე. როდესაც არ ახდენს დაშიფვრას ტრეფიკი, მას SSL შეწყვეტა ეწოდება. როდესაც ხელახლა დაშიფვრდებით, ასე ეწოდება SSL ხიდს.

რა არის SSL გადმოტვირთვის?

SSL- ის დატვირთვა საწარმოს კიდევ ერთი პრაქტიკაა. მასშტაბით, ათასობით ხელნაკეთობის შესრულებას, შემდეგ მონაცემების დაშიფვრას და გაშიფვრას შეუძლია ქსელის რესურსების გადასახადი. ასე რომ, მრავალი დიდი ქსელი გადატვირთავს SSL ფუნქციებს სხვა მოწყობილობაზე, ასე რომ აპლიკაციის სერვერს შეეძლება ფოკუსირება მოახდინოს მის მთავარ ამოცანებზე. ამას ზოგჯერ უწოდებენ დატვირთვის დაბალანსებას.

რატომ გამომიგზავნა ჩემმა CA- მა შუალედური სერთიფიკატი?

გაიხსენეთ ადრე, როდესაც განვიხილეთ ძირეული პროგრამები?

ძალიან სისტემას აქვს root მაღაზია, რომელსაც იყენებს PKI ნდობის განსასჯელად. მაგრამ CA– ები არ გამოაქვეყნებენ საბოლოო მომხმარებლის სერთიფიკატებს იმ ფესვებისგან, იმის შიშით, თუ რა მოხდებოდა, თუკი ოდესმე გაუქმდება. ამის ნაცვლად, ისინი იბრუნებენ შუალედურ ფესვებს და გამოსცემენ მათ. პრობლემა ის არის, რომ შუალედური ფესვები არ ცხოვრობენ სისტემის ნდობის მაღაზიაში.

ასე რომ, თუ ვებსაიტზე არ წარმოადგენს შუალედურ სერთიფიკატს ფოთლის SSL / TLS სერთიფიკატთან ერთად, ბევრ ბრაუზერს ვერ შეძლებს სერთიფიკატების ჯაჭვის შევსებას და გაფრთხილებას გამოსცემს. ზოგიერთი ბრაუზერი აკეთებს ქეშ-შუალედურ სერთიფიკატებს, მაგრამ მაინც მიიჩნევა საუკეთესო პრაქტიკა, რომ შეასრულოთ ნებისმიერი შუამავალი, თქვენი ფოთლის სერთიფიკატთან ერთად.

რა დოკუმენტაცია მჭირდება გაფართოებული ვალიდაციის SSL სერთიფიკატისთვის?

უმეტეს შემთხვევაში, სასერთიფიკატო ორგანო, რომელიც ახორციელებს გაფართოებულ ვალიფიკაციას, პირველ რიგში შეეცდება ინფორმაციის დაშვებას საჯაროდ ხელმისაწვდომი „სამთავრობო ხელისუფლების“ რესურსების საშუალებით..

თუმცა, ზოგიერთ ადგილას, ეს შეუძლებელი იქნება. რამდენიმე საკითხია, რაც ხელს შეუწყობს გადამოწმების დაჩქარებას. მართალია, ბოლო პერიოდში შემცირდა პროფესიონალური მოსაზრების დამადასტურებელი შემოწმების რაოდენობა, შემცირდა, მაგრამ ადვოკატს ან ბუღალტერს კარგ მდგომარეობაში ყოფნისას, კვლავ შეუძლია მნიშვნელოვნად დაეხმაროს მას..

გარდა ამისა, შეგიძლიათ მოგაწოდოთ მთავრობის მიერ გაცემული ბიზნესის რწმუნებათა სიგელი ან „უფლების დამადასტურებელი“ დოკუმენტი, რომელიც თქვენს ორგანიზაციას აძლევს უფლებას გააკეთოს ბიზნესი ჩამოთვლილი სახელის მიხედვით. ამ დოკუმენტების რამდენიმე მაგალითია:

  • ინკორპორაციის სტატიები
  • ფორმირების სერთიფიკატები
  • ბიზნესის / გამყიდველი / სავაჭრო ობიექტების ლიცენზია
  • ქარტიის დოკუმენტები
  • პარტნიორობის ხელშეკრულებები
  • ვაჭრობის ან სავარაუდო სახელის რეგისტრაცია
  • რეგრო მერკანტილი

დახურვისას

იმედი მაქვს, რომ ეს მოგცემთ მოსაზრებას SSL / TLS. თუ თქვენ გაინტერესებთ მეტი სწავლა, მაშინ გირჩევთ ამ ონლაინ კურსის გავლა.

ამ პოსტს ხელი შეუწყო პატრიკ ნოემ, რედაქტორმა პატრიკ ნოემ გამოვიდა SSL მაღაზიის მიერ, ბლოგი, რომელიც მოიცავს ინტერნეტ-უსაფრთხოების ახალ ამბებსა და ტენდენციებს.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map