TLS og SSL for nybegynnere

TLS og SSL for nybegynnere
En introduksjon til asymmetrisk kryptografi.

Velkommen til nybegynnerguiden til TLS og SSL. Vi tar et dypt dykk inn i applikasjonene av asymmetrisk eller offentlig nøkkelkartografi.

Hva er asymmetrisk kryptografi?

Kryptografi av offentlig nøkkel ble introdusert tidlig i 1970. Sammen med det kom ideen om at i stedet for å bruke en enkelt nøkkel for å kryptere og dekryptere et stykke informasjon, bør to separate nøkler brukes: kryptering og dekryptering. Dette betyr at nøkkelen som brukes til å kryptere informasjonen ikke er relevant for spørsmålet om å dekryptere denne informasjonen. Det er også kjent som asymmetrisk kryptografi.

Dette er et nytt konsept, og for ytterligere å utdype det vil det kreve bruk av veldig intrikat kalkulus, så vi sparer den diskusjonen for en annen gang.

Hva er TLS og SSL?

TLS står for transportlagssikkerhet, mens SSL er en forkortelse for sikkert sokkelag. Begge er offentlige nøkkelkryptografiprogrammer, og sammen har de gjort internettbrukere i stand til å utføre kommunikasjon over Internett.

Hva nøyaktig disse to er forklart nedenfor.

Hvordan er TLS forskjellig fra SSL?

TLS og SSL bruker begge den asymmetriske tilnærmingen til kryptering for å sikre kommunikasjon over Internett (håndtrykk). Kjerneforskjellen mellom de to er at SSL ble resultatet av kommersiell innovasjon, og derfor en eiendom til morselskapet, som er Netscape. I kontrast er TLS en Internett Engineering Task Force Standard, en litt oppdatert versjon av SSL. Det ble navngitt annerledes for å unngå opphavsrettsspørsmål og potensielt et søksmål.

For å være presis, kommer TLS med noen attributter som skiller det fra SSL. I TSL etableres håndtrykk uten sikkerhet og styrkes av StartTLS -kommandoen, noe som ikke er tilfelle i SSL.

TSL anses som en forbedring av SSL fordi den tillater håndtrykk som vanligvis er utrygge eller usikre å bli oppgradert til sikret status.

Hva gjør TLS -tilkoblinger tryggere enn SSL?

Det har skjedd intens konkurranse i markedene for datasikkerhet. SSL 3.0 kunne ikke følge med på internett og ble gjort foreldet i 2015. Det er flere grunner bak dette, hovedsakelig å gjøre med sårbarhetene som ikke kunne ha blitt utbedret. En slik mottakelighet er SSLs kompatibilitet med chiffer som er i stand til å motstå moderne cyberattacks.

Sårbarheten forblir med TLS 1.0, som en inntrenger kan tvinge en SSL 3.0 Tilkobling på klienten og utnytter deretter dens sårbarhet. Dette er ikke lenger tilfelle med TLSs nye oppgradering.

Hvilke tiltak kan vi ta?

Hvis du er i mottaksenden, holder du bare nettleseren oppdatert. I dag har alle nettleserne med innebygd støtte for TLS 1.2, og det er grunnen til at det ikke er så vanskelig for kundene å opprettholde sikkerhet. Imidlertid bør brukere fortsatt ta forholdsregler når de ser røde flagg. Praktisk talt alle advarselsmeldinger fra nettleserne dine peker på slike røde flagg. Moderne nettlesere er eksepsjonelle til å oppdage om noe skyggefullt skjer på et nettsted.

Serveradministratorene som er vert for nettsteder har større ansvar på skuldrene. Det er mye du kan gjøre i denne forbindelse, men la oss begynne å vise en melding når en klient bruker utdatert programvare.

For eksempel bør de som bruker Apache -maskiner som servere prøve dette:

$ SSLOPTIONS +STDENVVARS
$ RequestHeader Set X-SSL-Protocol %SSL_Protocol S
$ RequestHeader Set X-SSL-Cipher %SSL_CIPHER S

Hvis du bruker PHP, kan du søke etter $ _server i skriptet. Skulle du komme over alt som indikerer at TLS er utdatert, vil en melding vises deretter.

For bedre å styrke serversikkerheten din, er det gratis verktøy der ute som testsystemet for følsomhet for TLS og SSL -mangler. Noen av dem kan enda bedre konfigurere serveren din. Hvis du liker den ideen, kan du sjekke ut Mozilla SSL -konfigurasjonsgeneratoren, som i utgangspunktet gjør alt arbeidet for å sette serveren din opp for å minimere TLS -risiko og slikt.

Hvis du vil teste serveren din for SSL -følsomheter, kan du sjekke ut Qualys SSL Labs. Den kjører en automatisert konfigurasjon som er både omfattende og intrikat hvis du er detaljorientert.

Oppsummert

Alt i betraktning ligger ansvarsvekten på alles skuldre.

Med bruk av moderne datamaskiner og teknikker har cyberattacks blitt stadig mer effektive og store med tiden. Alle internettbrukere må ha tilstrekkelig kunnskap om systemene som beskytter sitt personvern på nettet og tar nødvendige forholdsregler mens de kommuniserer over Internett.

I alle fall har du alltid mye bedre å bruke åpen kildekode når de er tryggere, gratis, og kan få jobben gjort.