Обложка статьи «Защитная функция протоколов SSL/TLS»

Защитная функция протоколов SSL/TLS

Партнёрский материал. Что это?

Сейчас как никогда стали актуальны инструменты защиты сайтов — число киберпреступлений и пренебрежения конфиденциальностью растёт.

Самый популярный из таких инструментов — шифрование. Оно проверяет и предотвращает обмен уязвимыми данными, и без него избежать онлайн-рисков будет трудно. Это особенно важно для владельцев интернет-бизнеса.

Криптографический протокол TLS, как и его предшественник SSL, используется расширением HTTPS для защиты ценных данных и личной информации. Он обеспечивает конфиденциальность и целостность данных между двумя приложениями.

Протокол TLS 1.2

TLS — это один из наиболее часто встречающихся инструментов безопасности, используемых в интернете. Протокол активно работает со многими процессами сетевого взаимодействия: передачей файлов, VPN-подключением (в некоторых реализациях для обмена ключами), службами обмена мгновенными сообщениями или IP-телефонией.

TLS берёт своё начало с Netscape Secure Sockets Layer (SSL). При этом у TLS более безопасный процесс аутентификации, генерация ключей и расширенная поддержка шифров. А ещё он может обрабатывать обновлённые алгоритмы.

Как работают протоколы SSL/TLS?

После TCP-соединения клиентская сторона запускает SSL-рукопожатие. Клиент отправляет на сервер ряд спецификаций:

  • версия SSL/TLS;
  • какие наборы криптографических протоколов он поддерживает;
  • какие алгоритмы сжатия будут задействованы.

Сервер, в свою очередь, проверяет, поддерживается ли наивысшая версия SSL/TLS из присланных клиентом. Следующий шаг — выбор набора криптоалгоритмов из существующих вариантов клиента и сжатие алгоритма при необходимости.

После этого базовая настройка закончена. Сервер отправляет клиенту свой сертификат. Этому сертификату должен доверять либо сам клиент, либо сторона, которой он доверяет. Например, если клиент доверяет центру сертификации GeoTrust, то он может смело доверять сертификату от Google.com, поскольку GeoTrust подписал сертификат Google.

После проверки сертификата происходит обмен ключами. Это может быть открытый ключ «PreMasterSecret» или вообще ничего, в зависимости от выбранного набора криптоалгоритмов.

Теперь и сервер, и клиент могут вычислить ключ для симметричного шифрования. Клиент сообщает серверу, что с этого момента вся связь будет зашифрована, и отправляет зашифрованное и аутентифицированное сообщение на сервер.

Сервер проверяет, что имитовставка, используемая для подтверждения целостности сообщения и аутентификации отправляемой стороны, является правильной и что сообщение может быть корректно расшифровано. Затем он возвращает сообщение, которое клиент проверяет аналогичным способом.

Теперь рукопожатие завершено и два хоста могут безопасно общаться. Если злоумышленник попытается внедриться в соединение, оно будет разорвано.

Обе стороны узнают, что соединение было разорвано ненадлежащим образом, поскольку не получат корректного сообщения о завершении. Таким образом, обмен пакетами не может быть скомпрометирован, а только прерван.

Больше информации можно найти в этой статье.

HTTP или HTTPS

HTTPS — это расширение протокола HTTP. Он используется почти при любой интернет-активности. TLS обрабатывает данные, передаваемые по сети, проверяя, что они скрыты и что используется корректный сервер хоста.

Google и Firefox постепенно отказываются от незашифрованного HTTP, делая HTTPS стандартом. Кроме того, если на сайте используется только HTTPS, это повышает их рейтинг в поисковых системах.

Работа с сертификатами

Выдавать SSL/TLS-сертификаты могут центры, прошедшие независимую квалифицированную аудиторскую проверку. Таких центров много, потому подходить к их выбору нужно со всей важностью. Перед тем, как определиться, важно ознакомиться с типами доступных сертификатов.

Extended Validation (EV)

EV — золотой стандарт сертификатов. Сайты, получившие EV, получают зелёную адресную строку в браузере. Для пользователей это один из признаков, что сайту можно доверять.

Organization Validation (OV)

Эти сертификаты не дают зелёную адресную строку, но активируют индикаторы доверия на панели инструментов браузера. Чтобы получить OV, бизнес должен подтвердить своё существование в центре сертификации. Название организации будет указано в сертификате.

Domain Validation (DV)

Сертификаты DV предлагают только верификацию доменного имени. Это малобюджетные или бесплатные сертификаты, которые предлагают такую же защиту, как и другие, но без дополнительных преимуществ вроде адресной строки или индикаторов доверия.

Сертификаты DV могут быть выданы практически сразу — бизнесу нужно просто подтвердить право собственности на домен.

Хосты с бесплатной проверкой TLS

С 2014 года Let’s Encrypt (Фонд Electronic Frontier, Mozilla, Cisco и Akamai) предлагает бесплатный, автоматизированный и открытый центр сертификации. Это значительно упростило обеспечение безопасных соединений.

Symantec предлагает Encryption Everywhere — бесплатный сервис, гарантирующий, что безопасность сети не будет нарушена из-за отсутствия доступности.

Старые версии SSL/TLS

Большинство сетей используют TLS 1.2 и недавно запущенный TLS 1.3 — они обеспечивают более высокий уровень безопасности. Потому версии TLS вроде 1.0 и SSL должны быть отключены.

При этом многие сервисы предлагают бесплатную проверку сервера на поддержку протоколов TLS/SSL. Так можно понять, какие протоколы поддерживает сайт.

Старые протоколы не влияют на сертификаты

Не нужно беспокоиться, что все сертификаты придётся заменять. Сертификаты не зависят от протоколов, потому что протоколы определяются конфигурацией сервера.

Рекламные публикации для бизнеса:
sales@tproger.ru, +7 916 559-71-10

Tproger