Phenquestions
Välkommen till nybörjarguiden för TLS och SSL. Vi tar en djupdykning i tillämpningarna av asymmetrisk eller offentlig nyckelkartografi.
Vad är asymmetrisk kryptografi?
Public key-kryptografi introducerades i början av 1970. Tillsammans med det kom idén att istället för att använda en enda nyckel för att kryptera och dekryptera en bit information, skulle två separata nycklar användas: kryptering och dekryptering. Det betyder att nyckeln som används för att kryptera informationen inte är relevant för frågan om dekryptering av den informationen. Det är också känt som asymmetrisk kryptografi.
Detta är ett nytt koncept, och för att vidareutveckla det skulle det krävas användning av mycket invecklad kalkyl, så vi kommer att spara den diskussionen för en annan gång.
Vad är TLS och SSL?
TLS står för Transport Layer Security, medan SSL är en förkortning för Secure Socket Layer. Båda är Public Key-kryptografiapplikationer, och tillsammans har de gjort internetanvändare kunna utföra kommunikation över internet.
Vad exakt dessa två är förklaras nedan.
Hur skiljer sig TLS från SSL?
TLS och SSL använder båda den asymmetriska metoden för kryptering för att säkra kommunikation över internet (handskakningar). Kärnskillnaden mellan de två är att SSL härrör från kommersiell innovation, och därför en fastighet för moderbolaget, som är Netscape. Däremot är TLS en Internet Engineering Task Force Standard, en lite uppdaterad version av SSL. Det namngavs annorlunda för att undvika upphovsrättsfrågor och eventuellt en rättegång.
För att vara exakt kommer TLS med några attribut som skiljer den från SSL. I TSL skapas handskakningar utan säkerhet och förstärks av STARTTLS-kommandot, vilket inte är fallet i SSL.
TSL anses vara en förbättring av SSL eftersom det gör att handskakningar som vanligtvis är osäkra eller osäkra kan uppgraderas till säker status.
Vad gör TLS-anslutningar säkrare än SSL?
Det har varit intensiv konkurrens på marknaderna för datasäkerhet. SSL 3.0 kunde inte hålla jämna steg med internet och blev föråldrad 2015. Det finns flera anledningar bakom detta, främst att göra med de sårbarheter som inte kunde ha åtgärdats. En sådan mottaglighet är SSL: s kompatibilitet med chiffer som klarar moderna cyberattacker.
Sårbarheten kvarstår med TLS 1.0, eftersom en inkräktare kan tvinga en SSL 3.0-anslutning på klienten och sedan utnyttja dess sårbarhet. Detta är inte längre fallet med TLS: s nya uppgradering.
Vilka åtgärder kan vi vidta?
Om du är i den mottagande änden håller du bara din webbläsare uppdaterad. Numera kommer alla webbläsare med inbyggt stöd för TLS 1.2, varför upprätthållande av säkerhet inte är så svårt för klienterna. Användarna bör dock fortfarande vidta försiktighetsåtgärder när de ser röda flaggor. Praktiskt taget alla varningsmeddelanden från dina webbläsare pekar på sådana röda flaggor. Moderna webbläsare är exceptionella för att upptäcka om något skumt händer på en webbplats.
Serveradministratörer som är värd för webbplatser har större ansvar på sina axlar. Det finns mycket du kan göra i detta avseende, men låt oss börja visa ett meddelande när en klient använder föråldrad programvara.
Till exempel bör de som använder Apache-maskiner som servrar prova detta:
$ SSLOptions + StdEnvVars$ RequestHeader ställer in X-SSL-protokoll% SSL_PROTOCOL s
$ RequestHeader ställer in X-SSL-kryptering% SSL_CIPHER s
Om du använder PHP, sök efter $ _SERVER i skriptet. Om du stöter på något som indikerar att TLS är föråldrat, visas ett meddelande därefter.
För att bättre stärka din serversäkerhet finns det gratis verktyg där ute som testar systemet för känslighet för TLS- och SSL-brister. Vissa av dem kan ännu bättre konfigurera din server. Om du gillar den idén, kolla in Mozilla SSL Configuration Generator, som i princip gör allt för dig för att ställa in din server för att minimera TLS-risker och sådant.
Om du vill testa servern för SSL-känslighet, kolla in Qualys SSL Labs. Den kör en automatiserad konfiguration som är både omfattande och invecklad om du är detaljorienterad.
Sammanfattningsvis
Sammantaget ligger tyngden av ansvar på allas axlar.
Med tillkomsten av moderna datorer och tekniker har cyberattacker blivit allt mer effektfulla och storskaliga med tiden. Alla internetanvändare måste ha tillräcklig kunskap om systemen som skyddar deras integritet online och vidta nödvändiga försiktighetsåtgärder när de kommunicerar via internet.
I vilket fall som helst är du alltid mycket bättre med att använda öppen källkod eftersom de är säkrare, gratis och kan få jobbet gjort.
