Bevezetés az SSL-be (Secure Sockets Layer)

Bármely hálózat adminisztrálásával kapcsolatos fő probléma az, hogy biztonságosak legyenek az adatok, amelyeket különféle szerverekre küldnek, különös tekintettel a nem megbízható hálózatokra. Az SSL / TLS felhasználható üzenetek titkosítására a kiszolgálók között, miután hitelesítésük sikeres volt az SSL által.

Az SSL-t a Netscape fejlesztette ki 1994-ben, mint eszköz az ügyfél és a szerver közötti kommunikáció biztosítására.

Mi az SSL?

Az SSL a Secure Sockets Layer kifejezést jelenti, és egy olyan protokoll, amelyet biztonságos kommunikáció biztosítására használnak a számítógépes hálózathoz. A protokoll hivatalos nevét most megváltoztatták és helyettesítették, TLS néven ismert, amely a közlekedési réteg biztonságát jelenti. Míg az SSL volt a TLS alapja, ez helyettesítette az SSL-ben felfedezett biztonsági réseket.

A mai világban van olyan információ, amely személyes és biztonságos, és amelyet meg kell védeni a hackerek és a bűnözők ellen. Információcsere történhet egy kiszolgáló és egy ügyfél között (pl. Egy böngészőnél és egy weboldalon), és a kiszolgálók hálózatán is.

Amikor egy hálózatot vagy webhelyet SSL védelemmel lát, a HTTPS megjelenik az URL-ben. A HTTPS a Hyper Text Transfer Protocol Secure kifejezést jelenti. Az SSL-tanúsítványt kiállító hatósággal és a webhelytulajdonos cégnevével kapcsolatban sokkal több részletet láthat, ha rákattint a böngészősávon megjelenő bal felső sarok szimbólumra.

Forrás: A Saját asztalon

Az SSL működése (hogyan létesül a biztonságos kapcsolat)

Az SSL mögött alkalmazott alapvető megközelítés az, amikor engedélyez és telepít egy SSL tanúsítványt egy kiszolgálóra, és amikor egy ügyfél, mondjuk, a webböngésző megpróbál csatlakozni vele, az SSL tanúsítvány elindít egy SSL protokollt, amely az összes adatot titkosítja. az ügyfél és a szerver. Van egy SSL kézfogás, amely történik az ügyfél és a böngésző között, amely a felhasználók számára láthatatlan. Az SSL kapcsolat beállításához három kulcsra van szükség: a privát kulcsra, a nyilvános kulcsra és a munkamenet kulcsra.

A szabály:

Bármit, ami nyilvános kulcs segítségével van titkosítva, csak a privát kulcs titkosíthatja, és fordítva. Miután a kapcsolat létrejött, a munkamenet kulcsot használják az adatok titkosításához.

Különböző algoritmusok használhatók az adatok SSL titkosításához, és az SSL-ben támogatott szimmetrikus algoritmusok a Camellia, DES, 3DES, RC2, ARCFOUR, AES, IDEA, SEED, NULL (azaz nincs titkosítás).

Milyen lépéseket kell végrehajtani egy biztonságos kapcsolat létesítéséhez az SSL-en?

Az alábbiakban bemutatjuk a biztonságos kapcsolat létrehozását az SSL-en keresztül:

  1. A webböngésző, azaz az ügyfél csatlakozik az SSL-lel biztosított szerverhez. A böngésző / ügyfél kéri a szerver azonosítását.
  2. Ezután a szerver elküldi az ügyfélnek a CA által kiadott SSL tanúsítványt. A tanúsítvánnyal együtt a szerver megküldi a nyilvános kulcsát is.
  3. Az ügyfél, azaz a böngésző megkapja a tanúsítvány másolatát, majd ellenőrzi a különböző tulajdonságokat, azaz ellenőrzi a lejáratot, a visszavonásokat és az érvényességet. Ha az eredményül kapott ellenőrzés megbízható, egy szimmetrikus munkamenet-kulcsot küldünk vissza az ügyfélnek, amelyet a szerver nyilvános kulcsával titkosítunk.
  4. A kiszolgáló ezután a szimmetrikus munkamenet-kulcsot titkosítja a magánkulcsa segítségével. Visszaigazolást küldünk vissza, amelyet a munkamenet kulccsal titkosítunk.
  5. Miután a biztonságos kapcsolat létrejött, az összes továbbított adat titkosítva van a munkamenet-kulcs segítségével.

Az SSL és a biztosított biztonság jellemzői

Az SSL / TLS szolgáltatásokat nyújt az adatok titkosításához, hitelesítéséhez és az adatok integritásához.

Ha az adatokat SSL-rel titkosítjuk, ez alapvetően azt jelenti:

  • Az elküldött adatokat / üzenetet senki sem olvassa
  • Az üzenetet / adatokat senki sem módosítja
  • Az üzenetet / adatokat elküldi a címzettnek.

Annak érdekében, hogy megbizonyosodjon arról, hogy az üzenet elérte a címzettet, és senki sem módosította azt, az SSL ezt titkosítja és aláírja.

Mindkét folyamat megköveteli a kulcsok használatát.

Nyilvános, magán- és szimmetrikus kulcsok

  • Nyilvános kulcs - A nyilvános kulcs algoritmusok segítségével konvertálja az üzenetet olvashatatlan formátumba, és csak az a személy, aki rendelkezik a nyilvános kulcsmal, titkosítja az üzenetet. A másik végén a vevőnek van privát kulcsa, amellyel visszafejteni tudja az üzenetet.
  • Privát kulcs - A privát kulcsot arra használják, hogy dekódolja az üzenetet, amelyet a nyilvános kulcs segítségével titkosítottak.

Példa:

A nyilvános kulcs, amint a neve is sugallja, mindenki számára elérhető, aki hozzáfér a tárolóhoz.

Egy nyilvános kulcs, többé-kevésbé az alábbiak szerint néz ki:

1048 0141 03C9 18FA CA8D EB2D EKD5 FD37 89B9 M069 EA97 FC20 5E35 F577 EE31 C4FB C6B4 4811 7A86 BC8F BAFA 362F 922B F01B 2K40 C744 2654 C0DD 2881 D673 CA2B 4013 C266 E2.

A leghíresebb példával együtt, ha Bob érzékeny információkat szeretne küldeni Alice-nek, akkor titkosítja az adatokat Alice nyilvános kulcsával. Ezzel meggyőződne arról, hogy csak Alice képes olvasni. A másik oldalon csak Alice fér hozzá a megfelelő magánkulcshoz. Tehát csak a magánkulccsal rendelkező személy képes visszafejteni a titkosított adatokat.

Kulcsok és tanúsítványok

A nyilvános / magánkulcs-kriptográfiában hogyan tudhatjuk, hogy a nyilvános kulcs annak a jogalanynak tartozik, amely azt igényelte?

A digitális tanúsítvány a válasz erre.

A digitális kulcs olyan, mint egy elektronikus jelszó, amely összeköttetést biztosít a nyilvános kulcs és az ellenőrzött entitás (például a vállalat, vállalkozás) között. A megbízható nyilvános titkosítási kulcsok terjesztésének preferált módja a digitális tanúsítványok.

Hogyan szerezhetők be digitális tanúsítványok?

A digitális tanúsítványok bármelyik elismert igazolási hatóságtól vagy CA-tól beszerezhetők.

Néhány népszerű tanúsító hatóság társaság:

  • Comodo SSL.
  • DigiCert.
  • Biztosítsa az adatkártyát.
  • GeoTrust.
  • GlobalSign.
  • Hajrá apu.
  • Hálózati megoldások.
  • RapidSSL

A tanúsítvány megszerzéséhez az üzleti vállalkozásnak vagy a szervezetnek ki kell töltenie az űrlapot, hozzá kell adnia nyilvános kulcsokat, és ezeket el kell küldeni a Tanúsító Hatóságnak. A tanúsító hatóság viszont végrehajt néhány ellenőrzést, és vissza fogja küldeni a kulcsot, amelyet a tanúsítvány tartalmaz.

A kapott tanúsítványt a CA (igazolási hatóság) írja alá.

A digitális tanúsítványok elsősorban kétféleek

  • Meghosszabbított érvényes tanúsítványok (EV)

Az EV vagy a kiterjesztett érvényesített tanúsítványokat a HTTPS webhelyekre és a szoftverre is használják. Az EV jogi személyt biztosít a szoftvercsomag és a weboldal ellenőrzéséhez.

  • Domain érvényesített tanúsítványok (DV)

Amennyiben a DV vagy a tartomány érvényesíti a tanúsítványokat, akkor az üzleti vagy az entitás identitását a DNS-tartomány feletti ellenőrzéssel történő érvényesítésével érvényesíti. A DV tipikus X.509 digitális tanúsítvány.

Az érvényes SSL-tanúsítvány meghatározásának lépései

Annak meghatározására, hogy a weboldal rendelkezik-e SSL-tanúsítvánnyal vagy érvényes SSL-tanúsítvánnyal (ami azt jelenti, hogy megbízható és nem járt le), az alábbiakban néhány a végrehajtható ellenőrzésekről szól:

  1. A fő különbség a „HTTP” (azaz HyperText Transfer Protocol) és a „https” (azaz HyperText Transfer Protocol Secure), amely azt mondja, hogy melyik kapcsolatot biztosítja az SSL. A https mindig megjelenik bármilyen weboldal címe előtt, ha az SSL-védett. Bár ha a webhelynek nincs biztonsága, a címe HTTP-vel jelenik meg.
  2. Lakat szimbólum akkor látható, ha a webhely SSL-védett.
  3. Az SSL-tanúsítványt kiállító hatósággal és a webhelytulajdonos cégnevével kapcsolatban sokkal több részletet láthat, ha rákattint a böngészősávon megjelenő bal felső sarok (azaz lakat) szimbólumra.

Hol kell használni az SSL-t?

Az SSL-t mindenhol fel kell használni, ahol adatokat vagy információkat továbbítunk hálózaton keresztül, különösen, ha az információ érzékeny.

Példák:

  1. Intranet kommunikáció - A szervezet intraneten cserélt információk biztosítása érdekében.
  2. Internet - Az interneten cserélt információk biztonságossá tétele. Például a webböngésző és a szerver közötti kommunikációhoz.
  3. Információk cseréjének biztosítására a kiszolgálók közötti kiszolgálók között vagy a kiszolgálók hálózatán keresztül.
  4. Felhő alapú számítástechnika.
  5. A mobiltelefonon, táblagépeken stb. Küldött információk biztonsága
  6. E-mail kommunikáció és még sok más.

Az SSL tanúsítványok előnyei

Mint megtudtuk, az SSL egy olyan protokoll, amelyet biztonságos kommunikáció biztosítására használnak a számítógépes hálózathoz. Az SSL használatának előnyei a következők:

1. A rossz fiúk, a „hackerek” összes kísérletének törlésére

Nagyon sok adathalász webhely érhető el és készül még ma, ezért nagyon óvatosnak kell lennünk az adathalász webhelyekkel szemben. Sok esetben előfordulhat, hogy az eredeti webhely pontos másolatát látja el, amelyet hamisítás céljából áll rendelkezésére. Az SSL-tanúsítványok vonatkozásában azonban gondoskodni fog arról, hogy ne történjenek ilyen események, mivel a hamis webhelyek számára lehetetlen a CA által jóváhagyott és aláírt SSL-tanúsítványt szerezni. Emellett az SSL megvédi Önt más fenyegetésektől is, mint például a „középtámadásban lévő ember” és a lehallgatás.

2. A keresőmotorok rangsorolása és a felhasználók jelenlétének növelése

Sok olyan keresőmotor, mint például a Google, frissítette algoritmusát rangsoros webhelyre, hogy bizonyos paraméterek alapján megjelenjen a keresési eredmények között, és ezek közül az egyik egy SSL-titkosított webhely. Az SSL biztonsággal rendelkező webhelyek rangsorolása a nem biztonságos webhelyek előtt történik, ami azt jelenti, hogy amikor a felhasználók információt keresnek, az SSL-védett webhely az első megjelenik a keresési eredmények között, míg a NoNSSL webhelyek az utolsó.

Egy másik nagy előnye a felhasználók és az ügyfelek bizalmának megszerzése. Az SSL-sel biztosított webhely növeli a felhasználók bizalmát, és kevésbé aggódnak a weboldal biztonsági szempontjai miatt, és nem félnek a webhely böngészése közben.

3. Biztonságos fizetés-átjáró és biztonságos vásárlás

Minden üzleti webhelyen kötelező SSL-tanúsítványt beszerezni. Pénz és készpénzátutalások esetén rendkívül biztonságos alagutat kell biztosítani a felvásárló és az eladót végző egység között, bárki is részt vesz az üzletben. Az SSL-tanúsítvánnyal nem rendelkező vállalkozások szinte a hackerek támadásait célozzák meg. Biztonságos kapcsolat nélkül egyetlen felhasználó sem fogja megszerezni azt a bizalmat, hogy hitelkártya számát beküldi a tranzakció érdekében.

4. További biztonság és kibővített hitelesítés

A világszerte növekvő kibertámadásokkal az ügyfelek, valamint az etikus hackerek egyre biztonságosabbá válnak az esetleges visszaélések megelőzésében betöltött szerepük iránt. Nagyon sok érzékeny információcserét folytatnak egy hálózaton keresztül, például jelszavak, személyes adatok, üzleti üzletek stb. Tehát biztonságos hitelesítést kell biztosítani a kommunikáció megfelelő védelme érdekében. Ezt a biztonságot az érinti, ha kiszolgálói tanúsítványt ad ki az SSL tanúsítvánnyal együtt.

5. Robusztusabb titkosítás az információk biztonságához

Az SSL kapcsolaton keresztül továbbított összes információt robusztus és összetett algoritmusok titkosítják. Szinte lehetetlen megfejteni őket. A titkosítási algoritmusok, amelyeket leginkább a tanúsító hatóságok használnak, az RSA, DSA és ECC. Minden olyan érzékeny információt, mint a jelszavak vagy a hitelkártya-számok, amikor hálózaton küldik el, robusztus titkosítással biztosítják, és ez nem teszi lehetővé a hackerek számára, hogy feltörjék.

Következtetés

Ebben a cikkben megértettük az SSL működését és működését. Megtudtuk a nyilvános és a magánkulcsokat is, amelyeket az SSL titkosítási algoritmusában használnak, majd megtudtuk, hol használhatjuk az SSL-t. Végül befejeztük a cikkünket az SSL előnyeinek megismerésével.

Ajánlott cikkek

Ez az útmutató az Mi az SSL ?. Itt megvitattuk az érvényes SSL-tanúsítvány meghatározásának kulcsfontosságú koncepcióját, tulajdonságait, működését, előnyeit és lépéseit. A további javasolt cikkeken keresztül további információkat is megtudhat -

  1. Az Ansible ingyenes?
  2. Mi a MapReduce a Hadoopban?
  3. Mi az a Django?
  4. Mi az a kiberbiztonság?
  5. A digitális tanúsítvány tartalma és típusai

Kategória:

Szoftverfejlesztés