Что такое SSL?

Последнее изменение 18 декабря, 2019


SSL (Secure Sockets Layer) и его преемник, TLS (Transport Layer Security) , являются протоколами для установления аутентифицированных и зашифрованных соединений между сетевыми компьютерами. Хотя протокол SSL устарел с выпуском TLS 1.0 в 1999 году, все еще принято называть эти связанные технологии «SSL» или «SSL / TLS». Самая последняя версия — TLS 1.3 , определенная в RFC 8446 (август 2018).

Ключи, сертификаты и рукопожатия

SSL / TLS работает путем привязки идентификаторов объектов, таких как веб-сайты и компании, к парам криптографических ключей с помощью цифровых документов, известных как сертификаты X.509 . Каждая пара ключей состоит из закрытого ключа и открытого ключа . Закрытый ключ хранится в безопасности, а открытый ключ может широко распространяться через сертификат. проверить сертификат ssl

Специальные математические отношения между закрытым и открытым ключами в паре означают, что можно использовать открытый ключ для шифрования сообщения, которое может быть расшифровано только с помощью закрытого ключа. Кроме того, владелец закрытого ключа может использовать его для подписи других цифровых документов (например, веб-страниц), и любой человек с открытым ключом может проверить эту подпись.

Если сам сертификат SSL / TLS подписан публично доверенным центром сертификации (CA) , таким как SSL.com , сертификат будет неявно доверяться клиентским программным обеспечением, таким как веб-браузеры и операционные системы. Публично доверенные центры сертификации были одобрены крупными поставщиками программного обеспечения для проверки идентификаторов, которым будут доверять их платформы. Процедуры валидации и выдачи сертификатов общедоступного ЦС регулярно и строго проверяются для поддержания этого доверенного статуса.

Посредством рукопожатия SSL / TLS закрытый и открытый ключи могут использоваться с публично доверенным сертификатом для согласования зашифрованного и аутентифицированного сеанса связи через Интернет, даже между двумя сторонами, которые никогда не встречались. Этот простой факт является основой безопасного просмотра веб-страниц и электронной коммерции, как это известно сегодня.Не все приложения SSL / TLS требуют общественного доверия. Например, компания может выдавать собственные конфиденциальные сертификаты для внутреннего использования. 

SSL / TLS и безопасный просмотр веб-страниц

Самым распространенным и общеизвестным применением SSL / TLS является безопасный просмотр веб-страниц по протоколу HTTPS . Правильно настроенный общедоступный веб-сайт HTTPS содержит сертификат SSL / TLS, который подписан общедоступным доверенным центром сертификации. Пользователи, посещающие веб-сайт HTTPS, могут быть уверены в:

  • Подлинность. Сервер, представляющий сертификат, обладает закрытым ключом, который соответствует открытому ключу в сертификате.
  • Целостность. Документы, подписанные сертификатом (например, веб-страницы), не были изменены при передаче человеком в середине .
  • Шифрование. Связь между клиентом и сервером зашифрована.

Благодаря этим свойствам SSL / TLS и HTTPS позволяют пользователям безопасно передавать конфиденциальную информацию, такую ​​как номера кредитных карт, номера социального страхования и учетные данные для входа в систему через Интернет, и быть уверенными, что веб-сайт, на который они отправляют их, является подлинным. На небезопасном веб-сайте HTTP эти данные отправляются в виде простого текста, который легко доступен любому перехватчику, имеющему доступ к потоку данных. Кроме того, пользователи этих незащищенных веб-сайтов не имеют никаких доверенных сторонних гарантий того, что веб-сайт, который они посещают, является тем, чем он себя считает.

Найдите следующие индикаторы в адресной строке вашего браузера, чтобы убедиться, что посещаемый вами сайт защищен доверенным сертификатом SSL / TLS (снимок экрана с Firefox 70.0 в macOS):

Адресная строка
  • Значок замка слева от URL. В зависимости от вашего браузера и типа сертификата, установленного на веб-сайте, замок может быть зеленого цвета и / или сопровождаться идентификационной информацией о компании, которая его эксплуатирует.
  • Если показано, протокол в начале URL должен быть https : // , а не http : // . Обратите внимание, что не все браузеры отображают протокол.
Firefox 69 (macOS)

Современные настольные браузеры также предупреждают посетителей о небезопасных веб-сайтах, которые не имеют сертификата SSL / TLS. Снимок экрана выше показывает небезопасный веб-сайт, просматриваемый в Firefox, и показывает зачеркнутый замок слева от URL-адреса

Получение сертификата SSL / TLS

Готовы защитить свой собственный сайт? Основная процедура запроса публично доверенного сертификата сайта SSL / TLS заключается в следующем:

  • Человек или организация, запрашивающая сертификат, генерирует пару открытых и закрытых ключей, предпочтительно на защищаемом сервере.
  • Открытый ключ вместе с доменным именем (именами), которые должны быть защищены, и (для сертификатов OV и EV) организационная информация о компании, запрашивающей сертификат, используется для создания запроса на подпись сертификата (CSR) .
    • Пожалуйста, смотрите этот FAQ для получения инструкций по созданию пары ключей и CSR на многих серверных платформах.
  • CSR отправляется в общедоступный доверенный центр сертификации (например, SSL.com). CA проверяет информацию в CSR и генерирует подписанный сертификат, который может быть установлен на веб-сервере запрашивающей стороны.

Сертификаты SSL / TLS варьируются в зависимости от используемых методов проверки и уровня доверия, которое они предоставляют, с расширенной проверкой ( EV ), предлагающей самый высокий уровень доверия.

Статья перевелена с сайта www.ssl.com (картинки оттуда же)







Pin It on Pinterest