Повне керівництво для початківців щодо шифрування SSL

Зображення HTTPS
Не відставати від злому, фішингу, зловмисного програмного забезпечення, вірусів та всіх інших форм брудної торгівлі в Інтернеті – це великий бізнес. Очікується, що галузь кібербезпеки до 2020 року досягне 170 мільярдів доларів. Зростання в значній мірі зростає з ростом кіберзлочинів, галузевою галуззю, яка відповідає за втрати близько 450 мільярдів доларів на рік. Як пересічний користувач Інтернету та випадковий веб-переглядач залишаються в безпеці серед “серії труб”? Одним з ефективних методів є розуміння та активне використання веб-сайтів із шифруванням Secure Socket Layer (SSL).


SSL менше ніж 100 слів

Шифрування шару захищеного сокета – це стандарт шифрування високого рівня, який використовує комбінацію асиметричних та симетричних алгоритмів ключів. Це означає, що, крім асиметричного відкритого ключа, використовувані криптографічні ключі є унікальними щоразу, коли відбувається з’єднання між двома машинами. Сертифікати SSL використовують асиметричний відкритий ключ (сервер веб-сайту) та приватний ключ (браузер користувача), які спільно працюють для аутентифікації даних та їх захисту. Після формування початкового «рукостискання», SSL з’єднує дві машини з шифром, який постійно шифрує та контролює передачу даних, перевіряючи, що дані є безпечними та незмінними..

Короткий праймер для шифрування (для greenhorns безпеки)

Якщо ви більше професіонал, не соромтеся рухатись направо. Однак якщо вся ця розмова про SSL та безпеку мережі відчуває трішки над головою, давайте порушимо частину того, про що ми говоримо, щоб ви почувались трохи менш розгубленими.

Вся інформація – це дані

Це те, що ви, можливо, вже знаєте. На самому базовому рівні все, що ви надсилаєте та отримуєте в Інтернеті, – це на принциповому рівні кодовані дані. Навіть слова, які ви зараз читаєте на сторінці, перекладається вашим браузером у читабельному, більш візуально привабливому форматі. Насправді ви б не хотіли спробувати читати, як виглядають ці дані, як ви сприймаєте це як нічого, крім купу букв і цифр, які не мають сенсу неперекладеними.

Наприклад, ось знімок з університету Майамі про те, як може виглядати електронна адреса в чистому вигляді даних:

SS-код Маямі

Ви навряд чи зможете зрозуміти дані у стані середини передачі. Але ваш веб-переглядач переводить ці дані у читану форму – у цьому випадку – адресу електронної пошти.

Пакети даних

Здебільшого всі комп’ютери говорять однаковими мовами. Отже, коли два комп’ютери підключаються один до одного по мережі і починають надсилати дані на згаданій вище кодованій мові або на одній з багатьох інших мов коду, вони можуть перевести цю мову у більш читабельний формат для користувача після отримання. Однак, ці дані не надходять як один безперервний потік, але розбиваються на менші пакети, що надсилаються швидко. Пакети даних зазвичай існують у такому вигляді:

  • Заголовок містить інформацію, таку як IP-адреса відправника та IP-адреса приймача, номер мережевого протоколу та інша корисна інформація
  • Корисний вантаж, який є фактичним пакетом даних, який потрібно приймати та перекладати
  • Причіп, що вказує на те, що пакет закінчився і допомагає виправити будь-які помилки, які могли виникнути під час процесу надсилання

Більшість мереж насправді матиме обмеження щодо кількості даних, які може містити кожен пакет. Це означає, що сума корисного навантаження може змінюватись, що також впливатиме на те, скільки часу потрібно для надсилання даних. Оскільки дані можуть бути перехоплені або викрадені в дорозі, якщо у когось є комп’ютер, який може перекладати дані в пакети (майже будь-хто, насправді), їх потрібно зашифрувати до надсилання, а потім розшифрувати, як тільки вони будуть отримані.

Шифрування даних

Оскільки будь-який комп’ютер може перекладати дані, передані через мережі, і через вразливість в мережах, які не захищені, існує шифрування, щоб переконатися, що пакети даних фактично неможливо перекласти. Ось як працює це шифрування.

Все шифрування отримане за допомогою криптографії, дослідження, що стоїть за відправленням повідомлень у кодованих повідомленнях. Криптографія відома в багатьох частинах історії протягом останніх декількох десятиліть, особливо в Другій світовій війні, коли сили Альянсу та Осі активізували свої зусилля для надсилання та кодування повідомлень по публічних ефірах.

У наш час криптографія частіше використовується через мережеве шифрування. При шифруванні дані зашифровуються перед передачею через мережу та стороні, що приймає. Для когось, хто загляне до цього, колись перекладні дані виглядали б просто нісенітницею.

Криптографічні хеш-функції

Отже, як це, що дані зашифровуються? Складні алгоритми, що працюють через криптографічні хеш-функції. Ці функції по суті приймають будь-які дані будь-якого розміру і перетворюють їх у скремблірованную функцію заздалегідь визначеного розміру. Ось приклад того, як це може виглядати:

Хеш-функції

Дані вводяться у хеш-функцію, яка потім перетворює їх у бітовий рядок, як показано вище. Як бачимо, кожен вхід переводиться на рядок бітів однакового розміру, незалежно від вхідних даних. Це розроблено, щоб ускладнити атаки грубої сили (ті, де хтось намагається відгадати скрембліровані дані, намагаючись відгадати всі можливі рішення). Що стосується SSL та інших сучасних стандартів шифрування, груба сила неможлива через велику кількість можливостей. Що підводить нас до нашої наступної теми.

Розмір біта шифрування

Коли дані зашифровуються, заздалегідь визначений розмір бітових рядків є найважливішим фактором для запобігання жорстоких атак. Чим довший розмір бітового рядка, тим важче стає здогадуватися про кожну можливу комбінацію для декодування рядка. В цілому переварені дані називаються “ключами”, і сила цього ключа частково вимірюється у тому, скільки бітів він містить.

То чому б просто не створити ключ, який має, скажімо, мільйон біт? Відповідь – обробка потужності та часу. Чим більший бітовий ключ, тим більше часу та потужності для обробки комп’ютера потрібно, щоб фактично ефективно розшифрувати повідомлення на кінці прийому. SSL фактично використовує різні розміри ключів для різних цілей та на основі того, наскільки оновлена ​​сама машина.

Для початкових рукостискань (тобто підтвердження того, що приймальна машина є правильним одержувачем) використовується набагато більший 2048-бітний ключ RSA. Дані в цьому ключі невеликі, але вони використовуються лише для перевірки обміну даними. Після того, як системи перевірили один одного, SSL переходить до 128, 192 або 256-бітних ключів.

Розмір ключа шифрування
Чи мають значення ключові розміри? Звичайно. Чим більший розмір ключа, тим більше потенційних комбінацій. Тим не менш, навіть менший 128-розрядний розмір клавіш неймовірно складно розірвати за допомогою нападу грубої сили, враховуючи велику кількість потенційних комбінацій. За допомогою поточної обчислювальної потужності можна було б зламати 128-бітний ключ, але на це може знадобитися мільйон років. Однак, найбільша проблема в обчислювальних технологіях зараз полягає в тому, як квантові обчислення дозволять легко зламати SSL-ключі, вимагаючи розширення розмірів ключів. Але ця технологія не буде широко доступною незабаром.

Шифрування в двох словах

Підсумовуючи це, шифрування виконує всі наступні дії:

  • Переглядає дані, перш ніж вони надсилаються по мережі
  • Блокує ці дані за допомогою майже нерозривного (поки що) алгоритму хешу
  • Безпечно переносить ці дані в передачі, запобігаючи переносу даних
  • Тільки дозволяє дані отримувати захищеною стороною та розшифровуватись після їх отримання

Які переваги для SSL?

Шифрування SSL має 2 основні переваги:

  • Він забезпечує безпеку передачі даних між вашим комп’ютером та серверами веб-сайту за допомогою сильного шифрування
  • Він забезпечує перевірку того, що веб-сайт має як оновлений, так і автентифікований сертифікат безпеки.

Безпека даних є надзвичайно важливою, особливо для веб-сайтів, які збирають інформацію про кредитні картки та банки, паролі та імена користувачів. Будь-який веб-сайт, який робить будь-який із них, повинен мати шифрування SSL. В іншому випадку веб-сайт залишається відкритим для злому атак, де дані можуть бути викрадені в дорозі.

Для сертифікатів SSL надзвичайно важлива перевірка. Існує довгий список компаній, які надають сертифікацію SSL, і це не завжди дешево і просто. Веб-сайти, які претендують на сертифікацію SSL з високою надійністю, повинні містити:

  • А Хто записується визначення того, хто належить доменному імені
  • Повний Запит на підпис сертифіката (КСВ)
  • Незалежна перевірка веб-сайту та компанії, яка ним володіє

Цей процес також доходить до власників веб-сайтів. Ось чому фішинг-сайти ніколи не використовуватимуть захищені SSL сертифікати. Вони ніколи не зможуть пройти перевірку, і більшість займаються крадіжкою грошей, не виплачуючи їх іншим компаніям.

Компанії, що займають сертифікацію, навряд чи видадуть сертифікати SSL з високою впевненістю на авторитетний сайт. Більшість компаній CA мають відомі назви. Список включає:

  • Symantec
  • GoDaddy
  • DigiCert
  • Довірча хвиля
  • GlobalSign
  • StartCom
  • SwissSign
  • Мережеві рішення
  • Thawte
  • ком
  • Давайте шифруємо
  • GeoTrust
  • Довірити
  • Комодо

Здебільшого суб’єктами господарювання, як правило, є веб-хости та компанії з кібербезпеки.

Як дізнатися, чи на сайті використовується SSL

Насправді досить просто визначити, чи веб-сайт використовує шифрування SSL. Після підключення до веб-сайту, початкове рукостискання між вашим браузером та сервером призведе до перевірки того, що веб-сайт використовує шифрування SSL. Це показано двома способами:

  • Адреса веб-сайту відображається як HTTPS-сайт (захищений протокол передачі гіпертексту)
  • Символ блокування з’являється безпосередньо зліва або справа від HTTPS

Крім того, на деяких веб-сайтах може бути навіть назва компанії із символом блокування. Веб-сайти, які придбали сертифікати розширеної валідації SSL, найвищого рівня, мають назву компанії відображатись поруч із адресним рядком.

Ось як це все виглядає.

Веб-сайт Stack Exchange не використовує шифрування SSL на багатьох своїх сторінках. Таким чином, за адресою веб-сайту не відображається HTTPS або символ блокування:

StackExchange немає SSL
Натиснувши на “i”, ви виявите, що веб-сайт справді не захищений:

StackExchange немає SSL

Тим часом Google Docs має шифрування SSL, але не найвищий рівень:
SSL Google Docs

Хоча веб-сайт американського банку Capital One використовує розширену перевірку з усіма обробками:
Перший капітальний SSL

Коли SSL важливий – а коли ні

Одне питання, яке вам може бути цікаво, – чи завжди потрібно шифрування SSL. Якщо сказати просто, відповідь така ні. Шифрування SSL не завжди необхідне. Однак ті веб-сайти, які використовують його, мають різні потреби, для якого типу SSL-шифрування вони мають або повинні мати.

Дотримуючись прикладів з попереднього розділу, StackExchange дійсно не потрібно шифрування SSL у всіх областях свого сайту. Дійсно, веб-сайт насправді має шифрування SSL, але лише там, де це фактично потрібно. Якщо ви створили обліковий запис і входите на веб-сайт, подивіться, що станеться:

Stachexchange ssl

Це тому, що будь-який веб-сайт, який вимагає створення облікового запису та входу на його сервер, повинен мати шифрування SSL, принаймні, на самому базовому рівні. Шифрування SSL допоможе запобігти комусь крадіжці даних для входу в ваш обліковий запис, оскільки дані проходять між вашою машиною та сервером веб-сайту..

Взагалі кажучи, чим важливіші дані, що передаються між вами та сервером веб-сайту, тим вищий рівень впевненості у цього веб-сайту. Ось чому такий банк, як Capital One, має розширену перевірку, тоді як веб-сайт типу StackExchange має сертифікат організаційної перевірки..

Веб-сайти, які не збирають будь-яку інформацію або не потребують входу для доступу до частин веб-сайту, безумовно, можуть використовувати шифрування SSL, але це не зовсім необхідно. З цього приводу завжди виникає занепокоєння щодо того, чи веб-сайт створюється та працює, чи це підроблений веб-сайт із фішинг-файлом, створений для крадіжки даних.

Через інтенсивну перевірку, необхідну для отримання сертифікатів SSL, фішинг-сайти не матимуть найвищого рівня шифрування, але вони все одно можуть мати адресу HTTPS або навіть символ блокування. Однак у них ніколи не буде зеленої смуги з назвою компанії, оскільки це надається лише веб-сайтам із сертифікатами високої надійності. Крім того, деякі веб-сайти можуть мати термін дії чи неперевірені сертифікати SSL. Ви можете побачити, як це виглядає, перейшовши на badssl.com, простий, навчальний веб-сайт, який надає ґрунтовні приклади всіх видів аберації SSL-сертифікатів.

Наприклад, веб-сайт із відкликаним сертифікатом SSL може з’явитися на такому сеансі веб-переглядача Chrome:

Поганий SSL

Всім сказано, що веб-сайту не потребує шифрування SSL, але коли ви переходите на веб-сайт, про який ви не впевнені, краще уникати створення логіна на цьому веб-сайті, поки ви повністю не перевірите його спочатку..

Різні типи SSL

Оскільки SSL є формою шифрування та перевірки, існують різні типи. Кожен тип обслуговує дещо інше призначення. Однак важливо зазначити, що різні типи сертифікатів SSL не означають, що веб-сайт забезпечує більш-менш безпеку. Типи сертифікатів вказують, наскільки надійний веб-сайт, оскільки ці різні типи вимагають різного рівня перевірки для отримання.

Сертифікати, підтверджені доменом

DV сертифікати – найменш доступні сертифікати SSL. Ці сертифікати мало чим перевіряють реєстр доменних імен на предмет сертифіката. Вимоги до отримання цих сертифікатів зазвичай низькі, тобто багато фішинг-сайтів насправді отримати їх досить легко. Ці сертифікати не потребують більш суворого контролю та перевірки достовірності, необхідних для інших рівнів сертифікації.

Таким чином, багато організацій з сертифікаційних сертифікатів насправді не пропонують цей сертифікат, оскільки більшість вважає його занадто низьким рівнем безпеки та здебільшого не захищеним. Ви все одно побачите, що символ блокування з’являється на цих веб-сайтах, але вони все ще становлять певний ризик. Перевіряючи інформацію про сертифікат веб-сайту, він інформує лише про доменне ім’я та CA.

Цей тип сертифікатів поширений для веб-сайтів, які мають дуже обмежені проблеми безпеки. Веб-сайт Anime MyAnimeList.net є одним з таких веб-сайтів. Ось його дані про сертифікат:

MAL ssl

Насправді частини веб-сайту не захищені, через що мій веб-браузер блокував ці частини:

Блок MAL SSL

Хоча сертифікати DV можуть бути корисними, типи веб-сайтів, які зазвичай їх використовують, не дозволяють отримувати індивідуальні облікові записи користувачів і тому не збирають імена користувачів та паролі.

Сертифіковані сертифікати організації

Ці сертифікати SSL вимагають більш жорсткого процесу перевірки для отримання, а отже, і дорожчого. На відміну від сертифікатів DV, сертифікати OV відповідають стандартам Запиту на коментарі (RFC), встановленим Цільовою групою Internet Engineering (IETF) та Інтернет-суспільством (ISOC). Веб-сайти повинні обмінюватися інформацією про підтвердження, і ЦА може зв’язатися безпосередньо з компанією, щоб перевірити інформацію.

Перевіряючи інформацію про сертифікат, ви побачите ім’я веб-сайту та того, кого він перевіряє. Однак ви не отримаєте інформацію про власника.

Wikipedia – приклад веб-сайту, який використовує сертифікат OV:

Вікіпедія SSL

Розширений сертифікат валідації

Сертифікат EV – це найвищий рівень, що забезпечує найбільшу впевненість та достовірність. Процес, необхідний для отримання сертифікату EV, є великим і дорогим. Тільки веб-сайти з сертифікатом EV отримають перевірку зеленої смуги відповідно до назви свого веб-сайту у вашому веб-браузері. На жаль, не всі веб-браузери можуть відображати зелену смугу EV. Він доступний лише для таких веб-переглядачів:

Google Chrome, Internet Explorer 7.0+, Firefox 3+, Safari 3.2+, Opera 9.5+

Старі браузери не відображатимуть його. Це не означає, що його там немає. Це просто означає, що тим, хто користується старими браузерами, можливо, доведеться перевірити інформацію про сертифікат, щоб перевірити рівень перевірки.

Представляючи більш детальну інформацію для Capital One виявляє той факт, що веб-сайт дійсно використовує сертифікат EV SSL:

Перший капітальний SSL

Сертифікати EV є на сьогодні найбільш надійними та найбезпечнішими, але не зовсім необхідними для кожного веб-сайту. Більшість веб-сайтів насправді можуть отримати DV або OV. Однак якщо веб-сайт збирає інформацію від вас, вам не слід довіряти їй, якщо вона не має сертифікат OV або вище.

При цьому деякі веб-сайти перенаправляють вас на зовнішній сайт під час здійснення платежів. Ці веб-сайти можуть використовувати зовнішні сервіси для своєї платіжної системи, наприклад, PayPal, яка має високу надійність сертифікації EV. Таким чином, їм не потрібно купувати власний EV, натомість покладаючись на зовнішні служби, щоб забезпечити цей рівень безпеки та надійності.

Проблеми з сертифікатами DV та OV

Хоча багато ЦА не пропонують сертифікати DV, деякі з них. Оскільки сертифікати CA не потребують подальших перевірок та перевірки, деякі власники фішинг-сайтів взялися за придбання цих сертифікатів для гри в систему. На жаль, немає прямого способу розрізнити веб-сайти DV та OV без фактичного перегляду інформації сертифікату більш детально. Ось чому багато веб-сайтів звертаються до EV (сертифікатів високої надійності). Як і сертифікати OV, вони потребують більш широкої перевірки, але також постачаються із зеленою смужкою, яка дає назву компанії, а також символом блокування та великою кількістю наданої інформації про перевірку.

У більшості веб-переглядачів ви можете перевірити сертифікат, натиснувши на символ блокування, натиснувши «Більше інформації», а потім натисніть «Переглянути сертифікат»:

SSL сертифікат

Тут з’явиться детальна інформація в сертифікаті цього веб-сайту:
обмін стеками ssl

Тут ми можемо побачити, що обмін стеками справді використовує сертифікат високої надійності EV, виданий DigiCert. Ми можемо довіряти їхньому веб-сайту і не потрібно турбуватися про вхід у нього захищеним паролем.

Чи є альтернативи SSL?

Хоча SSL з’їдає велику частину всього захищеного інтернет-трафіку, існує кілька помітних альтернатив цьому методу шифрування..

Шар шару транспорту

TLS, або Transport Socket Layer, є спадкоємцем SSL. Дійсно, у багатьох випадках те, що називається сертифікатом SSL, насправді може бути сертифікатом TLS. Це не випадково. Новий стандарт TLS, в значній мірі, базується на SSL, із змінами, які досить малі, що багато людей, навіть ті, які безпосередньо в галузі, все ще посилаються на TLS та SSL разом (як правило, з позначкою “SSL / TLS”). Ключові відмінності між SSL та TLS – це оновлені шифри та краща безпека для TLS, саме тому він замінив SSL. Тим не менш, більшість людей все ще називають TLS як SSL, враховуючи, що два протоколи надзвичайно схожі. Оскільки обидва використовують однакові сертифікати, перехід для більшості веб-сайтів був досить простим.

Безпечна оболонка

Безпечна оболонка (SSH) є безпосередньо конкурентоспроможною SSL і багато в чому так само безпечна. Однак SSH відрізняється найбільш істотно двома способами. По-перше, SSH по суті є вільним отримати. На відміну від SSL, SSH не використовує повноважних органів сертифікації для перевірки та передачі аутентифікації. Крім того, на відміну від SSL, в SSH також використовується різноманітна кількість утиліт, які працюють із шифруванням. Це може включати віддалену роботу мережевих машин та створення вимог входу через захищену мережу. SSH користується більшою популярністю серед адміністраторів мережі. Причина SSH менш безпечна, ніж SSL / TLS, полягає в тому, що управління ключами має невеликий нагляд, на відміну від SSL. Це означає, що ключі шифрування можуть бути загублені, викрадені або неправильно використані, що ускладнює перевірку права власності.

IPSec

Безпека Інтернет-протоколу застосовує інший підхід до безпеки мережі та шифрування. Поки SSL / TLS працює на рівні додатків, IPSec був розроблений як шифрування “точка-точка” для всієї мережі. Таким чином, IPSec працює на іншому рівні мережевого протоколу (SSL працює на рівні 1, HTTP, тоді як IPSec працює на рівні 3, IP). Це дає IPSec більш цілісний підхід до безпеки мережі. IPsec також більш розроблений для постійного з’єднання між двома машинами, тоді як SSL призначений для постійних сеансів.

Спочатку IPSec був призначений для IPv6, оскільки він забезпечує мережеву безпеку на рівні IP. Дійсно, IPsec спочатку був розроблений як метод захисту мережі для IPv6. Однак найбільша слабкість IPSec полягає в тому, що він не забезпечує більш індивідуалізовану аутентифікацію. Як тільки хтось отримав доступ до мережі, захищеної IPSec, він може отримати доступ до будь-якої мережі; доки не існує іншої автентифікації, немає обмежень доступу.

Крім того, IPSec не є винятком щодо віддаленого доступу. Він більше розроблений для з’єднання між мережами “точка-точка”, наприклад, велика компанія, яка створює захищені з’єднання зі своїми серверами для всіх своїх ділових місць. Якщо дозволити віддаленим користувачам підключатися (наприклад, працівникам, які хочуть працювати вдома або під час подорожі), потрібно більше обслуговування, вимагаючи окремих додатків.

Розширення SSL та рішення VPN

Оскільки SSL є головним чином стандартом шифрування на основі додатків, розроблені рішення для того, щоб SSL також можна було застосовувати різними способами.

OpenSSL на VPN

OpenSSL – це версія з відкритим кодом SSL, яка використовується у багатьох програмах, що не переглядають браузер. Найбільш примітним є те, що це основний метод захисту, який використовують VPN, які працюють за допомогою платформи OpenVPN. OpenSSL саме так звучить: версія SSL з відкритим кодом, яка вільна у використанні та розігруванні. Як і у багатьох ініціативи з відкритим кодом, OpenSSL дуже залежить від спільноти, яка використовує його для постійного оновлення. Це призвело до певних розладів, оскільки OpenSSL не має такої впевненості, як сертифікат SSL на основі браузера, придбаний через сертифікаційний орган. Виявлені помітні вразливості, але OpenSSL також часто оновлюється для протидії цим вразливим місцям.

Існує кілька вилок для цієї програми, включаючи власний BoringSSL від Google. З позитивного боку, набір інструментів OpenSSL дозволяє постійно вдосконалюватись, враховуючи, що він є відкритим кодом.

Безпечний перегляд HTTPS скрізь

HTTPS скрізь

Безкоштовний продукт від Фонду електронних кордонів, HTTPS Everywhere – це розширення для браузера для Chrome, Firefox та Opera, завдяки якому ваш браузер вибирає сторінки HTTPS, коли це можливо. HTTPS Everywhere також допомагає захистити ваші дані під час підключення до сайту, який використовує HTTPS на деяких, але не на всіх його сторінках. Поки веб-сайт підтримує HTTPS, HTTPS Everywhere може конвертувати сторінки в HTTPS та шифрувати дані. Однак, як зазначено на сторінці поширених запитань EFF, веб-сайти, що посилаються на сумнівні сторонні посилання, такі як зображення, не можуть бути повністю захищені HTTPS.

Ви також можете встановити HTTPS Everywhere для блокування небезпечних посилань та фішингових веб-сайтів, що є чіткою функцією безпеки, яка запобігає випадковому натрапленню користувачів на Інтернет на фішинг-сайти.
“HTTPS” від Christiaan Colen, що має ліцензію CC CC 2.0

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map