Apakah HTTPS menggunakan TLS?

Apa itu https

Untuk melindungi situs web yang menghadap publik dengan HTTPS, perlu menginstal sertifikat SSL/TLS yang ditandatangani oleh Otoritas Sertifikat Tepercaya (CA) di server web Anda. SSL.com’S KnowledgeBase mencakup banyak panduan bermanfaat dan how-to untuk mengkonfigurasi berbagai platform server web untuk mendukung https.

Ringkasan:

HTTPS adalah protokol aman yang digunakan untuk melindungi situs web. Itu membutuhkan pemasangan sertifikat SSL/TLS dari CA tepercaya. SSL.com menyediakan panduan untuk mengonfigurasi server web untuk mendukung https.

Poin -Poin Kunci:

1. Transport Layer Security (TLS): TLS menyediakan keamanan untuk komunikasi antara host. Ini memastikan integritas, otentikasi, dan kerahasiaan. Ini biasanya digunakan di browser web tetapi dapat digunakan dengan protokol apa pun yang menggunakan TCP.

2. TLS vs SSL: SSL adalah pendahulu protokol TLS. Beberapa istilah, seperti sertifikat SSL, digunakan secara bergantian. Penting untuk menggunakan TLS, bukan protokol SSL yang tidak aman.

3. Penggunaan Port: Beberapa aplikasi menggunakan port tunggal untuk sesi yang tidak terenkripsi dan terenkripsi. Untuk beralih dari tidak terenkripsi ke terenkripsi, startTls digunakan. Istilah SSL dapat digunakan ketika port tunggal secara langsung menggunakan protokol TLS.

4. SSL/TLS di Wireshark: Wireshark memiliki distor TLS yang berfungsi penuh, yang mendukung dekripsi jika rahasia yang sesuai disediakan. Disektor berganti nama dari SSL menjadi TLS di Wireshark 3.0.

5. Dekripsi TLS: Wireshark mendukung dekripsi TLS menggunakan file log kunci atau kunci pribadi RSA. File log kunci direkomendasikan saat berfungsi dalam semua kasus. Kunci pribadi RSA memiliki keterbatasan.

6. Pengaturan Preferensi: Preferensi terkait TLS dapat ditemukan di menu Edit -> Preferensi. Preferensi penting termasuk nama file log (pra) -master-secret, daftar kunci RSA, pra-shared-key, dan file debug TLS.

7. Preferensi Protokol TCP: Untuk mengaktifkan dekripsi TLS, opsi “Izinkan Subdissektor untuk memasang kembali TCP Streams” harus diaktifkan. Mulai dari Wireshark 3.0, Opsi “Segmen Ulang-Urah Urutan” dinonaktifkan secara default.

8. Dialog RSA Keys: Mulai dari Wireshark 3.0, Dialog RSA Keys baru tersedia di bawah Edit -> Preferensi -> Kunci RSA. Ini memungkinkan penambahan tombol pribadi format PEM atau pkcs#12 keystores untuk dekripsi.

Pertanyaan:

Pertanyaan 1: Apa tujuan memasang sertifikat SSL/TLS untuk HTTPS?

Menjawab: Menginstal sertifikat SSL/TLS diperlukan untuk membangun komunikasi yang aman dan melindungi situs web dari akses yang tidak sah. Ini memverifikasi identitas server dan memungkinkan enkripsi data yang dipertukarkan antara server dan klien.

Pertanyaan 2: Dapatkah TLS digunakan dengan protokol selain browser web?

Menjawab: Ya, TLS dapat digunakan dengan protokol apa pun yang menggunakan TCP sebagai lapisan transport. Ini memberikan keamanan, integritas, dan otentikasi untuk komunikasi antara host.

Pertanyaan 3: Apa perbedaan antara TLS dan SSL?

Menjawab: SSL adalah pendahulu protokol TLS. TLS adalah protokol yang disarankan, karena SSL dianggap tidak aman. Namun, istilah sertifikat SSL dan SSL masih digunakan secara bergantian dalam beberapa kasus, yang mengarah pada kebingungan.

Pertanyaan 4: Bagaimana cara mendekripsi lalu lintas tls wireshark?

Menjawab: Wireshark dapat mendekripsi lalu lintas tls jika rahasia yang tepat disediakan. Ini mendukung dekripsi menggunakan file log kunci atau kunci pribadi RSA. File log kunci disarankan untuk dekripsi.

Pertanyaan 5: Di mana pengaturan preferensi untuk dekripsi TLS dapat ditemukan di Wireshark?

Menjawab: Pengaturan preferensi untuk dekripsi TLS dapat ditemukan di menu Edit -> Preferensi. Di bawah Pohon Protokol, pilih TLS. Preferensi tambahan tersedia di bawah preferensi protokol TCP.

Pertanyaan 6: Apa keterbatasan menggunakan kunci pribadi RSA untuk dekripsi TLS?

Menjawab: Metode kunci pribadi RSA untuk dekripsi TLS memiliki keterbatasan. Ini hanya berfungsi jika cipher suite yang dipilih oleh server tidak menggunakan (EC) DHE, versi protokol adalah SSLV3 atau (d) TLS 1.0-1.2 (tidak bekerja dengan TLS 1.3), dan kunci pribadi cocok dengan sertifikat server. Selain itu, sesi tidak boleh dilanjutkan.

Pertanyaan 7: Bagaimana dekripsi TLS diaktifkan di Wireshark untuk semua kasus?

Menjawab: Dekripsi TLS dapat diaktifkan untuk semua kasus dengan menggunakan file log kunci. File log kunci adalah file teks yang dihasilkan oleh aplikasi seperti Firefox, Chrome, dan Curl ketika variabel lingkungan SSLKeyLogFile diatur. Itu membutuhkan ekspor rahasia berkelanjutan baik dari aplikasi klien atau server.

Pertanyaan 8: Apa preferensi penting untuk dekripsi TLS di Wireshark?

Menjawab: Some notable preferences for TLS decryption in Wireshark include the (Pre)-Master-Secret log filename, RSA keys list (deprecated in favor of the RSA Keys dialog), Pre-Shared-Key for PSK cipher suites, and TLS debug file for writing internal details about the decryption process.

Pertanyaan 9: Preferensi protokol TCP mana yang diperlukan untuk mengaktifkan dekripsi TLS di Wireshark?

Menjawab: Dua preferensi protokol TCP diperlukan untuk mengaktifkan dekripsi TLS di Wireshark: “Izinkan Subdisektor untuk memasang kembali aliran TCP” (diaktifkan secara default) dan “menyusun kembali segmen out-of-order” (dinonaktifkan secara default sejak Wireshark 3.0).

Pertanyaan 10: Apa tujuan dari dialog RSA Keys di Wireshark?

Menjawab: Dialog RSA Keys di Wireshark memungkinkan penambahan tombol pribadi format PEM atau keystor PKCS#12 untuk dekripsi untuk dekripsi. Ini menyediakan cara yang nyaman untuk mengonfigurasi kunci pribadi RSA untuk tujuan dekripsi.

Apa itu https

Untuk melindungi situs web yang menghadap publik dengan HTTPS, perlu menginstal sertifikat SSL/TLS yang ditandatangani oleh Otoritas Sertifikat Tepercaya (CA) di server web Anda. SSL.com’S KnowledgeBase mencakup banyak panduan bermanfaat dan how-to untuk mengkonfigurasi berbagai platform server web untuk mendukung https.

Transport Layer Security (TLS)

Transport Layer Security (TLS) memberikan keamanan dalam komunikasi antara dua host. Ini memberikan integritas, otentikasi, dan kerahasiaan. Ini digunakan paling umum di browser web, tetapi dapat digunakan dengan protokol apa pun yang menggunakan TCP sebagai lapisan transportasi.

Secure Sockets Layer (SSL) adalah pendahulu protokol TLS. Nama -nama ini sering digunakan secara bergantian yang dapat menyebabkan kebingungan:

  • Konfigurasi yang menggunakan Protokol SSL (SSLV2/SSLV3) tidak aman. Itu Protokol TLS harus digunakan sebagai gantinya.
  • X.509 sertifikat untuk otentikasi kadang -kadang juga disebut Sertifikat SSL.
  • Beberapa aplikasi (seperti email) menggunakan satu port untuk sesi yang tidak terenkripsi dan dienkripsi. Berubah dari tidak terenkripsi menjadi terenkripsi, (Mulai) tls digunakan. Ketika satu port secara langsung menggunakan protokol TLS, itu sering disebut sebagai SSL.
  • Untuk alasan historis, perangkat lunak (termasuk Wireshark) merujuk ke SSL atau SSL/TLS sementara itu sebenarnya berarti protokol TLS karena itu adalah apa yang digunakan semua orang.

Ketergantungan Protokol

  • TCP: Biasanya, TLS menggunakan TCP sebagai protokol transportanya.

Diseksi TLS di Wireshark

Disektor TLS berfungsi penuh dan bahkan mendukung fitur -fitur canggih seperti dekripsi TLS jika rahasia yang sesuai disediakan (#tls_decryption).

Sejak Wireshark 3.0, distor TLS telah diubah namanya dari SSL menjadi TLS. Penggunaan filter tampilan SSL akan memancarkan peringatan.

Dekripsi TLS

Wireshark mendukung dekripsi TLS bila rahasia yang tepat disediakan. Dua metode yang tersedia adalah:

  • File log kunci menggunakan rahasia per sesi (#Esingthe (pra) -master Secret).
  • Dekripsi menggunakan kunci pribadi RSA.

File log kunci adalah mekanisme universal yang selalu memungkinkan dekripsi, bahkan jika pertukaran kunci diffie-hellman (DH) sedang digunakan. Kunci pribadi RSA hanya berfungsi dalam sejumlah kasus terbatas.

File log kunci adalah file teks yang dihasilkan oleh aplikasi seperti Firefox, Chrome dan Curl ketika variabel lingkungan SSLKeyLogFile diatur. Tepatnya, perpustakaan yang mendasari mereka (NSS, OpenSSL atau Boringssl) menulis rahasia per sesi yang diperlukan untuk file. File ini selanjutnya dapat dikonfigurasi di Wireshark (#Gunakan (pra) -master Secret).

File kunci pribadi RSA hanya dapat digunakan dalam keadaan berikut:

  • Cipher Suite yang dipilih oleh server tidak menggunakan (EC) DHE.
  • Versi protokolnya adalah sslv3, (d) tls 1.0-1.2. Itu benar bukan Bekerja dengan TLS 1.3.
  • Kunci pribadi cocok dengan server sertifikat. Itu tidak bekerja dengan klien sertifikat, atau sertifikat sertifikat (CA) sertifikat.
  • Sesi belum dilanjutkan. Jabat tangan harus menyertakan ClientKeyExchange pesan jabat tangan.

File log kunci umumnya disarankan karena berfungsi dalam semua kasus, tetapi membutuhkan kemampuan berkelanjutan untuk mengekspor rahasia baik dari aplikasi klien atau server. Satu -satunya keuntungan dari kunci pribadi RSA adalah bahwa itu perlu dikonfigurasi hanya sekali di Wireshark untuk memungkinkan dekripsi, tunduk pada batasan di atas.

Pengaturan preferensi

Pergi ke Edit -> Preferensi. Buka Protokol pohon dan pilih Tls. Atau, pilih paket TLS dalam daftar paket, klik kanan pada Tls Lapisan di Paket Detail Tampilan dan buka Preferensi Protokol menu.

Preferensi protokol TLS yang terkenal adalah:

  • (Pre) -Master-Secret Log Filename (TLS.KEYLOG_FILE): Jalur untuk membaca file log kunci TLS untuk dekripsi.
  • Daftar Kunci RSA: Membuka Dialog untuk Mengkonfigurasi Kunci Pribadi RSA untuk Dekripsi. Tercepang mendukung Preferensi ->Kunci RSA dialog.
  • Pra-Dibararkan: Digunakan untuk Mengkonfigurasi Kunci Dekripsi untuk Suites Cipher PSK. Umumnya tidak digunakan.
  • File Debug TLS (TLS.debug_logfile): jalur untuk menulis detail internal tentang proses dekripsi. Akan berisi hasil dekripsi dan kunci yang digunakan dalam proses ini. Ini dapat digunakan untuk mendiagnosis mengapa dekripsi gagal.

Preferensi protokol TCP berikut juga diperlukan untuk mengaktifkan dekripsi TLS:

  • Izinkan Subdissector untuk memasang kembali aliran TCP. Diaktifkan secara default.
  • Menyesuaikan kembali segmen out-of-order (karena Wireshark 3.0, dinonaktifkan secara default).

Dimulai dengan Wireshark 3.0, dialog RSA Keys baru dapat ditemukan di Edit -> Preferensi -> Kunci RSA. Dalam dialog ini, gunakan Tambahkan keyfile baru… tombol untuk memilih file. Anda akan diminta untuk kata sandi jika perlu. Itu Tambahkan token baru… Tombol dapat digunakan untuk menambahkan tombol dari HSM yang mungkin membutuhkan penggunaan Tambahkan penyedia baru… Untuk memilih Pilih DLL/.Jadi file, dan konfigurasi khusus vendor tambahan.

File kunci RSA bisa menjadi PEM format kunci pribadi atau keystore PKCS#12 (biasanya file dengan a .pfx atau .P12 Ekstensi). Kunci PKCS#12 adalah file biner, tetapi format PEM adalah file teks yang terlihat seperti ini:

-----Mulai Kunci Pribadi ----- MIEVGGIBADANBGKQHKIG9W0BAQEFAASCBKGWGGSKAGEAOIBAQDREQZLKVEAK8B5 TRCRBHSI9IYWHX8NQC8K4HEDRVN7HIBQP3BHUKVEKVEKDOXPRYVUC7A8A8A83BHUKWWWWWWWWWWWWWHUKVEKDOXPRYVUC7A83 . KOI8FZL+JHG+P8VTPK5ZAIP ----- Akhiri Kunci Pribadi-----

Yang sudah usang Daftar Kunci RSA Dialog dapat dihapus di beberapa titik. Untuk mengonfigurasi kunci, gunakan Kunci RSA dialog sebagai gantinya. Untuk mengubah protokol untuk data jaringan yang didekripsi, klik kanan pada paket TLS dan gunakan Decode sebagai untuk mengubah Saat ini protokol untuk Port tls. Itu alamat IP Dan Pelabuhan bidang tidak digunakan.

Contoh File Capture

  • membuang.pcapng tlsv1.2 Tangkap dengan 73 cipher suites, Anda membutuhkan premaster ini.file txt untuk mendekripsi lalu lintas. (ditautkan dari https: // bugs.Wireshark.org/bugzilla/show_bug.CGI?ID = 9144)
  • TLS12-DSB.PCAPNG – TLS 1.2 jejak dengan kunci dekripsi tertanam. (Tes Capture di Pohon Sumber Wireshark Ditambahkan Di Sini)
  • https: // gitlab.com/wireshark/wireshark/ -/tree/master/test/captures – Test suite berisi berbagai jejak TLS.

Filter tampilan

Daftar lengkap bidang filter tampilan TLS dapat ditemukan di referensi filter tampilan

Tampilkan hanya lalu lintas berbasis TLS:

Capture filter

Anda tidak dapat secara langsung menyaring protokol TLS saat menangkap. Namun, jika Anda tahu port TCP yang digunakan (lihat di atas), Anda dapat memfilter yang satu itu, misalnya menggunakan port TCP 443 .

Menggunakan (pra) -master-secret

Master Secret memungkinkan dekripsi TLS di Wireshark dan dapat disediakan melalui file log kunci. Rahasia pra-master adalah hasil dari pertukaran utama dan dapat dikonversi menjadi rahasia utama oleh wireshark. Rahasia pra-master ini dapat diperoleh ketika kunci pribadi RSA disediakan dan pertukaran kunci RSA sedang digunakan.

Instruksi langkah demi langkah untuk mendekripsi lalu lintas TLS dari Chrome atau Firefox di Wireshark:

  1. Tutup browser sepenuhnya (periksa manajer tugas Anda hanya untuk memastikan).
  2. Atur Variabel Lingkungan SSLKeyLogFile ke jalur absolut dari file yang dapat ditulis.
  3. Mulai browser.
  4. Verifikasi bahwa lokasi dari langkah 2 dibuat.
  5. Di Wireshark, pergi ke Edit ->Preferensi ->Protokol ->Tls, dan ubah (Pra) -Master-Secret Log Filename preferensi ke jalur dari langkah 2.
  6. Mulailah penangkapan Wireshark.
  7. Buka situs web, misalnya https: // www.Wireshark.org/
  8. Periksa apakah data yang didekripsi terlihat. Misalnya, menggunakan filter TLS dan (http atau http2).

Untuk Windows, Variabel lingkungan dapat diatur secara global seperti yang dijelaskan dalam walkthrough ini, tetapi ini tidak disarankan karena mudah untuk dilupakan dan mungkin menjadi masalah keamanan karena memungkinkan dekripsi semua lalu lintas TLS Anda. Cara yang lebih baik untuk mengatur variabel lingkungan adalah melalui file batch. Buat file start-fx.CMD dengan:

@echo off set sslkeylogfile =%userprofile%\ desktop \ keylogfile.TXT Mulai Firefox

Untuk Linux, Anda membuka terminal kemudian memulai browser dengan:

Ekspor sslkeylogfile = $ home/desktop/keylogfile.txt firefox

Untuk MacOS, Anda membuka terminal kemudian memulai browser dengan:

Ekspor sslkeylogfile = $ home/desktop/keylogfile.txt terbuka -A firefox

Ubah jalur SSLKeyLogFile sesuai kebutuhan, dan ganti Firefox dengan Chrome untuk Google Chrome. Mekanisme ini saat ini (2019) tidak berfungsi untuk Safari, Microsoft Edge, dan lainnya karena pustaka TLS mereka (Microsoft Schannel/Apple Securetransport) Jangan mendukung mekanisme ini. Mekanisme ini berfungsi untuk aplikasi selain browser web juga, tetapi tergantung pada pustaka TLS yang digunakan oleh aplikasi.

Catatan: Versi Edge Berbasis Kromium (Versi 79+) juga harus berfungsi.

Contoh aplikasi lain:

  • Aplikasi menggunakan OpenSSL dapat menggunakan GDB atau trik LD_PRELOAD untuk mengekstrak rahasia. Ini termasuk Python.
    • Untuk walkthrough untuk server http apache menggunakan libsslkeylog ini.Jadi perpustakaan, lihat posting ini.
    • jsslkeylog: http: // jsslkeylog.SourceForge.bersih/
    • Extract-TLS-secrets: https: // github.com/neykov/ekstrak-tls-secret

    Untuk survei aplikasi dan perpustakaan TLS yang didukung, lihat juga halaman 19 dari Peter Wu’s SSL/TLS Decryption Sharkfest’18 Presentasi EU.

    Menanamkan rahasia dekripsi dalam file pcapng

    Sejak Wireshark 3.0 Anda dapat menyematkan file log kunci TLS di a pcapng mengajukan. Ini membuatnya lebih mudah untuk mendistribusikan file pengambilan dengan rahasia dekripsi, dan membuat pengalihan di antara file -file tangkap lebih mudah karena preferensi protokol TLS tidak harus diperbarui. Untuk menambahkan konten tombol file log kunci.txt untuk menangkap file.PCAP dan tulis hasilnya ke Out-DSB.PCAPNG:

    EditCap-Injeksi-Secret TLS, Kunci.txt in.PCAP Out-DSB.pcapng

    Itu DSB Suffix singkatan dari Decryption Secrets Block (DSB) dan merupakan bagian dari spesifikasi PCAPNG.

    File log kunci mungkin berisi kunci yang tidak terkait dengan file penangkapan. Untuk memastikan bahwa kunci yang tidak perlu tidak bocor, Anda dapat menggunakan sekelompok injeksi-TLS.skrip py dari https: // inti.GitHub.com/lekensteyn/f64ba6d6d2c6229d6ec444647979ea24 untuk memfilter file log kunci dan menambahkan rahasia yang diperlukan ke file penangkapan. Skrip shell telah diuji dengan Linux dan MacOS, tetapi versi Python 3 juga tersedia untuk semua platform termasuk Windows. Contoh:

    Git Clone https: // GIST.GitHub.com/lekensteyn/f64ba6d6d2c6229d6ec444647979ea24 ~/its ~/its/inject-tls-secret.PY Keys.txt beberapa.PCAP

    Lihat juga

    Beberapa protokol lain berasal dari TLS. Ini termasuk:

    • DTLS didasarkan pada standar TLS dan berjalan di atas UDP sebagai protokol transportasi.
    • Quic adalah protokol dalam pengembangan yang menggunakan TLS untuk enkripsi, status Wireshark dapat dilacak di https: // github.com/quicwg/base-drafts/wiki/alat#wireshark.

    Tautan eksternal

    • https: // en.Wikipedia.org/wiki/transport_layer_security artikel wikipedia untuk tls
    • https: // sharkfesteurope.Wireshark.org/aset/presentasi16eu/07.Pdfsharkfest’16 presentasi eu oleh sake blok pada pemecahan masalah ssl dengan wireshark/tshark (atau tonton video presentasi di https: // youtu.be/odady9qcnxk)
    • https: // lekensteyn.nl/file/wireshark-ssl-tls-dekripsi-secrets-sharkfest18eu.PDFSharkFest’18 Presentasi EU oleh Peter Wu tentang Dekripsi TLS (video untuk pembicaraan sebelumnya di Asia di https: // youtu.BE/BWJEBWGOEBG)
    • https: // lekensteyn.nl/file/wireshark-tls-debugging-sharkfest19us.PDFSharkFest’19 Presentasi AS oleh Peter Wu yang menggambarkan dekripsi TLS dan penggunaan rahasia dekripsi tertanam (https: // youtu.be/ha4slhceef6w).
    • Bagaimana cara kerja SSL/TLS? – Exchange Stack Keamanan Informasi
    • Keyless SSL: Detail teknis berpasir seluk -beluk dengan pengantar yang baik di TLS
    • Polarproxy dari NetResec adalah proxy SSL/TLS transparan yang dibuat untuk responden insiden dan peneliti malware yang terutama dirancang untuk mencegat dan mendekripsi lalu lintas terenkripsi dari malware. POLARPROXY mendekripsi dan menerima ulang lalu lintas TLS, sementara juga menyimpan lalu lintas yang didekripsi dalam file PCAP yang dapat dimuat ke Wireshark atau sistem deteksi intrusi (IDS).

    Apa itu https?

    HTTPS (Hypertext Transfer Protocol Secure) adalah versi aman dari protokol HTTP yang menggunakan protokol SSL/TLS untuk enkripsi dan otentikasi. HTTPS ditentukan oleh RFC 2818 (Mei 2000) dan menggunakan port 443 secara default, bukan HTTP’S Port 80.

    Protokol HTTPS memungkinkan pengguna situs web untuk mengirimkan data sensitif seperti nomor kartu kredit, informasi perbankan, dan kredensial login dengan aman melalui internet. Untuk alasan ini, HTTPS sangat penting untuk mengamankan kegiatan online seperti belanja, perbankan, dan pekerjaan jarak jauh. Namun, HTTPS dengan cepat menjadi protokol standar semua situs web, apakah mereka bertukar data sensitif atau tidak.

    Bagaimana https berbeda dari http?

    HTTPS menambahkan enkripsi, autentikasi, Dan integritas ke protokol HTTP:

    Enkripsi: Karena HTTP awalnya dirancang sebagai protokol teks yang jelas, itu rentan terhadap menguping dan manusia dalam serangan tengah. Dengan memasukkan enkripsi SSL/TLS, HTTPS mencegah data yang dikirim melalui Internet dari dicegat dan dibaca oleh pihak ketiga. Melalui kriptografi kunci publik dan jabat tangan SSL/TLS, sesi komunikasi terenkripsi dapat dengan aman diatur antara dua pihak yang belum pernah bertemu secara langsung (e.G. server web dan browser) melalui pembuatan kunci rahasia bersama.

    Autentikasi: Tidak seperti HTTP, HTTPS termasuk otentikasi yang kuat melalui protokol SSL/TLS. Sebuah situs’Sertifikat SSL/TLS termasuk a kunci publik bahwa browser web dapat digunakan untuk mengonfirmasi bahwa dokumen yang dikirim oleh server (seperti halaman HTML) telah ditandatangani secara digital oleh seseorang yang memiliki yang sesuai kunci pribadi. Jika server’Sertifikat S telah ditandatangani oleh Otoritas Sertifikat Tepercaya (CA), seperti SSL.com, browser akan menerima bahwa setiap informasi pengenal yang termasuk dalam sertifikat telah divalidasi oleh pihak ketiga tepercaya.

    Situs web https juga dapat dikonfigurasi otentikasi timbal balik, di mana browser web menyajikan sertifikat klien yang mengidentifikasi pengguna. Otentikasi timbal balik berguna untuk situasi seperti pekerjaan jarak jauh, di mana diinginkan untuk memasukkan otentikasi multi-faktor, mengurangi risiko phishing atau serangan lain yang melibatkan pencurian kredensial. Untuk informasi lebih lanjut tentang mengonfigurasi sertifikat klien di browser web, silakan baca cara ini.

    Integritas: Each document (such as a web page, image, or JavaScript file) sent to a browser by an HTTPS web server includes a digital signature that a web browser can use to determine that the document has not been altered by a third party or otherwise corrupted while in transit. Server menghitung hash kriptografi dokumen’konten S, disertakan dengan sertifikat digitalnya, yang dapat dihitung secara independen untuk membuktikan bahwa dokumen tersebut’integritas s masih utuh.

    Secara keseluruhan, jaminan enkripsi, otentikasi, dan integritas ini membuat https a banyak Protokol yang lebih aman untuk menjelajah dan menjalankan bisnis di web daripada HTTP.

    Informasi apa yang diberikan HTTPS kepada pengguna tentang pemilik situs web?

    CAS Gunakan tiga metode validasi dasar saat menerbitkan sertifikat digital. Metode validasi yang digunakan menentukan informasi yang akan dimasukkan dalam situs web’Sertifikat SSL/TLS:

    Validasi Domain (DV) Cukup menegaskan bahwa nama domain yang dicakup oleh sertifikat berada di bawah kendali entitas yang meminta sertifikat.
    Organisasi / Validasi Individu (OV / IV) Sertifikat termasuk nama yang divalidasi dari bisnis atau organisasi lain (OV), atau orang individu (iv).
    Extended Validation (EV) Sertifikat mewakili standar tertinggi dalam kepercayaan internet, dan membutuhkan upaya paling banyak oleh CA untuk memvalidasi. Sertifikat EV hanya dikeluarkan untuk bisnis dan organisasi terdaftar lainnya, bukan untuk individu, dan sertakan nama yang divalidasi dari organisasi itu.

    Untuk informasi lebih lanjut tentang melihat konten situs web’S Digital Certificate, silakan baca artikel kami, bagaimana saya bisa memeriksa apakah situs web dijalankan oleh bisnis yang sah?

    Mengapa menggunakan https?

    Ada beberapa alasan bagus untuk menggunakan HTTPS di situs web Anda, dan untuk menuntut HTTPS saat menjelajah, berbelanja, dan bekerja di web sebagai pengguna:

    Integritas dan otentikasi: Melalui enkripsi dan otentikasi, HTTPS melindungi integritas komunikasi antara situs web dan pengguna’S browser. Pengguna Anda akan tahu bahwa data yang dikirim dari server web Anda belum dicegat dan/atau diubah oleh pihak ketiga dalam perjalanan. Dan jika kau’ve melakukan investasi tambahan dalam sertifikat EV atau OV, mereka juga akan dapat mengatakan bahwa informasi tersebut benar -benar berasal dari bisnis atau organisasi Anda.

    Pribadi: Tentu saja tidak ada yang ingin pengganggu meraup nomor kartu kredit dan kata sandi mereka saat mereka berbelanja atau bank online, dan https sangat bagus untuk mencegahnya. Tapi maukah kamu Sungguh Ingin semua hal lain yang Anda lihat dan lakukan di web menjadi buku terbuka untuk siapa saja yang merasa ingin mengintip (termasuk pemerintah, pengusaha, atau seseorang yang membangun profil untuk mende-anonim kegiatan online Anda)? Https memainkan peran penting di sini juga.

    Pengalaman pengguna: Perubahan terbaru untuk browser UI telah mengakibatkan situs http ditandai sebagai tidak aman. Apakah Anda menginginkan pelanggan Anda’ browser untuk memberi tahu mereka bahwa situs web Anda “Tidak aman” atau tunjukkan pada mereka kunci silang saat mereka mengunjunginya? Tentu saja tidak!

    Kesesuaian: Perubahan browser saat ini mendorong HTTP semakin dekat dengan ketidakcocokan. Mozilla Firefox baru-baru ini mengumumkan mode https-only opsional, sementara Google Chrome terus bergerak untuk memblokir konten campuran (http sumber daya yang ditautkan ke halaman https). Jika dilihat bersama dengan peringatan browser “ketidakamanan” Untuk situs web HTTP, itu’mudah untuk melihat bahwa tulisannya ada di dinding untuk http. Pada tahun 2020, semua browser utama saat ini dan perangkat seluler mendukung HTTPS, jadi Anda menang’t kehilangan pengguna dengan beralih dari http.

    SEO: Mesin pencari (termasuk google) Gunakan https sebagai sinyal peringkat saat menghasilkan hasil pencarian. Oleh karena itu, pemilik situs web bisa mendapatkan dorongan SEO yang mudah hanya dengan mengkonfigurasi server web mereka untuk menggunakan https daripada http.

    Singkatnya, tidak ada lagi alasan bagus bagi situs web publik untuk terus mendukung HTTP. Bahkan pemerintah Amerika Serikat ada!

    Bagaimana cara kerja HTTPS?

    HTTPS menambahkan enkripsi ke protokol HTTP dengan membungkus HTTP di dalam protokol SSL/TLS (itulah sebabnya SSL disebut protokol tunneling), sehingga semua pesan dienkripsi di kedua arah antara dua komputer jaringan (E.G. klien dan server web). Although an eavesdropper can still potentially access IP addresses, port numbers, domain names, the amount of information exchanged, and the duration of a session, all of the actual data exchanged are securely encrypted by SSL/TLS, including:

    Meminta url (Halaman web mana yang diminta oleh klien)
    Konten situs web
    Parameter kueri
    Header
    Kue

    HTTPS juga menggunakan protokol SSL/TLS untuk autentikasi. SSL/TLS menggunakan dokumen digital yang dikenal sebagai X.509 sertifikat untuk mengikat kriptografi pasangan kunci untuk identitas entitas seperti situs web, individu, dan perusahaan. Setiap pasangan kunci termasuk a kunci pribadi, yang tetap aman, dan a kunci publik, yang dapat didistribusikan secara luas. Siapa pun yang memiliki kunci publik dapat menggunakannya untuk:

    • Kirim pesan bahwa hanya pemilik kunci pribadi yang dapat mendekripsi.
    • Konfirmasi bahwa pesan telah ditandatangani secara digital oleh kunci pribadi yang sesuai.

    Jika sertifikat yang disajikan oleh situs web HTTPS telah ditandatangani oleh yang dipercaya publik Otoritas Sertifikat (CA), seperti SSL.com, Pengguna dapat diyakinkan bahwa identitas situs web telah divalidasi oleh pihak ketiga yang tepercaya dan bertele-tele.

    Apa yang terjadi jika situs web saya tidak’T gunakan https?

    Pada tahun 2020, situs web yang tidak menggunakan HTTPS atau melayani konten campuran (melayani sumber daya seperti gambar melalui HTTP dari halaman HTTPS) tunduk pada peringatan dan kesalahan keamanan browser. Selain itu, situs web ini tidak perlu mengkompromikan penggunanya’ privasi dan keamanan, dan tidak disukai oleh algoritma mesin pencari. Oleh karena itu, situs web http dan konten campuran dapat diharapkan Lebih banyak peringatan dan kesalahan browser, Kepercayaan pengguna yang lebih rendah Dan SEO yang lebih buruk daripada jika mereka mengaktifkan https.

    Bagaimana saya tahu jika situs web menggunakan https?

    Bar Alamat

    URL https dimulai dengan https: // bukannya http: // . Browser web modern juga menunjukkan bahwa pengguna mengunjungi situs web https yang aman dengan menampilkan simbol gembok tertutup di sebelah kiri URL:

    Di browser modern seperti Chrome, Firefox, dan Safari, pengguna dapat Klik kunci Untuk melihat apakah situs web HTTPS’S Sertifikat Digital Termasuk Mengidentifikasi Informasi Tentang Pemiliknya.

    Bagaimana cara mengaktifkan https di situs web saya?

    Untuk melindungi situs web yang menghadap publik dengan HTTPS, perlu menginstal sertifikat SSL/TLS yang ditandatangani oleh Otoritas Sertifikat Tepercaya (CA) di server web Anda. SSL.com’S KnowledgeBase mencakup banyak panduan bermanfaat dan how-to untuk mengkonfigurasi berbagai platform server web untuk mendukung https.

    Untuk panduan yang lebih umum ke konfigurasi dan pemecahan masalah server HTTP, silakan baca praktik terbaik SSL/TLS untuk 2020 dan pemecahan masalah kesalahan dan peringatan browser SSL/TLS.

    Terima kasih telah mengunjungi SSL.com! Jika Anda memiliki pertanyaan tentang memesan dan menginstal sertifikat SSL/TLS, silakan hubungi tim dukungan 24/7 kami melalui email di [email protected], melalui telepon di 1-877-ssl-secure, atau hanya dengan mengklik tautan obrolan di kanan bawah halaman web ini.

    Apakah HTTPS menggunakan TLS?

    Об этой страницental

    Ы заре kondecedit. С помощю этой страницы с сожем определить, что запросы о о ancing оеет иенно ы,. Почем это мопо произойтиonya?

    Эта страница отбражаетсagn в тех слчаях, когда аавистркимисте secara Google ристancing ииишшшamah риииииamah которые наршают уловия исполззованияisah. Страница перестанет отображаться после то A, как эти запросы прекратяupanisah яяisah ancing ancing. До это A.

    Источником запросов может слжить Врддносно secara п, пар иа бас00 иасазаз) ыылку запросов. Если Вы исползеет общий дсст в и итернет, проблем м ы ы ip ip ip00 ip ip ip ip ip uman ip ip ip ip ip ip uman ip ip ip ip ip ip ip uman ip ip ip ip ip ip ip ON ip ip ip ip ip ip ON. Обратитесь к своем системном аинистратору. Подробнее secara.

    Пожет такжeda появлят secara, если Вы Вонот A рлжвввв dari рыч о оаilat оыч о оаilat, еами, ии же Водитedit запросы чень часто засто.

    Apa itu sertifikat TLS/SSL, dan bagaimana cara kerjanya?

    Setiap kali Anda mengirim atau menerima informasi di Internet, itu melewati jaringan beberapa komputer untuk mencapai tujuan. Secara historis, salah satu dari komputer ini dapat membaca data Anda, karena tidak dienkripsi.

    Banyak dari data ini cukup sensitif – dan berharga bagi peretas. Ini dapat mencakup komunikasi pribadi yang tidak dienkripsi ujung-ke-ujung (jendela baru), informasi keuangan, dan, untuk aplikasi web yang don’t Gunakan protokol kata sandi jarak jauh yang aman (jendela baru), bahkan kredensial login.

    Untuk melindungi data sensitif, para ahli keamanan mengembangkan protokol standar baru untuk mengirim dan menerima lalu lintas internet: transport layer Security (TLS). Ini didahului oleh Secure Sockets Layer (SSL) tetapi sekarang sebagian besar telah digantikan oleh TLS.

    Dalam artikel ini, kami’LL mencakup konsep dasar di balik sertifikat TLS dan TLS. Anda juga dapat melompat -lompat ke bagian yang berbeda:

    1. Apa itu tls?
    2. Apa itu sertifikat TLS?
    3. Bagaimana cara kerja sertifikat TLS?
    4. Apa kelemahan sertifikat TLS?
    5. Mengapa memercayai otoritas sertifikat?
    6. Tindakan pencegahan keamanan ekstra yang diambil oleh Proton Mail

    Apa itu tls?

    Sebelum kita menggali lebih dalam tentang apa sertifikat TLS atau cara kerjanya, Anda harus memahami sedikit teknologi yang mendasarinya.

    Transport Layer Security adalah protokol yang menetapkan sesi terenkripsi antara dua komputer di internet. Ini memverifikasi identitas server dan mencegah peretas mencegat data apa pun.

    TLS (dan pendahulunya SSL) memungkinkan pengguna untuk mengirimkan data sensitif dengan aman saat menggunakan protokol HTTPS (jendela baru) . Dengan kata lain, https adalah http berlapis di atas tls. Teknologi ini sangat ideal untuk aplikasi seperti perbankan, otentikasi informasi, pertukaran email, dan prosedur lain yang membutuhkan tingkat privasi dan keamanan yang lebih tinggi. TLS membantu memberikan lapisan perlindungan yang ditingkatkan dengan mengenkripsi data yang dapat dibaca, sehingga menyulitkan peretas untuk mendapatkan informasi pribadi.

    Gambar menunjukkan bagaimana sesi TLS dibentuk

    Kerangka kerja ini memberikan privasi antara titik akhir yang berbeda dari transmisi data dan memastikan data’integritas s. Ini juga menggunakan sertifikat digital untuk membantu memverifikasi keaslian server. Sertifikat ini biasanya disebut sebagai sertifikat TLS.

    Otentikasi sertifikat ini terjadi menggunakan kriptografi kunci publik. Ini didasarkan pada pasangan kunci yang terdiri dari kunci publik dan kunci pribadi. Dekripsi data terenkripsi hanya dapat terjadi ketika kunci kunci dan kunci pribadi hadir. Sertifikat TLS menggunakan otentikasi kunci publik untuk membantu memverifikasi bahwa data sedang diakses oleh penerima yang dituju.

    Apa itu sertifikat TLS?

    Sertifikat digital, juga dikenal sebagai sertifikat identitas atau sertifikat kunci publik, adalah file digital yang digunakan untuk mensertifikasi kepemilikan kunci publik. Sertifikat TLS adalah jenis sertifikat digital, yang dikeluarkan oleh Otoritas Sertifikat (CA). CA menandatangani sertifikat, menyatakan bahwa mereka telah memverifikasi bahwa itu milik pemilik nama domain yang merupakan subjek sertifikat.

    Sertifikat TLS biasanya berisi informasi berikut:

    • Nama domain subjek
    • Organisasi subjek
    • Nama penerbit CA
    • Nama domain subjek tambahan atau alternatif, termasuk subdomain, jika ada
    • Tanggal pembuatan
    • Tanggal kadaluarsa
    • Kunci publik (kunci pribadi, bagaimanapun, adalah rahasia.)
    • Tanda tangan digital oleh CA

    Bagaimana cara kerja sertifikat TLS?

    Saat pengguna mencoba terhubung ke server, server mengirimkannya sertifikat TLS -nya.

    Pengguna kemudian memverifikasi server’Sertifikat S menggunakan sertifikat CA yang ada pada pengguna’Perangkat S untuk membuat koneksi yang aman. Proses verifikasi ini menggunakan kriptografi kunci publik, seperti RSA atau ECC, untuk membuktikan CA menandatangani sertifikat. Selama Anda mempercayai CA, ini menunjukkan bahwa Anda berkomunikasi dengan sertifikat server’subjek S (e.G., Surat proton.com).

    Jadi, apakah ini berarti 100% aman dan tahan bodoh? Nah, tidak selalu.

    Apa kelemahan sertifikat TLS?

    Meskipun sertifikat TLS umumnya aman, ada cara peretas dapat menyerang dan berpotensi membahayakan TLS. Ini termasuk:

    Keracunan Toko Sertifikat

    Jika penyerang menginfeksi komputer dengan perangkat lunak berbahaya, mereka bisa mendapatkan akses ke sertifikat digital yang disimpan di perangkat itu dan memasukkan sertifikat root. Ini, bersama dengan kemampuan untuk menanggapi secara curang terhadap pengguna itu’Permintaan situs web, akan memungkinkan mereka untuk menyamar sebagai situs web, sehingga memungkinkan mereka untuk membaca semua data yang dikirim ke sana.

    Menyerang CAS secara langsung

    Agar sertifikasi TLS berfungsi, CA harus aman. Setiap pelanggaran CA dapat menyebabkan otorisasi kunci yang salah atau curang. Ini terjadi sesekali di masa lalu, dengan Comodo dan Diginotar (jendela baru) menjadi contoh yang relatif terkenal.

    Sertifikat yang dikeluarkan secara keliru

    Pengguna mengandalkan CAS untuk mengotentikasi server yang mereka sambungkan. Namun, kadang -kadang ada masalah dengan sertifikat yang menghadirkan kerentanan yang dapat dieksploitasi peretas. Saat dikombinasikan dengan koneksi internet yang tidak aman, penyerang dapat menggunakan sertifikat yang salah dikeluarkan untuk mengkompromikan koneksi Anda dengan server.

    Jika semua masalah ini ada, apakah itu bijaksana untuk mempercayai CAS secara membabi buta? Percayalah, ya. Secara membabi buta, tidak.

    Mengapa memercayai otoritas sertifikat?

    Karena agen yang bertanggung jawab untuk memverifikasi bahwa data yang Anda terima berasal dari server yang Anda harapkan dan tidak dirusak dalam perjalanan, CAS memainkan peran penting dalam Internet modern. Dengan mengeluarkan jutaan sertifikat digital setiap tahun, mereka adalah tulang punggung komunikasi internet yang aman, membantu mengenkripsi miliaran pertukaran data dan transaksi.

    Pengaturan fisik CA dikenal sebagai infrastruktur kunci publik (PKI). PKI terdiri dari beberapa elemen operasional, termasuk perangkat keras, perangkat lunak, infrastruktur keamanan, personel, kerangka kerja kebijakan, sistem audit, dan pernyataan praktik, yang semuanya berkontribusi untuk memastikan bahwa proses validasi sertifikat TLS dapat dipercaya.

    Model kepercayaan PKI bergantung pada dua elemen utama: sertifikat root (juga disebut sebagai akar tepercaya) dan server’Sertifikat S. Sertifikat apa pun yang dikeluarkan oleh CA akan secara otomatis dipercaya oleh browser Anda, asalkan CA’Sertifikat Root S diinstal di toko sertifikat perangkat Anda. Setiap perangkat memiliki toko sertifikat, yang merupakan koleksi sertifikat root lokal dari CAS tepercaya.

    Tindakan pencegahan keamanan ekstra yang diambil oleh Proton Mail

    Meskipun benar bahwa metode enkripsi berbasis CAS dan TLS relatif aman, di sana’S selalu lingkup untuk perbaikan.

    Di sini di Proton, memberikan privasi dan keamanan yang disempurnakan adalah tujuan utama kami. Kami menggunakan langkah -langkah tambahan untuk membuat koneksi yang aman dan dapat dipercaya. Di bawah ini adalah beberapa langkah yang kami ambil.

    Otorisasi Otoritas Sertifikat DNS (CAA)

    Kembali pada tahun 2011, ketika berita keluar mengenai sertifikat yang dikeluarkan secara salah, muncul kebutuhan untuk mekanisme keamanan yang ditingkatkan. Salah satu hasil dari kebutuhan itu adalah DNS CAA, yang menghalangi penerbitan sertifikat yang salah.

    Memanfaatkan catatan sumber daya DNS memungkinkan pemilik domain memutuskan CAS mana yang diizinkan untuk mengeluarkan sertifikat untuk domain yang diberikan. Jika ada catatan CAA, hanya CAS yang terdaftar dalam catatan itu yang dapat mengeluarkan host’Sertifikat S.

    Meskipun ini memberikan perlindungan terhadap penyalahgunaan sertifikat yang tidak diinginkan, sangat sulit bagi pengguna untuk mendeteksi jika CA mengabaikan penasihat CAA. Inilah sebabnya mengapa transparansi sertifikat diperlukan.

    Transparansi Sertifikat

    Untuk memastikan validitas sertifikat dan mencegah kesalahan, semua CAS memposting sertifikat yang telah mereka hasilkan di server log publik, yang dikenal sebagai log transparansi sertifikat (CT) yang dikenal. Server ini mengirim tanda tangan ke CA, berjanji untuk mempublikasikan sertifikat mereka.

    Kami melayani header harapan-CT, yang memberitahu browser untuk mensyaratkan keberadaan tanda tangan ini. Kami juga memiliki server pemantauan dan audit yang memeriksa log CT untuk semua sertifikat yang dijanjikan yang dimaksudkan untuk diterbitkan.

    Bersama -sama, semua langkah ini membuatnya sangat tidak mungkin bagi siapa pun, termasuk aktor negara, untuk menghasilkan sertifikat TLS untuk Proton.saya dan menggunakannya untuk mencegat koneksi tanpa terdeteksi.

    Pinning Sertifikat TLS

    Pinning Sertifikat adalah proses yang menghubungkan layanan ke kunci publik spesifik mereka. Setelah sertifikat didirikan untuk layanan tertentu, itu disematkan secara permanen ke layanan. Jika ada beberapa sertifikat yang valid untuk layanan yang diberikan, pin digabung menjadi pinet. Untuk memvalidasi pinset, setidaknya satu elemen dari layanan harus cocok dengan elemen di pinet. Kami menyematkan kunci publik dari sertifikat kami di semua aplikasi asli kami.

    Misi kami adalah membangun internet yang lebih aman, dan diberi tahu tentang bagaimana data Anda dilindungi dapat memberdayakan Anda untuk membuat keputusan yang lebih baik tentang layanan yang Anda gunakan. Jika Anda memiliki pertanyaan atau komentar lebih lanjut tentang sertifikat TLS atau bagaimana kami menggunakannya, beri tahu kami di media sosial di Twitter (jendela baru) atau reddit (jendela baru) .

    Salam,
    Tim Mail Proton

    Kami juga menyediakan a Layanan VPN gratis (jendela baru) untuk melindungi privasi Anda. Proton Mail dan Proton VPN (jendela baru) didanai oleh kontribusi masyarakat. Jika Anda ingin mendukung upaya pengembangan kami, Anda dapat meningkatkan ke a rencana berbayar (jendela baru) atau menyumbangkan (jendela baru) . Terima kasih atas dukungan Anda.

    Jangan ragu untuk membagikan umpan balik dan pertanyaan Anda dengan kami melalui saluran media sosial resmi kami di Twitter (jendela baru) dan Reddit (jendela baru) .

Related Posts

© racavedigger.com 2024