Cos’è HTTPS

Per proteggere un sito Web rivolto al pubblico con HTTPS, è necessario installare un certificato SSL/TLS firmato da un’autorità di certificazione di fiducia pubblicamente (CA) sul tuo server Web. SSL.com’S KnowledgeBase include molte guide utili e How-TOS per la configurazione di un’ampia varietà di piattaforme di server Web per supportare HTTPS.

Riepilogo:

HTTPS è un protocollo sicuro utilizzato per proteggere i siti Web. Richiede l’installazione di un certificato SSL/TLS da una CA di fiducia. SSL.com fornisce guide per la configurazione di server Web per supportare HTTPS.

Punti chiave:

1. Sicurezza del livello di trasporto (TLS): TLS fornisce sicurezza per la comunicazione tra gli host. Garantisce integrità, autenticazione e riservatezza. È comunemente usato nei browser Web ma può essere utilizzato con qualsiasi protocollo che utilizza TCP.

2. TLS vs SSL: SSL è il predecessore del protocollo TLS. Alcuni termini, come i certificati SSL, sono usati in modo intercambiabile. È importante usare TLS invece del protocollo SSL insicuro.

3. Uso della porta: Alcune applicazioni utilizzano una sola porta per sessioni non crittografate e crittografate. Per passare da non crittografato a crittografato, viene utilizzato StartTLS. Il termine SSL può essere utilizzato quando una singola porta utilizza direttamente il protocollo TLS.

4. SSL/TLS in Wireshark: WireShark ha un dissettore TLS completamente funzionale, che supporta la decrittografia se vengono forniti i segreti appropriati. Il dissettore è stato rinominato da SSL a TLS in Wireshark 3.0.

5. DECRIPTION TLS: WireShark supporta la decryption TLS utilizzando un file di registro chiave o una chiave privata RSA. Si consiglia il file di registro chiave in quanto funziona in tutti i casi. La chiave privata RSA ha dei limiti.

6. Impostazioni delle preferenze: Le preferenze relative a TLS sono disponibili nel menu Modifica -> Preferenze. Le preferenze notevoli includono il file di file (pre)-Master-Secret Log, elenco di chiavi RSA, file di debug pre-condiviso e TLS.

7. Preferenze del protocollo TCP: Per abilitare la decryption TLS, l’opzione “Consenti al sottosettore di riassemblare i flussi TCP” deve essere abilitata. A partire da Wireshark 3.0, l’opzione “Riassemblare i segmenti fuori ordine” è disabilitato per impostazione predefinita.

8. Finestra di dialogo RSA Keys: A partire da Wireshark 3.0, una nuova finestra di dialogo RSA Keys è disponibile in modifica -> Preferenze -> RSA Keys. Consente di aggiungere tasti privati ​​in formato PEM o keystore PKCS#12 per la decryption.

Domande:

Domanda 1: Qual è lo scopo di installare un certificato SSL/TLS per HTTPS?

Risposta: L’installazione di un certificato SSL/TLS è necessaria per stabilire una comunicazione sicura e proteggere il sito Web dall’accesso non autorizzato. Verifica l’identità del server e consente la crittografia dei dati scambiati tra il server e i client.

Domanda 2: I TL possono essere utilizzati con protocolli diversi dai browser Web?

Risposta: Sì, i TL possono essere utilizzati con qualsiasi protocollo che utilizza TCP come livello di trasporto. Fornisce sicurezza, integrità e autenticazione per la comunicazione tra gli host.

Domanda 3: Quali sono le differenze tra TLS e SSL?

Risposta: SSL è il predecessore del protocollo TLS. TLS è il protocollo raccomandato, poiché SSL è considerato insicuro. Tuttavia, i termini certificati SSL e SSL sono ancora usati in modo intercambiabile in alcuni casi, portando alla confusione.

Domanda 4: In che modo il traffico di Wireshark può decretare?

Risposta: WireShark può decrittografare il traffico se vengono forniti i segreti appropriati. Supporta la decryption utilizzando un file di registro chiave o una chiave privata RSA. Il file di registro dei tasti è consigliato per la decrittografia.

Domanda 5: Dove si possono trovare le impostazioni di preferenza per la decryption TLS in Wireshark?

Risposta: Le impostazioni di preferenza per la decryption TLS sono disponibili nel menu Modifica -> Preferenze. Sotto l’albero dei protocolli, selezionare TLS. Preferenze aggiuntive sono disponibili secondo le preferenze del protocollo TCP.

Domanda 6: Quali sono i limiti dell’utilizzo di una chiave privata RSA per la decryption TLS?

Risposta: Il metodo chiave privato RSA per la decryption TLS ha limitazioni. Funziona solo se la suite Cipher selezionata dal server non utilizza (EC) DHE, la versione del protocollo è SSLV3 o (d) TLS 1.0-1.2 (non funziona con TLS 1.3) e la chiave privata corrisponde al certificato del server. Inoltre, la sessione non deve essere ripresa.

Domanda 7: Come può essere abilitata la decrittografia TLS in WireShark per tutti i casi?

Risposta: La decryption TLS può essere abilitata per tutti i casi utilizzando un file di registro chiave. Il file di registro dei tasti è un file di testo generato da applicazioni come Firefox, Chrome e Curl quando è impostata la variabile di ambiente SSLKeylogfile. Richiede un’esportazione continua di segreti dall’applicazione client o server.

Domanda 8: Quali sono le preferenze notevoli per la decrittografia TLS in Wireshark?

Risposta: Alcune preferenze notevoli per la decryption TLS in WireShark includono il file di registro (pre)-Master-Secret Log, l’elenco delle chiavi RSA (deprecato a favore della finestra di dialogo RSA Keys), Pre-Shared-Key per PSK Cipher Suites.

Domanda 9: Quali preferenze di protocollo TCP sono necessarie per consentire la decrittazione TLS in WireShark?

Risposta: Sono necessarie due preferenze di protocollo TCP per consentire la decrittazione TLS in WireShark: “Consenti al sottosettore di riassemblare i flussi TCP” (abilitato per impostazione predefinita) e “rimontare i segmenti fuori ordine” (disabilitato da default 3.0).

Domanda 10: Qual è lo scopo della finestra di dialogo RSA Keys in Wireshark?

Risposta: La finestra di dialogo RSA Keys in Wireshark consente di aggiungere tasti privati ​​in formato PEM o keystore PKCS#12 per la decryption. Fornisce un modo conveniente per configurare le chiavi private RSA per scopi di decryption.

Cos’è HTTPS

Per proteggere un sito Web rivolto al pubblico con HTTPS, è necessario installare un certificato SSL/TLS firmato da un’autorità di certificazione di fiducia pubblicamente (CA) sul tuo server Web. SSL.com’S KnowledgeBase include molte guide utili e How-TOS per la configurazione di un’ampia varietà di piattaforme di server Web per supportare HTTPS.

Sicurezza del livello di trasporto (TLS)

La sicurezza del livello di trasporto (TLS) fornisce sicurezza nella comunicazione tra due host. Fornisce integrità, autenticazione e riservatezza. Viene utilizzato più comunemente nei browser Web, ma può essere utilizzato con qualsiasi protocollo che utilizza TCP come livello di trasporto.

Secure Sockets Layer (SSL) è il predecessore del protocollo TLS. Questi nomi sono spesso usati in modo intercambiabile, il che può portare a una certa confusione:

• Una configurazione che utilizza il Protocollo SSL (SSLV2/SSLV3) è insicuro. IL Protocollo TLS dovrebbe essere usato invece.
• X.509 certificati per l’autenticazione sono talvolta chiamati anche Certificati SSL.
• Alcune applicazioni (come e -mail) utilizzano un’unica porta per sessioni sia non crittografate che crittografate. Per cambiare da non crittografato a crittografato, (Avvia) TLS si usa. Quando una singola porta utilizza direttamente il protocollo TLS, viene spesso definita come SSL.
• Per motivi storici, il software (Wireshark incluso) si riferisce a SSL o SSL/TLS mentre in realtà significa il protocollo TLS poiché oggi è ciò che tutti usano.

Dipendenze del protocollo

• TCP: in genere, TLS utilizza TCP come protocollo di trasporto.

Dissezione TLS in Wireshark

Il Dissettore TLS è completamente funzionale e supporta anche funzionalità avanzate come la decryption di TLS se vengono forniti i segreti appropriati (#TLS_DECRYPTION).

Da Wireshark 3.0, il dissettore TLS è stato rinominato da SSL a TLS. L’uso del filtro di visualizzazione SSL emetterà un avvertimento.

Decrittazione TLS

WireShark supporta la decryption TLS quando vengono forniti i segreti appropriati. I due metodi disponibili sono:

• File di registro dei tasti utilizzando i segreti per sessione (#Usingthe (pre)-Master Secret).
• Decrittazione usando una chiave privata RSA.

Un file di registro chiave è un meccanismo universale che consente sempre la decryption, anche se è in uso uno scambio di chiavi Diffie-Hellman (DH). La chiave privata RSA funziona solo in un numero limitato di casi.

Il file di registro dei tasti è un file di testo generato da applicazioni come Firefox, Chrome e Curl quando è impostata la variabile di ambiente SSLKeylogfile. Per essere precisi, la loro biblioteca sottostante (NSS, OpenSSL o BORINSSL) scrive i segreti per sessioni richiesti in un file. Questo file può successivamente essere configurato in Wireshark (#Utilizzare il segreto (pre)-Master).

Il file chiave privato RSA può essere utilizzato solo nelle seguenti circostanze:

• La suite di cifratura selezionata dal server non utilizza (EC) DHE.
• La versione del protocollo è SSLV3, (d) TLS 1.0-1.2. Lo fa non lavorare con TLS 1.3.
• La chiave privata corrisponde al server certificato. Non funziona con il cliente Certificato, né il certificato di Autorità certificata (CA).
• La sessione non è stata ripresa. La stretta di mano deve includere il ClientKeyExchange Messaggio di stretta di mano.

Il file di registro chiave è generalmente raccomandato poiché funziona in tutti i casi, ma richiede la capacità continua di esportare i segreti dall’applicazione client o server. L’unico vantaggio della chiave privata RSA è che deve essere configurato solo una volta in Wireshark per abilitare la decrittografia, fatta salva le limitazioni di cui sopra.

Impostazioni di preferenza

Vai a Modificare -> Preferenze. Apri il Protocolli albero e seleziona Tls. In alternativa, selezionare un pacchetto TLS nell’elenco dei pacchetti, fare clic con il pulsante destro del mouse su Tls Layer nella visualizzazione dei dettagli del pacchetto e aprire il Preferenze del protocollo menù.

Le notevoli preferenze del protocollo TLS sono:

• (Pre)-Master-Secret Log FileName (TLS.keylog_file): percorso per leggere il file di registro dei tasti TLS per la decryption.
• Elenco delle chiavi RSA: apre una finestra di dialogo per configurare le chiavi private RSA per la decryption. Deprecato a favore del Preferenze ->Tasti RSA dialogo.
• Pre-Shared-Key: utilizzato per configurare il tasto di decrittografia per le suite di cifri PSK. Non generalmente usato.
• File di debug TLS (TLS.Debug_logfile): percorso per scrivere dettagli interni sul processo di decrittografia. Conterrà i risultati della decrittazione e le chiavi utilizzate in questo processo. Questo può essere usato per diagnosticare perché la decrittografia fallisce.

Sono inoltre necessarie le seguenti preferenze di protocollo TCP per abilitare la decrittazione TLS:

• Consenti al sottosettore di rimontare i flussi TCP. Abilitato per impostazione predefinita.
• Riassemblare i segmenti fuori ordine (da Wireshark 3.0, disabilitato per impostazione predefinita).

A partire da Wireshark 3.0, è disponibile una nuova finestra di dialogo RSA Keys Modificare -> Preferenze -> Tasti RSA. In questa finestra di dialogo, usa il Aggiungi nuovo keyfile .. pulsante per selezionare un file. Ti verrà richiesto una password, se necessario. IL Aggiungi un nuovo token .. Il pulsante può essere utilizzato per aggiungere tasti da un HSM che potrebbe richiedere l’uso Aggiungi nuovo provider .. Per selezionare Seleziona una DLL/.Quindi file e configurazione specifica per fornitore aggiuntivo.

Il file chiave RSA può essere un PEM formattare la chiave privata o un keystore PKCS#12 (in genere un file con a .pfx o .estensione P12). Il tasto PKCS#12 è un file binario, ma il formato PEM è un file di testo che assomiglia a questo:

-----Key di inizio privato ----- miievgibadanbgkqhkig9w0baqefaascbkgwggskagageaaoibaibaqdreqzlkveak8b5 TrcrbHsi9iywhx8nqc8k4hedrvn7Hibqqphukvekdoxplyvuc7a8hblr93qw . Koi8fzl+jhg+p8vtpk5zaiyp ----- end private Key----- 

Il deprecato Elenco dei tasti RSA La finestra di dialogo può essere rimossa ad un certo punto. Per configurare le chiavi, utilizzare il Tasti RSA Dialog invece. Per modificare il protocollo per i dati di rete decrittografati, fare clic con il pulsante destro del mouse su un pacchetto TLS e utilizzare Decodifica come per cambiare il Attuale protocollo per il Porta TLS. IL indirizzo IP E Porta I campi sono inutilizzati.

Esempio di file di acquisizione

• scarico.PCAPNG TLSV1.2 Capture con 73 cifri suite, hai bisogno di questo Premaster.file txt per decrittoni del traffico. (collegato da https: // bugs.Wireshark.org/buugzilla/show_bug.CGI?id = 9144)
• TLS12-DSB.PCAPNG – TLS 1.2 traccia con chiavi di decrittografia incorporate. (Acquisizione del test nell’albero di sorgente Wireshark aggiunto qui)
• https: // gitlab.com/wireshark/wireshark/ -/albero/master/test/cattura – La suite di test contiene varie tracce TLS.

Visualizza filtro

Un elenco completo dei campi di filtro di visualizzazione TLS è disponibile nel riferimento del filtro di visualizzazione

Mostra solo il traffico basato su TLS:

Filtro di acquisizione

Non è possibile filtrare direttamente i protocolli TLS durante l’acquisizione. Tuttavia, se conosci la porta TCP utilizzata (vedi sopra), è possibile filtrare su quella, ad esempio usando la porta TCP 443 .

Usando il (pre)-Master-Secret

Il Master Secret abilita la decryption TLS in WireShark e può essere fornito tramite il file di registro delle chiavi. Il segreto pre-master è il risultato dello scambio chiave e può essere convertito in un segreto master di Wireshark. Questo segreto pre-master può essere ottenuto quando viene fornita una chiave privata RSA e uno scambio di chiave RSA è in uso.

Istruzioni dettagliate per decifrare il traffico TLS da Chrome o Firefox in Wireshark:

1. Chiudi completamente il browser (controlla il tuo task manager solo per essere sicuro).
2. Imposta la variabile di ambiente sslkeylogfile sul percorso assoluto di un file scrivibile.
3. Avviare il browser.
4. Verificare che venga creata la posizione dal passaggio 2.
5. In Wireshark, vai a Modificare ->Preferenze ->Protocolli ->Tls, e cambia il (Pre)-Master-Secret Log Filine Preferenza al percorso dal passaggio 2.
6. Inizia la cattura di Wireshark.
7. Apri un sito Web, ad esempio https: // www.Wireshark.org/
8. Verificare che i dati decrittuiti siano visibili. Ad esempio, utilizzando il filtro TLS e (HTTP o HTTP2).

Per finestre, Una variabile di ambiente può essere impostata a livello globale come descritto in questa procedura dettagliata, ma questo non è raccomandato poiché è facile dimenticare e può essere un problema di sicurezza poiché consente la decrittografia di tutto il traffico TLS. Un modo migliore per impostare la variabile di ambiente è tramite un file batch. Crea un file start-fx.CMD con:

@echo off set sslkeylogfile =%userprofile%\ desktop \ keylogfile.txt start Firefox 

Per Linux, Apri un terminale, quindi avvii il browser con:

Export sslkeylogfile = $ home/desktop/keylogfile.txt Firefox 

Per Mac OS, Apri un terminale, quindi avvii il browser con:

Export sslkeylogfile = $ home/desktop/keylogfile.txt aperto -A Firefox 

Cambia il percorso SSLKEYLOGFILE secondo necessità e sostituisci Firefox con Chrome per Google Chrome. Questo meccanismo attualmente (2019) non funziona per Safari, Microsoft Edge e altri dalle loro librerie TLS (Microsoft Schannel/Apple Securetransport) non supportare questo meccanismo. Questo meccanismo funziona per applicazioni diverse dai browser Web, ma dipende dalla libreria TLS utilizzata dall’applicazione.

Nota: Anche le versioni basate sul cromo di Edge (versione 79+) dovrebbero funzionare.

Esempi di altre applicazioni:

• Le applicazioni che utilizzano OpenSSL potrebbero utilizzare un trucco GDB o LD_preload per estrarre i segreti. Questo include Python.
  • Per una procedura dettagliata per Apache HTTP Server utilizzando questo LibSslkeylog.Quindi biblioteca, vedi questo post.
  • JSSLKEYLOG: http: // JSSLKEYLOG.FORNEFORGE.netto/
  • extract-tls-secrets: https: // github.com/neykov/extract-tls-secrets

  Per un sondaggio sulle applicazioni e sulle librerie TLS supportate, vedi anche pagina 19 della presentazione SSL/Tls Decryption Sharkfest’18 di Peter Wu Wu.

  Incorporare i segreti di decryption in un file PCAPNG

  Da Wireshark 3.0 È possibile incorporare il file di registro dei tasti TLS in a pcapng file. Ciò rende molto più semplice distribuire file di acquisizione con segreti di decrittografia e semplifica il passaggio tra i file di acquisizione poiché la preferenza del protocollo TLS non deve essere aggiornata. Per aggiungere il contenuto dei tasti del file di registro dei tasti.txt per acquisire file in.PCAP e scrivi il risultato a Out-DSB.pcApng:

  EDITCAP-INCIGITÀ-SECRETS TLS, tasti.txt in.PCAP OUT-DSB.pcapng

  IL dsb Il suffisso sta per il blocco dei segreti di decryption (DSB) e fa parte della specifica PCAPNG.

  Un file di registro chiave potrebbe contenere tasti che non sono correlati a un file di acquisizione. Per garantire che le chiavi non necessarie non siano trapelate, è possibile utilizzare le sequenze di iniezione TLS.Py Script da https: // gist.github.com/lekensteyn/f64ba6d6d2c6229d6ec444647979ea24 per filtrare il file di registro delle chiavi e aggiungere i segreti richiesti a un file di acquisizione. Lo script Shell è stato testato con Linux e MacOS, ma una versione Python 3 è disponibile anche per tutte le piattaforme tra cui Windows. Esempio:

  Git clone https: // gist.github.com/lekensteyn/f64ba6d6d2c6229d6ec444647979ea24 ~/its ~/its/inject-tls-secrets.Py Keys.txt alcuni.PCAP 

  Guarda anche

  Alcuni altri protocolli sono derivati ​​da TLS. Ciò comprende:

  • DTLS si basa sullo standard TLS e funziona in cima a UDP come protocollo di trasporto.
  • Quic è un protocollo in via di sviluppo che utilizza TLS per la sua crittografia, lo stato di Wireshark può essere monitorato su https: // github.com/quicwg/base-draft/wiki/strumenti#wireshark.

  link esterno

  • https: // en.Wikipedia.Org/Wiki/Transport_Layer_Security Wikipedia Articolo per TLS
  • https: // sharkfesteurope.Wireshark.Org/Asset/Presentazioni16EU/07.Pdfsharkfest’16 Presentazione UE di Sake Blok sulla risoluzione dei problemi SSL con Wireshark/Tshark (o guarda il video della presentazione su https: // youtu.be/odady9qcnxk)
  • https: // Lekensteyn.NL/Files/Wireshark-SSL-TLS-DECRYPTION-SECRETS-SHARKFEST18EU.Pdfsharkfest’18 Presentazione UE di Peter Wu sulla decryption TLS (video per un precedente discorso in Asia su https: // youtu.be/bwjebwgoebg)
  • https: // Lekensteyn.NL/Files/Wireshark-TLS-DEBUGGING-SHARKFEST19US.PDFSHARKFEST’19 Presentazione US di Peter Wu Descrive la decryption TLS e l’uso di segreti di decryption incorporati (https: // youtu.BE/HA4SLHCEF6W).
  • Come funziona SSL/TLS? – Exchange dello stack di sicurezza delle informazioni
  • Keyless SSL: i dettagli tecnici Nitty Gritty con una buona introduzione in TLS
  • PolarProxy di Netresec è un proxy SSL/TLS trasparente creato per i soccorritori e i ricercatori di malware che è principalmente progettato per intercettare e decrittografare il traffico crittografato dal malware. PolarProxy decrittica e ribatte il traffico TLS, salvando anche il traffico decrittografato in un file PCAP che può essere caricato in WireShark o in un sistema di rilevamento delle intrusioni (IDS).

  Cos’è HTTPS?

  HTTPS (Protocollo di trasferimento Hypertext Secure) è una versione sicura del protocollo HTTP che utilizza il protocollo SSL/TLS per la crittografia e l’autenticazione. HTTPS è specificato da RFC 2818 (maggio 2000) e utilizza la porta 443 per impostazione predefinita anziché HTTP’S Porta 80.

  Il protocollo HTTPS consente agli utenti del sito Web di trasmettere dati sensibili come numeri di carta di credito, informazioni bancarie e credenziali di accesso in modo sicuro su Internet. Per questo motivo, HTTPS è particolarmente importante per garantire attività online come lo shopping, le attività bancarie e il lavoro remoto. Tuttavia, HTTPS sta rapidamente diventando il protocollo standard per Tutto siti Web, indipendentemente dal fatto che si scambiano dati sensibili con gli utenti.

  In che modo HTTPS è diverso da HTTP?

  Https aggiunge crittografia, autenticazione, E integrità al protocollo HTTP:

  Crittografia: Poiché HTTP è stato originariamente progettato come un protocollo di testo chiaro, è vulnerabile a intercettare e l’uomo ai media attacchi. Includendo la crittografia SSL/TLS, HTTPS impedisce l’intercettazione e la lettura di una terza parte su Internet di essere intercettati da Internet. Attraverso la crittografia a chiave pubblica e la stretta di mano SSL/TLS, una sessione di comunicazione crittografata può essere creata in modo sicuro tra due parti che non si sono mai incontrate di persona (E.G. un server Web e un browser) tramite la creazione di una chiave segreta condivisa.

  Autenticazione: A differenza di HTTP, HTTPS include una solida autenticazione tramite il protocollo SSL/TLS. Un sito web’Il certificato SSL/TLS include un file chiave pubblica che un browser Web può utilizzare per confermare che i documenti inviati dal server (come le pagine HTML) sono stati firmati digitalmente da qualcuno in possesso del corrispondente Chiave privata. Se il server’Il certificato S è stato firmato da un’autorità di certificazione di fiducia pubblicamente (CA), come SSL.com, il browser accetterà che tutte le informazioni identificative incluse nel certificato siano state validate da una terza parte di fiducia.

  I siti Web HTTPS possono anche essere configurati per autenticazione reciproca, in cui un browser Web presenta un certificato client che identifica l’utente. L’autenticazione reciproca è utile per situazioni come il lavoro remoto, dove è desiderabile includere l’autenticazione a più fattori, riducendo il rischio di phishing o altri attacchi che coinvolgono un furto di credenziali. Per ulteriori informazioni sulla configurazione dei certificati client nei browser Web, leggi questo How-To.

  Integrità: Ogni documento (come una pagina Web, l’immagine o il file JavaScript) inviato a un browser da un server Web HTTPS include una firma digitale che un browser Web può utilizzare per determinare che il documento non è stato modificato da una terza parte o altrimenti corrotto durante il transito. Il server calcola un hash crittografico del documento’s contenuto, incluso con il suo certificato digitale, che il browser può calcolare in modo indipendente per dimostrare che il documento’s l’integrità è intatta.

  Nel loro insieme, queste garanzie di crittografia, autenticazione e integrità rendono HTTPS a tanto Protocollo più sicuro per la navigazione e la conduzione di attività sul Web rispetto a HTTP.

  Quali informazioni HTTPS forniscono agli utenti i proprietari di siti Web?

  CAS Utilizzare tre metodi di convalida di base durante l’emissione di certificati digitali. Il metodo di convalida utilizzato determina le informazioni che saranno incluse in un sito Web’Certificato SSL/TLS:

  • Convalida del dominio (DV) conferma semplicemente che il nome di dominio coperto dal certificato è sotto il controllo dell’entità che ha richiesto il certificato.
  • Convalida organizzazione / individuale (OV / IV) I certificati includono il nome validato di un’azienda o altra organizzazione (OV) o una persona (IV).
  • Convalida estesa (EV) I certificati rappresentano il massimo standard in Internet Trust e richiedono il massimo sforzo da parte della CA per convalidare. I certificati EV vengono emessi solo alle imprese e ad altre organizzazioni registrate, non alle persone e includono il nome convalidato di tale organizzazione.

  Per ulteriori informazioni sulla visualizzazione del contenuto di un sito Web’S Certificato digitale, leggi il nostro articolo, come posso verificare se un sito Web è gestito da un’azienda legittima?

  Perché usare HTTPS?

  Esistono diversi buoni motivi per utilizzare HTTPS sul tuo sito Web e per insistere su HTTPS durante la navigazione, lo shopping e il lavoro sul Web come utente:

  Integrità e autenticazione: Attraverso la crittografia e l’autenticazione, HTTPS protegge l’integrità della comunicazione tra un sito Web e un utente’browser. I tuoi utenti sapranno che i dati inviati dal tuo server web non sono stati intercettati e/o modificati da una terza parte in transito. E se tu’VE ha fatto gli investimenti extra nei certificati EV o OV, saranno anche in grado di dire che le informazioni provenivano davvero dalla tua attività o organizzazione.

  Privacy: Naturalmente nessuno vuole che gli intrusi raccolgano i loro numeri di carta di credito e le password mentre fanno acquisti o banche online, e HTTPS è ottimo per prevenire. Ma lo faresti Veramente Vuoi che tutto il resto che vedi e che fai sul web sia un libro aperto per chiunque si senta un sussulto (compresi governi, datori di lavoro o qualcuno che costruisce un profilo per de-anonimizzare le tue attività online)? Anche HTTPS gioca un ruolo importante.

  Esperienza utente: Le recenti modifiche all’interfaccia utente del browser hanno comportato che i siti HTTP vengano contrassegnati come insicuri. Vuoi i tuoi clienti’ browser per dire loro che il tuo sito web è “Non sicuro” o mostra loro una serratura incrociata quando lo visitano? Ovviamente no!

  Compatibilità: Le attuali modifiche al browser stanno spingendo HTTP sempre più vicino all’incompatibilità. Mozilla Firefox ha recentemente annunciato una modalità solo HTTPS opzionale, mentre Google Chrome si sposta costantemente per bloccare il contenuto misto (risorse HTTP collegate alle pagine HTTPS). Se visti insieme con gli avvertimenti del browser di “insicurezza” Per i siti Web HTTP, IT’è facile vedere che la scrittura è sul muro per http. Nel 2020, tutti gli attuali browser e dispositivi mobili supportano HTTPS, quindi hai vinto’t perdere gli utenti passando da HTTP.

  SEO: I motori di ricerca (incluso Google) usano HTTPS come segnale di classificazione quando si generano risultati di ricerca. Pertanto, i proprietari di siti Web possono ottenere una spinta SEO facile semplicemente configurando i loro server Web per utilizzare HTTPS anziché HTTP.

  In breve, non ci sono più buone ragioni per cui i siti Web pubblici continuino a supportare HTTP. Anche il governo degli Stati Uniti è a bordo!

  Come funziona HTTPS?

  Https aggiunge crittografia al protocollo HTTP avvolgendo HTTP all’interno del protocollo SSL/TLS (motivo per cui SSL è chiamato protocollo tunneling), in modo che tutti i messaggi siano crittografati in entrambe le direzioni tra due computer in rete (E.G. un client e un server web). Sebbene un EavesRopper possa ancora potenzialmente accedere agli indirizzi IP, ai numeri di porta, ai nomi di dominio, alla quantità di informazioni scambiate e alla durata di una sessione, tutti i dati effettivi scambiati sono crittografati in modo sicuro da SSL/TLS, incluso: incluso:

  • Richiedi URL (quale pagina web è stata richiesta dal client)
  • Contenuto del sito web
  • Parametri di query
  • Testate
  • Biscotti

  HTTPS utilizza anche il protocollo SSL/TLS per autenticazione. SSL/TLS utilizza documenti digitali noti come X.509 certificati per legare crittografici coppie di chiavi alle identità di entità come siti Web, individui e aziende. Ogni coppia chiave include un file Chiave privata, che è mantenuto sicuro e a chiave pubblica, che può essere ampiamente distribuito. Chiunque abbia la chiave pubblica può usarla per:

  • Invia un messaggio che solo il possessore della chiave privata può decrittografare.
  • Conferma che un messaggio è stato firmato digitalmente dalla sua chiave privata corrispondente.

  Se il certificato presentato da un sito Web HTTPS è stato firmato da un fidata pubblicamente Autorità certificata (CA), ad esempio SSL.com, Gli utenti possono essere assicurati che l’identità del sito Web è stata convalidata da una terza parte affidabile e rigorosa.

  Cosa succede se il mio sito web non lo fa’t usare https?

  Nel 2020, i siti Web che non utilizzano HTTPS o servono contenuti misti (servire risorse come immagini tramite HTTP dalle pagine HTTPS) sono soggetti a avvisi di sicurezza del browser ed errori. Inoltre, questi siti Web compromettono inutilmente i propri utenti’ Privacy e sicurezza e non sono preferiti dagli algoritmi dei motori di ricerca. Pertanto, si possono aspettarsi i siti Web HTTP e il contenuto misto più avvisi ed errori del browser, Assenza di fiducia dell’utente inferiore E SEO più povero che se avessero abilitato HTTPS.

  Come faccio a sapere se un sito Web utilizza HTTPS?

  

  Un URL HTTPS inizia con https: // invece di http: // . I browser Web moderni indicano anche che un utente sta visitando un sito Web HTTPS sicuro visualizzando un simbolo di lucchetto chiuso a sinistra dell’URL:

  Nei browser moderni come Chrome, Firefox e Safari, gli utenti possono Fai clic sul blocco Per vedere se un sito web HTTPS’Il certificato digitale S include l’identificazione di informazioni sul suo proprietario.

  Come abilito HTTPS sul mio sito Web?

  Per proteggere un sito Web rivolto al pubblico con HTTPS, è necessario installare un certificato SSL/TLS firmato da un’autorità di certificazione di fiducia pubblicamente (CA) sul tuo server Web. SSL.com’S KnowledgeBase include molte guide utili e How-TOS per la configurazione di un’ampia varietà di piattaforme di server Web per supportare HTTPS.

  Per guide più generali alla configurazione del server HTTP e alla risoluzione dei problemi, leggi le migliori pratiche SSL/TLS per il 2020 e la risoluzione dei problemi di errori e avvertimenti del browser SSL/TLS.

  Grazie per aver visitato SSL.com! In caso di domande sull’ordinazione e l’installazione dei certificati SSL/TLS, contattare il nostro team di supporto 24/7 tramite e -mail all’indirizzo [email protected], per telefono al numero 1-877-SSL-Secure o semplicemente facendo clic sul collegamento della chat in basso a destra di questa pagina Web.

  HTTPS usa TLS?

  Об этой сттце

  Ыы зарегистрировали подозритеstituire. С помощю ээй ст р ы ыы сможем о imperceде quello. Почему ээо мо л поззти?

  Эта страница отображается в тех с лччч, когда автоматическиtal систе quisi которые наршают условия иполззования. Страница перестан scegliere. До этого момента для иполззования сжж google необходимо пхоходить поверку по по по по по.

  ” ылку запросов. Если ы и ипоеете общий доступ в интернет, проmma. Обратитесь к с ое системому администратору. Подробнеi.

  Проверка по слову может также появляться, если вы вводите сложные запросы, обычно распространяемые автоматизированными системами, или же вводите запросы очень часто.

  Cos’è un certificato TLS/SSL e come funziona?

  Ogni volta che si invia o ricevi informazioni su Internet, passa attraverso una rete di più computer per raggiungere la destinazione. Storicamente, uno di questi computer poteva leggere i tuoi dati, perché non era crittografato.

  Gran parte di questi dati è abbastanza sensibile e prezioso per gli hacker. Può includere comunicazioni private che non sono crittografate end-to-end (nuova finestra), informazioni finanziarie e, per applicazioni Web che DON DON’t Utilizzare il protocollo Secure Remote Password (Nuova finestra), anche le credenziali di accesso.

  Per proteggere i dati sensibili, gli esperti di sicurezza hanno sviluppato un nuovo protocollo standard per inviare e ricevere il traffico Internet: Transport Layer Security (TLS). Questo è stato preceduto da Secure Sockets Layer (SSL) ma ora è stato ampiamente sostituito da TLS.

  In questo articolo, noi’Copri i concetti di base dietro i certificati TLS e TLS. Puoi anche saltare nelle diverse sezioni:

  1. Cos’è TLS?
  2. Cos’è un certificato TLS?
  3. Come funziona un certificato TLS?
  4. Quali sono le debolezze di un certificato TLS?
  5. Why Trust Certificate Authorities?
  6. Precauzioni di sicurezza extra prese da Proton Mail

  Cos’è TLS?

  Prima di approfondire ciò che è un certificato TLS o come funziona, dovresti capire un po ‘della tecnologia sottostante.

  La sicurezza del livello di trasporto è un protocollo che stabilisce una sessione crittografata tra due computer su Internet. Verifica l’identità del server e impedisce agli hacker di intercettare qualsiasi dati.

  TLS (e il suo predecessore SSL) consente agli utenti di trasmettere in modo sicuro i dati sensibili quando si utilizzano il protocollo HTTPS (Nuova finestra) . In altre parole, HTTPS è HTTP stratificato sopra TLS. Questa tecnologia è ideale per applicazioni come banche, autenticazione delle informazioni, scambio di e -mail e qualsiasi altra procedura che richiede un livello più elevato di privacy e sicurezza. TLS aiuta a fornire un livello migliorato di protezione crittografando i dati altrimenti leggibili, rendendo difficile per gli hacker ottenere informazioni private.

  

  Questo framework fornisce la privacy tra i diversi endpoint della trasmissione dei dati e garantisce i dati’S integrità. Utilizza anche certificati digitali per verificare l’autenticità dei server. Questi certificati sono comunemente indicati come certificati TLS.

  L’autenticazione di questi certificati avviene utilizzando la crittografia a chiave pubblica. Questo si basa su coppie chiave costituite da una chiave pubblica e una chiave privata. La decrittografia dei dati crittografati può avvenire solo quando sono presenti sia la chiave pubblica che la chiave privata. I certificati TLS utilizzano l’autenticazione della chiave pubblica per verificare che i dati vengano accessibili dal destinatario previsto.

  Cos’è un certificato TLS?

  I certificati digitali, noti anche come certificati di identità o certificati chiave pubblici, sono file digitali che vengono utilizzati per certificare la proprietà di una chiave pubblica. I certificati TLS sono un tipo di certificato digitale, emesso da un’autorità di certificazione (CA). La CA firma il certificato, certificando di aver verificato che appartiene ai proprietari del nome di dominio che è oggetto del certificato.

  I certificati TLS di solito contengono le seguenti informazioni:

  • Il nome del dominio soggetto
  • L’organizzazione tematica
  • Il nome del CA emittente
  • Nomi di dominio soggetto aggiuntivo o alternativo, inclusi sottodomini, se presenti
  • Data di emissione
  • Data di scadenza
  • La chiave pubblica (la chiave privata, tuttavia, è un segreto.)
  • La firma digitale da parte del CA

  Come funziona un certificato TLS?

  Quando un utente cerca di connettersi a un server, il server invia loro il suo certificato TLS.

  L’utente verifica quindi il server’Certificato S utilizzando certificati CA presenti sull’utente’dispositivo S per stabilire una connessione sicura. Questo processo di verifica utilizza la crittografia a chiave pubblica, come RSA o ECC, per dimostrare la CA firmata il certificato. Finché ti fidi della CA, questo dimostra che stai comunicando con il certificato del server’soggetto (e.G., Mail di proton.com).

  Quindi, ciò significa che è sicuro al 100% e infallibile? Bene, non sempre.

  Quali sono le debolezze dei certificati TLS?

  Sebbene i certificati TLS siano generalmente sicuri, ci sono modi in cui gli hacker possono attaccare e potenzialmente compromettere TLS. Questi includono:

  Avvelenamento del negozio di certificazione

  Se un utente malintenzionato infetta un computer con software dannoso, potrebbe accedere ai certificati digitali memorizzati su quel dispositivo e inserire un certificato di root. Questo, insieme alla possibilità di rispondere fraudolentemente a quell’utente’Le richieste di siti Web, consentirebbero loro di impersonare un sito Web, consentendo loro di leggere tutti i dati inviati ad esso.

  Attaccare direttamente CAS

  Affinché la certificazione TLS funzioni, la CA deve essere sicura. Qualsiasi violazione della CA potrebbe portare all’autorizzazione errata o fraudolenta delle chiavi. Questo è successo occasionalmente in passato, con Comodo e Diginotar (nuova finestra) che sono esempi relativamente di alto profilo.

  Certificati emessi erroneamente

  Gli utenti si affidano a CAS per autenticare il server a cui si collegano. Tuttavia, a volte c’è un problema con un certificato che presenta una vulnerabilità che gli hacker possono sfruttare. Se combinato con una connessione Internet non sicura, un utente malintenzionato potrebbe utilizzare un certificato emesso emesso per compromettere la connessione con un server.

  Se esistono tutti questi problemi, è prudente fidarsi di CAS alla cieca? Fidati, sì. Ciecamente, no.

  Why Trust Certificate Authorities?

  Poiché gli agenti responsabili della verifica che i dati ricevuti provenissero dal server che ti aspettavano e non sono stati manomessi in viaggio, CAS svolgono un ruolo importante nella Internet moderna. Emettendo milioni di certificati digitali ogni anno, sono la spina dorsale della comunicazione sicura su Internet, aiutando a crittografare miliardi di scambi di dati e transazioni.

  La configurazione fisica di una CA è nota come la sua infrastruttura chiave pubblica (PKI). PKI è costituito da più elementi operativi, tra cui hardware, software, infrastruttura di sicurezza, personale, quadri politici, sistemi di audit e dichiarazioni di pratica, che contribuiscono a garantire che il processo di convalida del certificato TLS sia affidabile.

  Il modello di fiducia del PKI si basa su due elementi principali: i certificati di root (anche indicati come radici affidabili) e il server’Certificato S. Tutti i certificati emessi da una CA saranno automaticamente attendibili dal browser, a condizione che la CA’Il certificato di root è installato nell’archivio certificato del dispositivo. Ogni dispositivo ha un archivio di certificati, che è una raccolta locale di certificati di root da CAS attendibili.

  Precauzioni di sicurezza extra prese da Proton Mail

  Mentre è vero che i metodi di crittografia basati su CAS e TLS sono relativamente sicuri, lì’è sempre la possibilità di migliorare.

  Qui a Proton, fornire una privacy e la sicurezza migliorate è il nostro obiettivo principale. Usiamo misure aggiuntive per stabilire connessioni sicure e affidabili. Di seguito sono elencati alcuni dei passaggi che facciamo.

  Autorizzazione dell’autorità certificata DNS (CAA)

  Nel 2011, quando sono uscite le notizie in merito ai certificati emessi erroneamente, si è verificato la necessità di meccanismi di sicurezza migliorati. Uno dei risultati di tale necessità è DNS CAA, che blocca l’emissione di certificati errati.

  L’utilizzo di una registrazione delle risorse DNS consente ai proprietari di dominio decidere quali CAS è consentito emettere certificati per un determinato dominio. Se esiste un record CAA, solo il CAS elencato in quel record può emettere l’host’Certificato S.

  Sebbene ciò fornisca una certa protezione contro l’abuso di certificato non intenzionale, è molto difficile per gli utenti rilevare se una CA ignora la consulenza CAA. Ecco perché è necessaria la trasparenza del certificato.

  Trasparenza del certificato

  Per garantire la validità dei certificati e prevenire errori errati, tutti i CAS pubblicano i certificati che hanno generato sui server di registro pubblico, noti come registri di trasparenza del certificato (CT). Questi server inviano una firma alla CA, promettendo di pubblicare il loro certificato.

  Serviamo un’intestazione di aspettativa, che dice al browser di richiedere la presenza di questa firma. Abbiamo anche server di monitoraggio e revisione contabile che controllano il registro CT per tutti i certificati promessi destinati a essere pubblicati.

  Insieme, tutte queste misure lo rendono altamente improbabile per chiunque, incluso un attore statale, generare un certificato TLS per Proton.io e usarlo per intercettare le connessioni senza essere rilevato.

  Pinning del certificato TLS

  Il pinning del certificato è un processo che collega un servizio alla loro chiave pubblica specifica. Una volta stabilito un certificato per un particolare servizio, è permanentemente bloccato al servizio. Se ci sono più certificati validi per un determinato servizio, i pin vengono uniti in un pineset. Per convalidare un pineset, almeno un elemento dal servizio deve corrispondere agli elementi nel pineset. Puniamo la chiave pubblica dei nostri certificati in tutte le nostre app native.

  La nostra missione è quella di costruire un Internet più sicuro ed essere informati su come i tuoi dati sono protetti può consentirti di prendere decisioni migliori sui servizi che usi. Se hai ulteriori domande o commenti sui certificati TLS o su come li utilizziamo, facci sapere sui social media su Twitter (nuova finestra) o Reddit (nuova finestra) .

  Distinti saluti,
  Il team di posta protonica

  Forniamo anche un Servizio VPN gratuito (nuova finestra) Per proteggere la tua privacy. Proton Mail e Proton VPN (New Window) sono finanziati dai contributi della comunità. Se desideri supportare i nostri sforzi di sviluppo, puoi passare a un Piano a pagamento (nuova finestra) O donare (nuova finestra) . Grazie per il vostro sostegno.

  Sentiti libero di condividere i tuoi feedback e domande con noi tramite i nostri canali di social media ufficiali su Twitter (nuova finestra) e Reddit (nuova finestra) .