Riepilogo:

La crittografia SSL/TLS viene utilizzata per proteggere i dati scambiati tra due nodi su Internet o una rete di computer. Garantisce la riservatezza e l’integrità dei dati utilizzando la crittografia sia asimmetrica che simmetrica. Il processo di handshake SSL/TLS stabilisce una sessione sicura tra il client e il server, consentendo loro di scambiare i dati in modo sicuro. Tuttavia, SSL/TLS non nasconde gli indirizzi IP di origine e destinazione, ma crittografa il contenuto della comunicazione.

1. Come funziona la crittografia SSL/TLS?

La crittografia SSL/TLS utilizza una combinazione di crittografia asimmetrica e simmetrica. Si inizia con il client che contatta il server utilizzando un URL sicuro (HTTPS). Il server invia il suo certificato e la chiave pubblica al client, che viene quindi verificato da un’autorità di certificazione di root di fiducia. Il client e il server negoziano la crittografia più forte che possono supportare e scambiare una chiave di sessione. Questa chiave di sessione viene utilizzata per la crittografia e la decrittografia dei dati trasmessi tra client e server.

2. In che modo HTTPS/SSL è in grado di nascondere il sito Web di destinazione?

HTTPS/SSL non nasconde il sito Web di destinazione dai potenziali aggressori. Quando un client stabilisce una connessione SSL standard, un utente malintenzionato che può annusare il traffico sarà in grado di vedere la connessione dalla macchina client al server di destinazione e determinare l’indirizzo IP del server. Tuttavia, SSL/TLS si concentra sulla protezione dei dati trasmessi piuttosto che nascondere la destinazione.

3. Qual è la differenza tra sicurezza e privacy in SSL/TLS?

SSL/TLS fornisce sicurezza per i dati scambiati tra il client e il server crittografando il contenuto, proteggendolo da sniffing e manipolazione. Tuttavia, non fornisce la completa privacy. Metadati come indirizzi IP di origine e destinazione, nome host, dimensione del payload e tempistica non sono crittografati e possono essere utilizzati per creare un profilo di navigazione dell’utente. Per una migliore privacy, SSL/TLS può essere combinato con strumenti come TOR, ma anche questo non può garantire la piena privacy.

4. SSL/TLS nasconde il nome del sito Web connesso?

Per impostazione predefinita, SSL/TLS nasconde il nome del sito Web connesso. La fase SSL Handshake include un’estensione chiamata “Indicazione del nome del server” (SNI), che rivela il nome del sito collegato in testo in chiaro. Tuttavia, questa caratteristica non è stata introdotta fino a diversi anni dopo che la domanda è stata posta, quindi all’epoca la risposta era corretta.

5. SSL/TLS può essere decrittografato da un attaccante man-in-the-middle?

La crittografia SSL/TLS stessa non può essere decrittografata da un attaccante Man-in-the-Middle (MITM). Tuttavia, un attacco MITM coinvolge l’attaccante che gioca la destinazione per il client e giocando il client per il server, utilizzando tasti diversi e diverse sessioni SSL/TLS. Questo attacco è indipendente dalla decrittografia SSL e comporta la rappresentazione piuttosto che la decrittografia.

6. SSL/TLS nasconde gli indirizzi IP di origine e destinazione?

SSL/TLS non nasconde gli indirizzi IP di origine e destinazione. Gli indirizzi IP devono essere validi per una connessione TCP funzionante. Mentre SSL/TLS crittografa il contenuto della comunicazione, gli indirizzi IP rimangono visibili.

7. Ci sono tecnologie che migliorano la privacy fornita da SSL/TLS?

Esistono tecnologie come SNI crittografata (indicazione del nome del server) e Hello cripted che migliora la privacy fornita da SSL/TLS. Tuttavia, queste tecnologie non sono ampiamente adottate e non sono comuni nella maggior parte dei browser o server.

8. SSL/TLS può garantire la completa privacy?

No, SSL/TLS non può garantire la privacy completa. Mentre crittografa il contenuto della comunicazione, altri metadati come indirizzi IP, dimensioni del payload e tempismo possono essere ancora visibili, consentendo la creazione di profili di navigazione e potenziali violazioni della privacy.

9. Cosa succede alle chiavi di crittografia dopo aver lasciato un sito Web?

Le chiavi di crittografia utilizzate durante una sessione vengono scartate una volta che l’utente lascia il sito Web. Quando l’utente rivisita il sito Web, si verificano una nuova stretta di mano e la generazione di una nuova serie di chiavi per stabilire di nuovo una sessione sicura.

10. In che modo i proprietari di siti Web possono implementare la crittografia SSL/TLS?

I proprietari di siti Web devono avere un certificato SSL/TLS per il nome Web Server/Domain per utilizzare la crittografia SSL/TLS. Una volta installato, il certificato consente al client e al server di negoziare il livello di crittografia durante il processo di handshake.

In che modo HTTPS/SSL è in grado di nascondere il sito Web di destinazione a cui si sta connettendo

Se vuoi nascondere la tua connessione ad esso, usa Tor, come menzionato da Madhatter. Tutti fino a (e comprendono) il nodo di ingresso Tor possono sapere che stai usando TOR, ma non a ciò a cui ti stai collegando. Tutti dopo (e incluso) il nodo di uscita Tor sapranno che un utente TOR è collegato al tuo server, ma non a chi.

Cos’è la crittografia SSL/TLS?

Crittografia SSL (Secure Sockets Layer) e la sua sostituzione più moderna e sicura, crittografia TLS (Sicurezza del livello di trasporto), proteggere i dati inviati su Internet o una rete di computer. Ciò impedisce agli aggressori (e ai fornitori di servizi Internet) di visualizzare o manomissione con i dati scambiati tra due nodi, in genere un utente’S browser Web e un server Web/App. La maggior parte dei proprietari di siti Web e degli operatori ha l’obbligo di implementare SSL/TLS per proteggere lo scambio di dati sensibili come password, informazioni di pagamento e altre informazioni personali considerate private.

Come funziona la crittografia SSL/TLS?

SSL/TLS utilizza la crittografia sia asimmetrica che simmetrica per proteggere la riservatezza e l’integrità dei dati in transito. La crittografia asimmetrica viene utilizzata per stabilire una sessione sicura tra un client e un server e la crittografia simmetrica viene utilizzata per scambiare i dati all’interno della sessione protetta.

Un sito Web deve avere un certificato SSL/TLS per il loro nome Web Server/Domain per utilizzare la crittografia SSL/TLS. Una volta installato, il certificato consente al client e al server di negoziare in modo sicuro il livello di crittografia nelle seguenti fasi:

1. Il client contatta il server utilizzando un URL sicuro (https …).
2. Il server invia al client il suo certificato e la chiave pubblica.
3. Il cliente verifica questo con un’autorità di certificazione di root affidabile per garantire il certificato legittimo.
4. Il client e il server negoziano il tipo più forte di crittografia che ciascuno può supportare.
5. Il client crittografa una chiave di sessione (segreta) con il server’s chiave pubblica e la invia al server.
6. Il server decrittica la comunicazione client con la sua chiave privata e la sessione è stabilita.
7. La chiave di sessione (crittografia simmetrica) viene ora utilizzata per crittografare e decrittografare i dati trasmessi tra il client e il server.

Sia il client che il server ora utilizzano HTTPS (SSL/TLS + HTTP) per la loro comunicazione. I browser Web convalidano questo con un’icona di blocco nella barra degli indirizzi del browser. HTTPS funzioni sulla porta 443.

Una volta lasciato il sito Web, quelle chiavi vengono scartate. Alla tua prossima visita, viene negoziata una nuova stretta di mano e viene generata una nuova serie di chiavi.

In che modo HTTPS/SSL è in grado di nascondere il sito Web di destinazione a cui si sta connettendo?

Comprendo come è in grado di creare una connessione sicura tramite la mano, ma come è in grado di avviare una connessione sicura senza prima inviare una richiesta non crittografata, rivelando così il sito Web di destinazione (ma non i dati inviati o ricevuti da/alla destinazione. ) a un potenziale attaccante “uomo nel mezzo”. o non lo nasconde?

Daniel Valland

Chiesto il 7 febbraio 2015 alle 20:19

Daniel Valland Daniel Valland

235 2 2 badge d’argento 6 6 badge di bronzo

Fondamentalmente non lo è. Con una connessione SSL standard, un utente malintenzionato che può annusare il traffico sarà in grado di vedere una connessione dalla macchina client al server di destinazione e da ciò sarà in grado di sapere a quale indirizzo IP del server è collegato.

7 febbraio 2015 alle 20:22

3 risposte 3

Non confondere la sicurezza con la privacy.

Il compito di SSL/TLS è la sicurezza, non la privacy. Ciò significa che i dati stessi sono crittografati ma i meta dati come l’IP di origine e la destinazione, il nome host (con SNI utilizzato da tutti i browser moderni), le dimensioni del payload e i tempi ecc. E tutti questi possono essere utilizzati per realizzare un profilo di navigazione che include i siti che visiti e talvolta anche quali pagine visiti sul sito (in base alla dimensione del tempo e del payload). Ma SSL/TLS si assicura che il contenuto non pubblico (come i cookie, i dati del modulo ecc.) Sia protetto da annusazione e manipolazione.

Se vuoi una migliore privacy devi combinare SSL/TLS con qualcosa come TOR, ma anche questo non può garantire la piena privacy.

Risposta il 7 febbraio 2015 alle 20:49

Steffen Ullrich Steffen Ullrich

193k 29 29 badge d’oro 386 386 badge d’argento 439 439 badge di bronzo

SNI crittografato e ciao crittografato sono una cosa, anche se non sono affatto comuni. Puoi controllare se sei impostato per usarlo qui. Cerca sni = crittografato .

5 aprile alle 20:23

@9072997: hai ragione – ma: la prima versione della bozza ESNI è dal 2018 e in questo periodo il supporto sperimentale è stato aggiunto ai browser. La domanda qui e la risposta sono del 2015, io.e. 3 anni prima. Quindi al momento alla domanda è stata posta questa risposta qui era giusta.

5 aprile alle 20:30

SSL/TLS non nasconde l’origine e gli indirizzi IP di destinazione. È impossibile (almeno, con una soluzione puramente SSL/TLS), perché gli indirizzi SRC/DST devono essere validi per una connessione TCP funzionante.

IL nome del sito Web connesso, è nascosto per impostazione predefinita – O, almeno, è stato fino agli ultimi anni.

Da allora, esiste un’estensione del TLS denominato “Indicazione del nome del server”, che fornisce il nome del sito collegato non crittografato, Eppure nella fase della stretta di mano.

Il sito man-in-the-middle è una cosa diversa. Con MITM, un utente malintenzionato può giocare a destinazione per il client e riprodurre client per il server, utilizzando tasti diversi e diverse sessioni SSL/TTLS. Ma non ha nulla a che fare con la decrittazione SSL.

Risposta il 7 febbraio 2015 alle 20:41

2.978 6 6 badge d’oro 26 26 badge d’argento 33 33 badge di bronzo

Come ha affermato l’altro, la connessione iniziale non è garantita e contiene almeno l’indirizzo IP (anche se sempre più il nome del server grazie a SNI). Il server di destinazione risponde con un certificato di chiave pubblica e negozia la sessione SSL/TLS.

La chiave per evitare l’uomo negli attacchi di mezzo è il certificato e il fatto che è stato approvato da un’autorità di certificazione che il browser si fida.

Supponiamo che tu abbia un hacker che intercetta le comunicazioni tra un client e un server. Il client ha chiesto una connessione sicura al sito Web https: // www.esempio.com (per esempio). L’hacker può inviare sulla richiesta al sito Web reale e le risposte di relè. L’hacker sarà inoltre in grado di leggere la prima risposta da un server a client poiché è un testo semplice. Tuttavia, non può leggere il messaggio successivo da client al server in quanto è crittografato con la chiave pubblica del sito Web e quindi può essere decrittografato solo con la chiave privata (che l’hacker non ha). Poiché questi messaggi successivi vengono utilizzati per negoziare la chiave da utilizzare per la connessione SSL/TLS effettiva, l’hacker viene sostanzialmente bloccato dopo quel primo messaggio.

In alternativa, invece di comportarsi come un relè dritto, l’hacker può dare un certificato falso (a cui conosce la chiave privata) per la connessione del client-hacker e quindi può impostare la propria connessione hacker-server e passare i messaggi tra i due. Tuttavia, in questo scenario, a meno che non siano riusciti a compromettere uno degli emittenti del certificato principale che il browser del cliente accetta automaticamente.

SSL crittografa l’IP [chiuso]

È difficile dire cosa viene chiesto qui. Questa domanda è ambigua, vaga, incompleta, eccessivamente ampia o retorica e non può essere ragionevolmente risposta nella sua forma attuale. Per aiutare a chiarire questa domanda in modo che possa essere riaperta, visita il centro di aiuto.

Chiuso 10 anni fa .

Sto costruendo un server personale. Voglio essere in grado di accedere a questo server da qualsiasi luogo e non voglio che questo server venga bloccato. Comprendo che HTTPS crittografa il mio traffico, ma ho anche sentito che non lo crittografa completamente. Ho sentito che se vai su un sito Web con un dominio, una ricerca DNS viene eseguita senza crittografia, e quindi un ISP potrebbe capire quale dominio si trova il mio server personale (e qual è l’IP). Ma cosa succede se avessi accesso al mio server dal suo indirizzo IP? Domanda: Se accedo a un server andando all’indirizzo IP e uso HTTPS (quindi l’URL sarebbe qualcosa come https: // ###.###.###.###/), è possibile per chiunque (inclusi ISP e persone “dietro lo stesso router come me”) per capire l’indirizzo IP del server a cui accedi? In tal caso, dovrei usare ssl1/ssl2/ssl3 o dovrei usare tls1/tls1.1/tls1.2 o non importa? A proposito, il certificato del server sarà autofirmato e questo server sarà accessibile solo sulla porta 443 (HTTPS).

Chiesto il 13 agosto 2012 alle 16:05

Jamescostian Jamescostian

45 1 1 badge d’argento 3 3 badge in bronzo

en.Wikipedia.org/wiki/osi_model Nota le posizioni relative di IP, TCP e SSL. Se pensi in termini di buste, la busta più interna è SSL. Al di fuori di ciò è quello TCP, che specificherà cose come il numero di porta, il numero di sequenza, ecc. Quello più esterno è la busta IP, che avrà l’indirizzo IP. Si noti che TCP e IP non possono essere crittografati, altrimenti la busta contenente il payload SSL non verrà consegnata. Non entreremo in proxy e VPN qui.

13 agosto 2012 alle 18:05

Una semplice analogia. Come sarebbe in grado di collegare una chiamata se hai codificato il numero di telefono con un sistema di codifica casuale che hai creato?

13 agosto 2012 alle 19:59

3 risposte 3

Risposta: SÌ. Il tuo browser si impegnerà ancora prontamente nella handshake TCP a tre vie con il server su ###.###.###.###, e il tuo ISP può vederlo. Una volta impostata la connessione, il browser avrà una stretta di mano SSL con il server e il tuo ISP può vederlo. Una volta che le chiavi di sessione sono state negoziate, il browser continuerà a scambiare pacchetti crittografati con SSL con il server e il tuo ISP può vederli. Non può vedere cosa c’è in loro, ma l’indirizzo di origine e destinazione sono – e devono rimanere – non crittografato.

Se vuoi sfogliarlo privatamente, guarda in privaxy + tor.

Risposta il 13 agosto 2012 alle 16:07

79.4k 20 20 badge d’oro 183 183 badge d’argento 231 231 badge di bronzo

Entrambi espongono l’indirizzo IP fino a quando non si preme il server proxy o il nodo TOR.

11 agosto 2013 alle 7:36

Questo è vero, ma non espongono l’indirizzo IP del server stai richiedendo il contenuto, che è ciò che l’OP ha chiesto di proteggerlo.

24 agosto 2013 alle 5:57

Sì, questo è del tutto possibile e in effetti richiesto per qualsiasi traffico per raggiungere il tuo server.

Risposta il 13 agosto 2012 alle 16:07

115k 20 20 badge d’oro 211 211 badge d’argento 294 294 badge di bronzo

“Cript the IP” è tecnicamente senza senso. Un flusso TCP HTTPS crittografato SSL è ancora un flusso TCP e la connessione non può essere effettuata senza indirizzi IP. Tutti Nella posizione per osservare il traffico può facilmente registrare l’IP di origine, la porta di origine, la porta di destinazione, la porta di destinazione e i byte inviati in ciascuna direzione. Cosa viene registrato e per quanto tempo dipende da chi sta guardando e se sono compromessi o recitati sotto una sottopone.

Supponendo che tu stia connettendo a un punto di accesso WiFi che a sua volta è collegato a un ISP che sta instradando il tuo traffico attraverso la spina dorsale all’OSP di hosting che sta fornendo un host virtuale o co-localizzato, questo si riduce a:

• Il tuo router WiFi (e tutti gli attaccati anche ad esso) può vedere:
  • Il tuo indirizzo MAC, che identifica il tuo hardware fisico in modo univoco.
  • La porta, la porta e quanto traffico hai scambiato con il tuo server.
  • IP pubblico del tuo router. Se si tratta di una connessione residenziale degli Stati Uniti, probabilmente registreranno l’IP pubblica e il titolare dell’account e mantengono tali record per 6 mesi.
  • La porta, la porta e quanto traffico hai scambiato con il tuo server.
  • L’IP pubblica del router, la porta e quanto traffico hai scambiato con il tuo server.

  Se vuoi nascondere la tua connessione ad esso, usa Tor, come menzionato da Madhatter. Tutti fino a (e comprendono) il nodo di ingresso Tor possono sapere che stai usando TOR, ma non a ciò a cui ti stai collegando. Tutti dopo (e incluso) il nodo di uscita Tor sapranno che un utente TOR è collegato al tuo server, ma non a chi.

  In circostanze normali, esiste un certo pericolo in una registrazione del nodo di uscita compromessa o modificando il contenuto della sessione, ma che è principalmente mitigato usando SSL.

  Panoramica del protocollo VPN TLS

  Sicurezza del livello di trasporto (TLS) è un Protocollo basato su browser che crittografa i dati che passa tra siti Web e server. Se è necessario navigare in modo sicuro il Web, stai creando un sito Web di eCommerce sicuro o per utilizzare il browser Web per l’accesso remoto a una rete aziendale, la crittografia TLS potrebbe aiutare.

  Molti fornitori di VPN includono il tunneling TLS nei loro servizi. Questa forma di protezione VPN utilizza la crittografia TLS per bloccare i dati di traffico degli utenti del browser. Può anche salvaguardare i portali basati sul web tra operatori domestici e reti locali.

  Questo articolo del glossario esaminerà il lavoro dei servizi VPN TLS e se TLS fornisce una protezione sufficiente nell’ambiente di sicurezza informatica di oggi.

  Cos’è TLS VPN?

  TLS è un protocollo VPN che Sostituito il protocollo SSL (Secure Sockets Layer) esistente nel 1999. SSL è stato il primo protocollo di sicurezza a bloccare il traffico Web nel livello di trasporto del modello di rete OSI (livello 4). Tuttavia, gli hacker hanno presto trovato il modo di compromettere la crittografia dei dati SSL. Lo stesso non è ancora accaduto al protocollo TLS.

  TLS ha ora raggiunto la versione 1.3. Come SSL, funziona al livello di trasporto. Ciò lo rende utile per proteggere i dati del traffico trasmessi da browser Web, app voice-over-IP, client di posta elettronica e app di messaggistica.

  La combinazione di autenticazione e crittografia dei dati rende anche TLS un buon adattamento per i servizi VPN, che proteggono i dati del livello 4.

  

  Una rete privata virtuale (VPN) è un servizio che Crea una rete virtuale in cima ai flussi di dati fisici. I pacchetti di dati si muovono tunnel crittografati che avvolge i payload in un codice infrangibile. Anche server Anonimizza le identità dell’utente, Assegnazione di nuovi indirizzi IP a ciascun pacchetto. Ciò consente agli utenti di cambiare la propria posizione digitale ed eludere la sorveglianza o i criminali informatici.

  I VPN TLS sono di solito senza clienti. Non è necessario un software separato per stabilire connessioni e controllo di controllo. Questo stile di VPN funziona anche con HTTP, permettendogli di funzionare perfettamente con i siti Web più moderni. Funziona in background, aggiungendo un’altra barriera per la sicurezza informatica per gli utenti Web.

  In che modo funziona il tunneling VPN di sicurezza del livello di trasporto (TLS)?

  Le VPN TLS proteggono i dati creando Tunnel VPN. Questi tunnel sono connessioni tra due dispositivi definiti che crittografano i dati e autenticano i trasferimenti Garantire l’integrità dei dati. I tipi VPN creano tunnel in modi diversi e la tecnica utilizzata è la seguente:

  1. Connessione

  In primo luogo, il protocollo TLS deve stabilire una connessione tramite una negoziazione sulla suite di cifratura. Ciò informa il client e il server coinvolti che il protocollo TLS verrà utilizzato nel trasferimento dei dati. I browser possono fare una richiesta diretta o possono semplicemente aprire una porta utilizzata da TLS. Questa è generalmente la porta 443.

  2. Handshake TLS

  La seconda fase del processo è il Handshake TLS. Ciò comporta lo scambio di chiavi tra il client VPN e il server VPN utilizzando l’infrastruttura a chiave pubblica asimmetrica (PKI). Lo scambio chiave consente ai dispositivi di creare un segreto master unico per ogni trasferimento. Questo maestro segreto costituisce la base del codice Mac, che autentica l’intero processo. PKI crea anche chiavi di sessione utilizzate nella crittografia simmetrica per i dati hash mentre passa tra i due dispositivi.

  3. Record TLS

  Quando Handshake TLS ha creato i tasti di crittografia, Record TLS applica la crittografia e invia i dati in modo sicuro tramite il tunnel TLS. Record divide il payload in pacchetti e utilizza certificati digitali per autenticare ogni pacchetto alle due estremità del trasferimento. Il record TLS applica una forte crittografia per ciascun pacchetto ed elabora il trasferimento tramite il protocollo di controllo del trasporto (TCP).

  Questo processo si applica crittografia end-to-end (E2EE). I dati in forma di hash sono illeggibili agli estranei durante il transito. Il tunnel VPN garantisce anche se le informazioni sensibili vengono intercettate, gli aggressori non saranno in grado di usarle. Gli unici punti deboli sono ad entrambe le estremità del trasferimento, in cui i dati vengono crittografati o decrittografati.

  Allo stesso tempo, il server VPN Anonimizza le informazioni sull’indirizzo IP. I dati inviati sul Web non saranno collegati direttamente al dispositivo dell’utente. Una buona VPN dovrebbe persino nascondere i siti Web coinvolti. Invece, gli osservatori esterni vedono pacchetti di dati anonimi e possono imparare molto poco sul comportamento online dell’utente.

  Pro e contro del protocollo di crittografia TLS

  Nessun metodo di trasferimento dei dati è impeccabile. Gli utenti devono bilanciare fattori come la forza di crittografia, la stabilità, la velocità e la compatibilità. Ma dove si trova la sicurezza del livello di trasporto al riguardo? Molti vantaggi TLS lo rendono un’opzione VPN praticabile, ma ci sono anche alcuni contro che gli utenti devono sapere.

  Professionisti

  Spaziosi per applicazioni Web. Uno dei maggiori vantaggi TLS è che funziona con browser e portali web. Tutti gli utenti hanno bisogno è un client basato su browser e i clienti sono spesso integrati in browser come Firefox o Chrome. TLS gestisce la crittografia per la maggior parte dei siti Web e utilizza anche il protocollo HTTPS, che è raramente bloccato sul WiFi pubblico.

  Controlli di accesso granulare. Gli amministratori possono utilizzare il protocollo TLS per impostare controlli di accesso a grana fine sul gateway Web. I team di sicurezza possono creare politiche di sicurezza che specificano quali siti Web di filtraggio e applicazioni Web disponibili per ciascun utente. Il controllo di accesso può essere adattato a ogni utente, ogni applicazione e persino oggetti Web. Questo è più difficile da ottenere con stili VPN alternativi.

  Gestione dei server più efficiente. I controlli di accesso tramite TLS hanno anche vantaggi di efficienza. Ad esempio, i gestori di rete possono impostare politiche di accesso uniformi per ciascuna applicazione sul gateway Web. Con altri stili VPN, i manager potrebbero dover creare politiche di accesso per ciascun utente a livello di sistema operativo. TLS può anche proteggere i gateway ai servizi SAAS – razionalizzazione delle risorse sui server delle applicazioni.

  Accesso senza clienti. Le VPN SSL/TLS sono incorporate nei browser Web e nelle app basate sul Web. Gli utenti non devono acquistare, installare e configurare client VPN separati. Eventuali trasferimenti tramite il Web sono garantiti tramite crittografia e gli utenti possono facilmente accedere ai servizi di cui hanno bisogno. Con IPSEC, gli amministratori devono creare politiche per ciascuna connessione. Questo non è il caso di TLS.

  Forte sicurezza. TLS 1.2 è classificato come altamente sicuro dai cani da guardia del settore e ha poche vulnerabilità di sicurezza conosciute. AES 256-Bit Private Key Critty Guards contro il furto di dati, mentre la certificazione fornisce autenticazione a tenuta stagna. Il risultato è un collegamento crittografato che garantisce che i dati raggiungano la sua destinazione senza intercettazione.

  Contro

  TLS protegge solo le risorse web. Uno dei maggiori svantaggi di TLS è che è limitato ai contesti web. A differenza di IPSEC, TLS non fornisce una protezione completa del perimetro della rete al di fuori di questo contesto. In situazioni con un mix di applicazioni diversificato, le lacune di sicurezza possono mettere a rischio i dati. Gli utenti possono installare agenti desktop per coprire app specifiche, ma questo aggiunge a spese generali di manutenzione. Non tutte le app sono compatibili con Java senza segno, che può anche rappresentare problemi di compatibilità.

  Gli utenti possono riscontrare problemi di velocità di connessione. Quando si coinvolgono TLS su un browser Web, la VPN effettuerà le richieste di accesso ogni volta che si fa clic su un link e modificherà i siti. Questo avvia il processo di stretta di mano e crittografia, aggiungendo latenza. Nuove tecniche come TLS False Start e TLS Session hanno tempi di accesso ridotti, ma se hai bisogno di prestazioni VPN elevate, può essere preferibile IPSEC.

  L’implementazione può essere complessa. Mentre l’utilizzo di TLS come VPN è semplice, l’impostazione della protezione della VPN può essere complicato. La creazione di certificati TLS è un processo complesso e presenta costi iniziali elevati. I proprietari di siti Web devono inoltre garantire che tutti i sotto-domini e le app Web siano configurati per la sicurezza TLS.

  Vulnerabilità agli attacchi DDoS. Gli attacchi di negazione dei servizi possono causare problemi con il protocollo TLS. Gli aggressori possono montare inondazioni TCP che rendono inoperate le tabelle di sessione e possono causare tempi di inattività del sito Web o della rete.

  Storia dei protocolli VPN SSL e TLS

  La storia dello strato sicuro delle prese si risale alla nascita del World Wide Web. La società del browser Netscape ha introdotto SSL nel 1994 come modo per proteggere il traffico web tramite un collegamento crittografato. SSL 2.0 seguito nel 1995 e SSL 3.0 nel 1996.

  Sfortunatamente, SSL si è rivelato vulnerabile agli attacchi man-in-the-middle come il barboncino e annegato. Nel 2011, la task force di ingegneria Internet ha deprecato SSL 2.0 e SSL 3.0 è stato deprecato nel 2015. Entrambi sono ora considerati quasi completamente non sicuri dal governo degli Stati Uniti e dagli esperti del settore.

  TLS è arrivato nel 1999 quando sono cresciuti le preoccupazioni di sicurezza per SSL. TLS 1.1 è apparso nel 2006 e TLS 1.2 nel 2008, prima di TLS 1.3 debuttato nel 2018. I protocolli e le cifre obsoleti sono stati rimossi in ogni fase, mentre gli sviluppatori hanno semplificato la procedura di streaming. Il risultato è un protocollo di trasferimento adatto al web che offre sicurezza e privacy dei dati, mentre si impegna alla velocità.

  Sono SSL e TLS lo stesso?

  Mentre SSL e TLS hanno lo stesso albero genealogico, non sono sicuramente gli stessi. La differenza più importante è l’efficacia. SSL è stato cancellato come protocollo di trasferimento raccomandato, mentre TLS continua a migliorare e trovare nuovi usi. Ma ci sono altre differenze che rendono il TLS superiore:

  Compatibilità. Molti browser e app ora mancano di supporto per SSL 3.0. TLS è ampiamente riconosciuto e utilizzato per proteggere il contenuto Web. La certificazione TLS viene persino utilizzata dall’algoritmo di ricerca di Google come metrica positiva quando si classifica i siti Web.

  Chiavi di crittografia. SSL supportava pochissimi formati chiave di crittografia. Che è cambiato con TLS. Gli utenti possono scegliere tra molti diversi formati chiave, fornendo maggiore flessibilità e interoperabilità. SSL ha anche usato il codice di autenticazione dei messaggi (MAC) Crittografia. TLS utilizza la crittografia HMAC (Fila più forte di autenticazione di messaggi hash.

  Openvpn. OpenVPN è diventato una base standard per le VPN in tutto il mondo, ma non funziona con SSL. D’altra parte, gli utenti possono combinare OpenVPN con TLS per creare configurazioni di privacy basate sul Web.

  È importante notare che il termine “certificati SSL” è ancora comune. Ma questi certificati lo sono non basato sulla crittografia SSL. Quasi tutti usano invece TLS. Il nome “SSL” è stato semplicemente mantenuto a causa della familiarità.

  VPN SSL/TLS Casi d’uso più frequenti

  SSL/TLS è un pilastro del mondo della sicurezza informatica. Probabilmente l’hai usato oggi quando navighi sul web senza renderlo conto. Esistono molti potenziali casi d’uso per la sicurezza TLS, tra cui:

  VPN di accesso remoto

  Le aziende potrebbero voler garantire che gli utenti remoti abbiano un accesso sicuro alle risorse centralizzate. In tal caso, una rete privata virtuale TLS basata sul Web potrebbe essere utile. I lavoratori possono accedere a connessioni sicure tramite browser standard. La VPN funziona su quasi tutti i dispositivi e il sistema operativo e la protezione segue gli utenti di tutto il mondo.

  Utilizzo del WiFi pubblico

  A volte, dobbiamo lavorare in remoto su reti pubbliche. La copertura VPN è essenziale, poiché le reti WiFi pubbliche sono notoriamente vulnerabili agli attacchi informatici man-in-the-middle. Con una VPN basata su TLS, la navigazione degli utenti rimarrà privata, bloccando i potenziali aggressori.

  Collegamento tra i firewall

  TLS può facilmente attraversare router Nat e firewall. La porta 443 è aperta su quasi tutti i firewall standard, consentendo al traffico VPN crittografato di passare attraverso senza ostacoli. Questo non è il caso di VPNS basato su dati UDP come IPSEC.

  TLS – forte crittografia web per utenti aziendali

  La sicurezza del livello di trasporto offre crittografia quasi infrangibile e autenticazione affidabile per gli utenti Web. Con una VPN TLS in atto, gli utenti possono accedere ai siti Web e scambiare informazioni riservate con rischi minimi per la perdita di dati. Le aziende possono creare gateway sicuri per le applicazioni Web, compresi gli strumenti SAAS.

  TLS ha alcuni punti deboli. Le VPN TLS potrebbero non coprire tutte le app in uso su una rete aziendale. IPSEC può battere i TL in termini di velocità ed è anche più resistente alle minacce come gli attacchi DDoS. Ma TLS rimane un’opzione di sicurezza leader per proteggere il traffico di livello 4.