הנחיות טכניות

TLS, SSL, HTTPS. TLS לעומת SSL. SSL לעומת HTTPS. מרק ראשי תיבות. העולם של ראשי תיבות אבטחת אתרים יכול להיות מעצבן כמעט כמו הדמות של Deangelo Vickers מתוכנית הטלוויזיה “המשרד” אם אתה פשוט מתוודע על זה. למרות ש- Deangelo Vickers תמיד ינצח את הקרב הזה, לדעתי, לפחות נוכל לכבות אותו ולצפות במשהו אחר. אבל כשמדובר בראשי התיבות והלינגו של ענף אבטחת הסייבר, אין אפשרות אלא ללמוד למצוץ את זה וללמוד אותם. אז בואו נתחיל בדיבורים על כל אחד ומה ההבדל בין SSL ל- HTTPS, ואיפה TLS משתלב.

האם HTTPS משתמש ב- SSL או TLS

SSL, TLS ו- HTTPS הם שלישייה ייחודית שכל אחד מהם פועל כדי לעזור לשמור על נתונים חשובים שלך באינטרנט.

אם תהית אי פעם איך כל אחד מהפרוטוקולים האלה משווה, הגעת למקום הנכון. להלן היסודות ואיך הם פועלים.

דע את התנאים: מילון מונחים

מה זה SSL?

SSL, קיצור של שכבת שקעים מאובטחים, הוא פרוטוקול אבטחת אינטרנט מבוסס הצפנה. זה פותח על ידי Netscape בשנת 1995 לצורך הבטחת פרטיות, אימות ושלמות נתונים בתקשורת באינטרנט. SSL פועלת לשמירה על נתונים רגישים שנשלחים בין מערכות עם חתימות דיגיטליות, למנוע גישה בלתי מורשית והבטחת נתונים לא הופעלו.

זה עושה זאת על ידי יזום תהליך אימות שנקרא “לחיצת יד.”לחיצת יד SSL/TLS היא משא ומתן בין שני מכשירי התקשורת – כמו דפדפן ושרת אינטרנט – על מנת לקבוע את פרטי החיבור. במהלך לחיצת יד SSL/TLS, הלקוח והשרת יחד יעשו את הפעולות הבאות כדי לקבוע כי חיבור מאובטח קיים לפני שתתחיל העברה: כל העברה:

• קבע איזו גרסה של SSL/TLS תשמש בפגישה
• ציין איזו חבילת צופן (אלגוריתם הצפנה) תציין את הנתונים
• אמת את זהות השרת ללקוח באמצעות המפתח הציבורי של השרת ואת החתימה הדיגיטלית של רשות תעודת SSL
• צור מפתחות הפעלה על מנת להשתמש בהצפנה סימטרית לאחר השלמת לחיצת היד

SSL גם מבטיח כי כל נתונים המועברים בין משתמשים, אתרים או שתי מערכות יישארו בלתי אפשרי לקרוא לאורך כל התהליך. על ידי שימוש באלגוריתמי הצפנה כדי לטרוף נתונים במעבר, מונעים האקרים לקרוא אותם בזמן שהם נשלחים על החיבור.

הגרסה האחרונה של SSL (3.0) לא עודכן מאז 1996 ודפדפני אינטרנט מודרניים רבים כבר לא תומכים בזה.

מהי תעודת SSL?

תעודת SSL היא למעשה תעודת זהות או תג שמאמת מישהו הוא מי שהוא טוען שהוא. ניתן ליישם SSL רק על ידי אתרים עם תעודת SSL; האישורים מאוחסנים ומוצגים באינטרנט על ידי שרת אתר או יישום.

תעודת SSL ידועה גם בשם המפתח הציבורי של האתר, וזה מה שמאפשר הצפנה. עם SSL, מכשיר המשתמש יציג את המפתח הציבורי וישתמש בו כדי ליצור מפתחות הצפנה מאובטחים עם שרת האינטרנט. בינתיים, שרת האינטרנט צויד גם במפתח פרטי סודי, בו הוא משתמש אז במפתח הפרטי כדי לפענח את הנתונים שהוצפנו תחילה עם המפתח הציבורי.

מה זה TLS?

TLS, קיצור לאבטחת שכבת הובלה, היא גרסה מעודכנת ומאובטחת יותר של SSL. זה התרחש בשנת 1999 לאחר שכוח המשימה להנדסת אינטרנט (IETF) הציע רענון לפרוטוקול. TLS נועד להקל על פרטיות ואבטחת מידע לתקשורת דרך האינטרנט וכעת הוא מאומץ באופן נרחב.

השימוש העיקרי ב- TLS הוא הצפנת הנתונים בין יישומי אינטרנט לשרתים; עם זאת, זה יכול לשמש גם להצפנת תקשורת אחרת כמו דוא”ל, העברת הודעות ו- Voice Over IP (VoIP).

בדומה ל- SSL, פרוטוקול TLS יוזם את תהליך לחיצת היד כדי ליצור חיבור מאובטח ולאמת משתמשים. כל לחיצות היד של TLS עושה שימוש בהצפנה א -סימטרית (המפתח הציבורי והפרטי). TLS שומרת על שלמות הנתונים על ידי שימוש בהצפנה כדי להבטיח שנתונים לא נוצרו או הועברו אליהם. ברגע שהנתונים מוצפנים ומאמתים, הם נחתמים עם קוד אימות הודעות (MAC). לאחר מכן הנמען יכול לאמת את ה- Mac כדי להבטיח את שלמות הנתונים.

הם SSL ו- TLS אותו דבר?

לרוב משתמשים בשני המונחים להחלפה ויכולים בקלות לגרום לבלבול. מכיוון ש- SSL הוא קודמו והם קשורים זה לזה, אנשים רבים עדיין משתמשים במונח SSL כדי להתייחס ל- TLS. זה עדיין מקובל שרבים משתמשים במונחים הצפנת SSL או בהצפנת SSL/TLS, בגלל רמת ההכרה הגבוהה של SSL.

עם זאת, בטוח להניח שכל ספק המציע “SSL” בימינו כמעט בוודאי מספק הגנה על TLS מכיוון שהוא היה התקן התעשייתי כבר למעלה מ 20 שנה.

מה זה https?

HTTPS (פרוטוקול העברת טקסטים היפר מאובטח) הוא הגרסה המאובטחת של HTTP בה תקשורת מוצפנת על ידי SSL/TLS. HTTPS משתמש ב- TLS (SSL) כדי להצפין בקשות ותגובות HTTP רגילות, מה שהופך אותו לבטוח יותר ובטוח יותר.

HTTPS מגדיר את פורמט ההודעות דרכם מתקשרים דפדפני אינטרנט ודפדפני אינטרנט וזה מגדיר כיצד דפדפן אינטרנט צריך להגיב לבקשת אינטרנט. זה גם מונע מהאתרים לשדר את המידע שלהם באופן שניתן לראות בקלות על ידי כל מי שיש לו כוונות שליליות.

כל אתר, במיוחד אלה הדורשים אישורי כניסה, צריך להשתמש ב- HTTPS. אתה יכול לדעת אם אתר יישם SSL/TLS על ידי התבוננות בכתובת האתר, שכן תעודת SSL/TLS מאפשרת לאתרים להעביר את כתובת האתר מ- HTTP ל- HTTPS. בדפדפני האינטרנט המודרניים

הנחיות טכניות

TLS, SSL, HTTPS. TLS לעומת SSL. SSL לעומת HTTPS. מרק ראשי תיבות. העולם של ראשי תיבות אבטחת אתרים יכול להיות מעצבן כמעט כמו אותו דמות של Deangelo Vickers מתוכנית הטלוויזיה “המשרד” אם אתה’רק להכיר על זה. למרות ש- Deangelo Vickers תמיד ינצח את הקרב הזה, לדעתי, לפחות נוכל לכבות אותו ולצפות במשהו אחר. אבל כשמדובר בראשי התיבות והלינגו של ענף אבטחת הסייבר, שם’אין אפשרות אלא ללמוד למצוץ את זה וללמוד אותם. אז בואו’s התחל בדיבור על כל אחד ומה ההבדל בין SSL ל- HTTPS, ואיפה TLS מתאים.

האם HTTPS משתמש ב- SSL או TLS

SSL, TLS ו- HTTPS הם שלישייה ייחודית שכל אחד מהם פועל כדי לעזור לשמור על נתונים חשובים שלך באינטרנט.

אם אי פעם תהיתם איך כל אחד מהפרוטוקולים הללו משווה, אתם’יש למקום הנכון. להלן היסודות ואיך הם פועלים.

דע את התנאים: מילון מונחים

מה זה SSL?

SSL, קיצור של שכבת שקעים מאובטחים, הוא פרוטוקול אבטחת אינטרנט מבוסס הצפנה. זה פותח על ידי Netscape בשנת 1995 לצורך הבטחת פרטיות, אימות ושלמות נתונים בתקשורת באינטרנט. SSL פועלת לשמירה על נתונים רגישים שנשלחים בין מערכות עם חתימות דיגיטליות, למנוע גישה בלתי מורשית והבטחת נתונים’לא היה מתעסק עם.

זה עושה זאת על ידי יזום תהליך אימות שנקרא A “לחיצת ידיים.” לחיצת יד של SSL/TLS היא משא ומתן בין שני מכשירי התקשורת – כמו דפדפן ושרת אינטרנט – על מנת לקבוע את פרטי החיבור. במהלך לחיצת יד SSL/TLS, הלקוח והשרת יחד יעשו את הפעולות הבאות כדי לקבוע כי חיבור מאובטח קיים לפני שתתחיל העברה: כל העברה:

• קבע איזו גרסה של SSL/TLS תשמש בפגישה
• ציין איזו חבילת צופן (אלגוריתם הצפנה) תציין את הנתונים
• אמת את השרת’זהות ללקוח דרך השרת’מפתח ציבורי ורשות תעודת SSL’S חתימה דיגיטלית
• צור מפתחות הפעלה על מנת להשתמש בהצפנה סימטרית לאחר השלמת לחיצת היד

SSL גם מבטיח כי כל נתונים המועברים בין משתמשים, אתרים או שתי מערכות יישארו בלתי אפשרי לקרוא לאורך כל התהליך. על ידי שימוש באלגוריתמי הצפנה כדי לטרוף נתונים במעבר, מונעים האקרים לקרוא אותם בזמן שהם’s נשלח על החיבור.

הגרסה האחרונה של SSL (3.0) לא עודכן מאז 1996 ודפדפני אינטרנט מודרניים רבים כבר לא תומכים בכך.

מהי תעודת SSL?

תעודת SSL היא למעשה תעודת זהות או תג שמאמת מישהו הוא מי שהוא טוען שהוא. ניתן ליישם SSL רק על ידי אתרים עם תעודת SSL; האישורים מאוחסנים ומוצגים באינטרנט על ידי אתר אינטרנט’S או יישום’S שרת.

תעודת SSL ידועה גם בשם האתר’המפתח הציבורי, וזה מה שמאפשר הצפנה. עם SSL, משתמש’מכשיר S יציג את המפתח הציבורי וישתמש בו כדי לקבוע מפתחות הצפנה מאובטחים עם שרת האינטרנט. בינתיים, שרת האינטרנט צויד גם במפתח פרטי סודי, בו הוא משתמש אז במפתח הפרטי כדי לפענח את הנתונים שהוצפנו תחילה עם המפתח הציבורי.

מה זה TLS?

TLS, קיצור לאבטחת שכבת הובלה, היא גרסה מעודכנת ומאובטחת יותר של SSL. זה התרחש בשנת 1999 לאחר שכוח המשימה להנדסת אינטרנט (IETF) הציע רענון לפרוטוקול. TLS נועד להקל על פרטיות ואבטחת מידע לתקשורת דרך האינטרנט ו- IT’S מאומץ כעת באופן נרחב.

השימוש העיקרי ב- TLS הוא הצפנת הנתונים בין יישומי אינטרנט לשרתים; עם זאת, זה יכול לשמש גם להצפנת תקשורת אחרת כמו דוא”ל, העברת הודעות ו- Voice Over IP (VoIP).

בדומה ל- SSL, פרוטוקול TLS יוזם את תהליך לחיצת היד כדי ליצור חיבור מאובטח ולאמת משתמשים. כל לחיצות היד של TLS עושה שימוש בהצפנה א -סימטרית (המפתח הציבורי והפרטי). TLS שומרת על שלמות הנתונים על ידי שימוש בהצפנה כדי להבטיח נתונים’לא מזויף או מטופל עם. ברגע שהנתונים מוצפנים ומאמתים, הם נחתמים עם קוד אימות הודעות (MAC). לאחר מכן הנמען יכול לאמת את ה- Mac כדי להבטיח את שלמות הנתונים.

הם SSL ו- TLS אותו דבר?

לרוב משתמשים בשני המונחים להחלפה ויכולים בקלות לגרום לבלבול. מכיוון ש- SSL הוא קודמו והם קשורים זה לזה, אנשים רבים עדיין משתמשים במונח SSL כדי להתייחס ל- TLS. זה’S עדיין נפוצים עבור רבים להשתמש במונחים הצפנת SSL או בהצפנת SSL/TLS, עקב SSL’רמת ההכרה הגבוהה ביותר.

עם זאת, זה’S בטוח להניח שכל ספק המציע “SSL” בימינו כמעט בוודאות מספק הגנה על TLS מכיוון שהיה התקן התעשייתי כבר למעלה מ 20 שנה.

מה זה https?

HTTPS (פרוטוקול העברת טקסטים היפר מאובטח) הוא הגרסה המאובטחת של HTTP בה תקשורת מוצפנת על ידי SSL/TLS. HTTPS משתמש ב- TLS (SSL) כדי להצפין בקשות ותגובות HTTP רגילות, מה שהופך אותו לבטוח יותר ובטוח יותר.

HTTPS מגדיר את פורמט ההודעות דרכם מתקשרים דפדפני אינטרנט ודפדפני אינטרנט וזה מגדיר כיצד דפדפן אינטרנט צריך להגיב לבקשת אינטרנט. זה גם מונע מהאתרים לשדר את המידע שלהם באופן ש’ניתן לראות בקלות על ידי כל מי שיש לו כוונות שליליות.

כל אתר, במיוחד אלה הדורשים אישורי כניסה, צריך להשתמש ב- HTTPS. אתה יכול לדעת אם אתר יישם SSL/TLS על ידי התבוננות בכתובת האתר, שכן תעודת SSL/TLS מאפשרת לאתרים להעביר את כתובת האתר מ- HTTP ל- HTTPS. בדפדפני האינטרנט המודרניים כמו Google Chrome, אתרים שאינם משתמשים ב- HTTPs מסומנים אחרת. חפש מנעול בסרגל כתובת האתר כדי לסמן שדף האינטרנט הוא מאובטח.

כיצד לאפשר SSL לחיבורי שרת HTTPS

למד כיצד ליצור תעודת SSL המשמשת להגנה על מנהרת HTTP ב- Goanywhere MFT על ידי בדיקת ההדרכה שלנו.

הנחיות טכניות

דף זה מכסה כמה מושגים טכניים רלוונטיים הרלוונטיים ל כוח ואיכות של שרת’תצורת S HTTPS.

• SSL ו- TLS
• סודיות קדימה
• אלגוריתמי חתימה, כמו SHA-1 ו- SHA-2
• חליפות ציפוי חזקות
• שרשרת תעודות שלמה

SSL ו- TLS

HTTPS כיום משתמשת אבטחת שכבת הובלה, אוֹ TLS. TLS הוא פרוטוקול רשת שמבסס חיבור מוצפן לעמית מאומת דרך רשת לא אמינה.

מוקדם יותר נקראו גרסאות פחות מאובטחות של פרוטוקול זה שכבת שקעים מאובטחים, אוֹ SSL).

SSL ו- TLS מבצעים את אותה הפונקציה, ו- TLS הוא יורש ישיר והחלפה ל- SSL. בגלל השכיחות המוקדמת שלו, “SSL” משמש לעתים קרובות היום להתייחס באופן כללי ל- TLS/HTTPS. עם זאת, כל הגרסאות של SSL כפרוטוקול נחשבות כיום לחסרות ביטחון לשימוש מודרני.

הגרסאות העיקריות של SSL/TLS בשימוש כיום הן:

• SSLV3:שוחרר בשנת 1996.נחשב לחוסר ביטחון לאחר שפורסם פיגוע הפודל בשנת 2014. כיבוי SSLV3 מסיר ביעילות את התמיכה ב- Internet Explorer 6.
• TLSV1.0: – שוחרר בשנת 1999. משמש היום נרחב לתמיכה בכמה לקוחות ישנים, כמו IE8 ו- Android 4.3 ומטה. פרסום מיוחד של NIST 800-52 לא סאורות TLSV1.0 למערכות הפונות לממשלה.
• TLSV1.1: – שוחרר בשנת 2006. שיפור לעומת TLSV1.0, אך הוחלף במהירות על ידי TLSV1.2.
• TLSV1.2: – שוחרר בשנת 2008. זוהי הצורה החזקה ביותר של TLS כיום, והיא נתמכת באופן נרחב על ידי דפדפנים מודרניים.

בדרך כלל, דפדפנים ושרתים תומכים בגרסאות מרובות, וינסו לנהל משא ומתן על הגרסה החזקה ביותר הנתמכת הדדית.

יתכן שתוקף יפריע לתהליך המשא ומתן ולנסות “לְהוֹרִיד בְּדַרגָה” חיבורים לגירסה העתיקה ביותר הנתמכת הדדית.

ניתן למנוע התקפה לאחור על ידי שימוש TLS Fallback SCSV, סיומת TLS המוצעת בשנת 2014 ואשר מופעלת כברירת מחדל בגרסאות חדשות יותר של OpenSSL.

לפרטים נוספים על המלצות NIST, קרא פרסום מיוחד של NIST 800-52.

• לוח המחוונים של הדופק https עבור .תחומי גוב יציין כאשר תחום עדיין מציע SSLV3 חסר ביטחון, או כאשר תחום עדיין לא מציע TLSV1.2.
• https.CIO.GOV מוגדר לתמיכה ב- TLSV1.0, TLSV1.1, ו- TLSV1.2, והאם TLS Fallback SCSV מופעל.

סודיות קדימה

סודיות קדימה מגן על מידע שנשלח על חיבור HTTPS מוצפן עַכשָׁיו מלהיות מפוענח יותר מאוחר, גם אם השרת’המפתח הפרטי נפגע מאוחר יותר.

בחיבורי HTTPS שאינם סודיים, אם תוקף מתעד תנועה מוצפנת בין אתר לאתר למבקרים שלו, ובהמשך משיג את האתר’מפתח פרטי, ניתן להשתמש במפתח זה כדי לפענח את כל התנועה המוקלטת בעבר.

בחיבורים סודיים קדימה, השרת והלקוח יוצרים מפתח זמני לכל מפגש חדש שמקבל ביעילות “מושלך” לאחר השלמת הפגישה. המשמעות היא שגם אם השרת’המפתח הפרטי הבסיסי נפגע, תוקף יכול’לא לפענח רטרואקטיבי מידע.

ב- TLS, סודיות קדימה ניתנת על ידי בחירת חליפות צינורות הכוללות את חילופי המפתח של DHE ו- ECDHE.

הערה: הטיוטות הנוכחיות של TLS 1.3, הגרסה הבאה של TLS, דורשת חיבורים חדשים כדי להשתמש בסודיות קדימה על ידי הסרת תמיכה ב- RSA סטטי ו- DH Exchange.

• לוח המחוונים של הדופק https עבור .תחומי גוב יציין כאשר דומיין מציע סודיות מועטה או ללא קדימה.
• https.CIO.GOV מוגדר להציע סודיות קדימה חזקה.

אלגוריתמים חתימה

מודל האבטחה של HTTPS/TLS משתמש “תעודות” להבטיח אותנטיות. תעודות אלה הן קריפטוגרפיות “חתם” על ידי רשות תעודה מהימנה.

רשות האישורים’תעודת שורש מהימנה (הכלולה במערכת ההפעלה או בדפדפן שלך) משמשת לחתימה על תעודת מתווך, המשמשת לחתימת האתר שלך’אישור S. יתכנו יותר מתעודת מתווך אחת ברשת. חלק מתהליך החתימה הוא מחשוב א “בְּלִיל” של הנתונים הכלולים בתעודה. ניתן לעשות זאת באמצעות אלגוריתם hashing סטנדרטי, כמו SHA-1 או SHA-2.

הוכח כי ל- SHA-1 יש חולשות רציניות, ולכן ספקי הדפדפנים והמערכת ההפעלה כמו גוגל, מיקרוסופט ומוזילה הודיעו על קווי זמן כדי לפטל את SHA-1 לטובת משפחת האלגוריתמים SHA-2.

NIST לא הרשה את SHA-1 לייצור חתימות דיגיטליות לאחר 2013.

החל מינואר 2016, CAS מסחרי אסור לרוב תוכניות השורש להנפיק תעודת SHA-1. כיוון שכך, השגת תעודת SHA-1 מהימנה בפומבי כבר אינה ברת ביצוע. בנוסף, בעלי אתרים עם תעודת SHA-1 קיימת צריכים להיות מודעים לכך שדפדפנים ומערכת הפעלה רבים ישבו את תמיכת SHA-1 בתחילת 2017.

חליפות ציפוי חזקות

כל לחיצת יד של TLS עושה שימוש בקבוצה של פרימיטיביות קריפטוגרפיות, כולל צופים ואלגוריתמים חתימה.

אילו צופים ואלגוריתמים משמשים בלחיצת יד היא פונקציה של תמיכה והעדפות לקוחות, ותמיכה והעדפות שרתים.

לסוכנויות הפדרליות אין שליטה על הפרימיטיביות הנתמכות על ידי לקוחות מרכזיים המשמשים את הציבור (כגון דפדפני אינטרנט, תלתל ולקוחות HTTP נפוצים אחרים). עם זאת, סוכנויות יכולות לשלוט על הצופים והאלגוריתמים הנתמכים על ידי השרתים שלהם (שיכולים לכלול גם פרוקסי, מאזני עומס או רשתות משלוח תוכן).

בעת קביעת תצורה של שרתים:

• הימנע מ- SHA-1 בלחיצת היד TLS. אף כי אין פגיעות ספציפית ידועה בשימוש ב- SHA-1 כחלק מלחיצת היד TLS, SHA-1 כבר הוכח כי הוא חלש באופן בלתי מתקבל על הדעת כאלגוריתם חתימה לתעודות שהונפקו. החל מ- TLS 1.2, שרתים יכולים וצריכים לנהל משא ומתן על שימוש באלגוריתם חתימה שאינו SHA-1 עבור לחיצת היד TLS.
• הימנע מ- RC4.RC4 היה פעם צופן פופולרי, אך בשנת 2013 נמצא כי יש פגם קריטי. דפדפנים מודרניים כבר לא תומכים ב- Ciphersutes מבוסס RC4, ושרתים כבר לא צריכים להיות צריכים להיות מוגדרים כדי לתמוך ב- RC4.

שרשרת תעודות שלמה

בנוסף לתעודה עצמה, עליך לספק “שַׁרשֶׁרֶת” של תעודות ביניים המעניקות לדפדפן או ללקוח חיבור מספיק מידע כדי לחבר את האישור לתעודת שורש מהימנה.

אי מתווך ביניים יכול למנוע מדפדפנים ולקוחות שונים להתחבר בהצלחה לשירות שלך, במיוחד דפדפנים ניידים ולקוחות שאינם מדפדפים (כגון תלתל וכלים המבוססים על LiBCURL).

חלק מהדפדפנים ישתמשו במטמון ביניים מחיבור קודם או ינסו להוריד אוטומטית ביניים חסרים המוצגים בתעודה’S סמכות מידע על סיומת לגישה, ולכן זה יכול להיות קל להחמיץ בעיה זו במהלך התצורה הראשונית. למרות שלרוב הדפדפנים יש אפשרות לבדוק את האישורים באתר, הם משתנים אם הם מראים את האישורים המדויקים שהשרת שהוצג או שרשרת משוחזרים באמצעות השגת ביניים המופיעים בתוסף AIA.

• אתה אל צריך לשרת את השורש המהימן אליו שרשראות האישור. הלקוח ישווה את השרשרת לחנות שורשים מקומית, ולכן הגשת השורש תבזבז רק בתים ותאט את החיבור.
• אתה לַעֲשׂוֹת צריך לשרת תעודות ביניים המחברות את תעודת שרת האינטרנט שלך לשורש המהימן. פעולה זו מסלקת את הפוטנציאל לבעיות הנגרמות כתוצאה מהשונות באופן בו הלקוחות מקלים על אימות אמון.

שרתי האינטרנט משתנים באופן בו הם מוגדרים לשרת ביניים, אך בדרך כלל זה אמור להיות פשוט.

• מה’את אישור השרשרת שלי? יכול לעזור לקבוע אם לא מוגשים תעודות ביניים.

TLS לעומת SSL לעומת HTTPS: מה’זה ההבדל?

שלושה פרוטוקולי העברת נתונים – האם כולם זהים, או שיש הבדלים?

TLS, SSL, HTTPS. TLS לעומת SSL. SSL לעומת HTTPS. מרק ראשי תיבות. העולם של ראשי תיבות אבטחת אתרים יכול להיות מעצבן כמעט כמו אותו דמות של Deangelo Vickers מתוכנית הטלוויזיה “המשרד” אם אתה’רק להכיר על זה. למרות ש- Deangelo Vickers תמיד ינצח את הקרב הזה, לדעתי, לפחות נוכל לכבות אותו ולצפות במשהו אחר. אבל כשמדובר בראשי התיבות והלינגו של ענף אבטחת הסייבר, שם’אין אפשרות אלא ללמוד למצוץ את זה וללמוד אותם. אז בואו’s התחל בדיבור על כל אחד ומה ההבדל בין SSL ל- HTTPS, ואיפה TLS מתאים.

SSL (שכבת שקעים מאובטחים): העתיק מכולם

אתה יכול להיות מודע לכך שהאינטרנט, בימיו הראשונים, שימש בעיקר למטרות צבאיות ומחקר. אבל בהדרגה, הוא התרחב לשימושים נפוצים, ומסחור האינטרנט החל. כתוצאה מכך, יותר ויותר משתמשים החלו לשתף את המידע הרגיש שלהם עם עסקים – נתונים אישיים, מידע פיננסי וכו ‘. – וזה יצר צורך בהגנה עליו. הזן SSL. SSL, העומד על שכבת שקעים מאובטחים, הוא פרוטוקול אבטחה קריפטוגרפי המגן על המידע שלך כשהוא משדר ברחבי האינטרנט. פרוטוקול פירושו בעצם מערך של כללים בו מחשבים משתמשים כדי לתקשר זה עם זה. זה’סוג של מערכת הערכים שלהם. SSL נועד לסכל כל צד שלישי בלתי מורשה ממיירט ולהתמודד עם נתונים רגישים בזמן שזה’s במעבר. SSL פותח ושוחרר על ידי Netscape, וזה היה הראשון מבין פרוטוקולים קריפטוגרפיים כאלה. הגרסה הראשונה שלה, SSL 1.0, מעולם לא שוחרר. SSL 2.0, הגרסה השנייה, שוחרר בשנת 1995. הגרסה השנייה הכילה ליקויים אבטחים, וכתוצאה מכך, SSL 3.0 נוצר. מאוחר יותר, גם זה נמצא כי יש לי פגמים ביטחוניים. זה הוביל ליצירת ראשי תיבות אחרים שאתה צריך לדעת עליו: TLS, או מה’זה המכונה אבטחת שכבת תחבורה. לפני שעוברים למה ש- TLS כרוך, זה’שווה לציין ש- SSL 2.0 & SSL 3.0 שניהם הושלמו ואינם נתמכים עוד על ידי דפדפני אינטרנט בגלל הפגמים באבטחתם.

TLS (אבטחת שכבת תחבורה): גרסה מאובטחת יותר של SSL

בשל פגמי האבטחה המוכרים ב- SSL, מומחי אבטחה הבינו שצריך לפתח פרוטוקול טוב יותר ובטוח יותר. TLS 1.0 היה יורש של SSL 3.0 והוגדר לראשונה בשנת 1999. מאז שוחררו שלוש גרסאות נוספות של TLS, עם TLS 1.3 (שיצא בשנת 2018) להיות הכי עדכני. TLS 1.0 ו -1.1 אמורים להיות מיושנים על ידי אפל ספארי, גוגל כרום, מיקרוסופט Edge ו- Internet Explorer ו- Mozilla Firefox בתחילת 2020.

כיצד משתמשים ב- SSL/TLS בתעודות

כפי שראינו קודם, SSL/TLS הם פרוטוקולים דרכם מתרחשת תקשורת בין שתי נקודות קצה. בעיקרון, הם’מחדש מערך כללים השולט בהעברת הנתונים בין שרת ללקוח. תעודות SSL/TLS הן x.509 קבצים דיגיטליים המותקנים בשרת אינטרנט. זה’s נקרא א “תְעוּדָה” כי זה’s הונפק על ידי צד שלישי עצמאי המנהל אימות את האתר והארגון שלך. תעודות SSL/TLS פועלות כחלק ממסגרת המכונה תשתית מפתח ציבורית (PKI). זה כרוך בשימוש בשני מפתחות – מפתחות ציבוריים ופרטיים. מפתח ציבורי, כפי שהשם מרמז, ידוע לכולם. מפתח פרטי, לעומת זאת, נשמר על ידי השרת שמקבל את ההודעה. שני המפתחות באים מובחנים, ובכל זאת הם’קשורים זה לזה באופן מתמטי. מידע המוצפן על ידי מפתח ציבורי יכול להתפעול רק על ידי מפתח פרטי הקשור אליו. התקשורת כולה מתרחשת על פי הכללים שהוחלטו על ידי הפרוטוקול – SSL או TLS. עכשיו אתה יכול לתהות מדוע, אם SSL כבר לא משתמשים בו, זה’S עדיין התייחס לתעודת SSL ולא לתעודת TLS. בכנות, זה’רק בגלל ששפת התעשייה נוטה להיות איטית לשינוי. (או שהאנשים בו איטים להשתנות.) כך או כך, SSL נפוץ יותר מ- TLS, כך שאנשים נוטים להישאר עם המינוח הזה.

אז מה זה https?

האם שמעת על HTTP (פרוטוקול העברת היפר -טקסט)? ובכן, אם אתה מקלט’t, זה’S הפרוטוקול המגדיר כיצד הודעות מעוצבות ומועברות. HTTP. כאשר אתר משתמש ב- HTTPS בכתובת האינטרנט שלו, הוא מצביע. במילים אחרות, אם אתר האינטרנט שלך משתמש ב- HTTPS, כל המידע יצפן על ידי תעודות SSL/TLS. עם כל זה בחשבון, תן’S השווה TLS לעומת SSL לעומת HTTPS.

השוואה זו לצד זו של TLS לעומת SSL לעומת HTTPS

SSL	TLS	Https
מה זה	הפרוטוקול הקריפטוגרפי הראשון שפותח בשנת 1995.	ממשיך דרכו של SSL זה’s יותר מאובטח.	הגרסה המאובטחת של HTTP.
גרסאות	SSL 1.0, 2.0 & 3.0.	TLS 1.0, 1.1, 1.2 & 1.3.	אין גרסאות של https.
להשתמש	כבר לא בשימוש.	משמש כיום, אך TLS 1.0 & 1.1 להיפטר בתחילת 2020.	דפדפנים מסמנים אתרים שלא’לא להשתמש ב- https כ- “לא מאובטח.”

חסוך עד 85% בתעודות SSL

קבל תעודות SSL המאמתות את זהותך ומאבטחת את האתר שלך במחירים שמתחילים עד 7 $.27 לשנה!
קנה עכשיו