Τι είναι το HTTPS

Για την προστασία ενός δικτυακού τόπου που βλέπει στο κοινό με HTTPS, είναι απαραίτητο να εγκαταστήσετε ένα πιστοποιητικό SSL/TLS που έχει υπογράψει μια δημόσια αξιόπιστη αρχή πιστοποιητικών (CA) στον διακομιστή ιστού σας. SSL.com’Το S KnowledgeBase περιλαμβάνει πολλούς χρήσιμους οδηγούς και HOW-TOS για τη διαμόρφωση μιας ευρείας ποικιλίας πλατφορμών διακομιστή ιστού για την υποστήριξη του HTTPS.

Περίληψη:

Το HTTPS είναι ένα ασφαλές πρωτόκολλο που χρησιμοποιείται για την προστασία των ιστότοπων. Απαιτεί την εγκατάσταση πιστοποιητικού SSL/TLS από αξιόπιστο CA. SSL.Το COM παρέχει οδηγούς για τη διαμόρφωση των διακομιστών ιστού για την υποστήριξη του HTTPS.

Βασικά σημεία:

1. Ασφάλεια στρώματος μεταφοράς (TLS): Το TLS παρέχει ασφάλεια για επικοινωνία μεταξύ των κεντρικών υπολογιστών. Εξασφαλίζει την ακεραιότητα, τον έλεγχο ταυτότητας και την εμπιστευτικότητα. Χρησιμοποιείται συνήθως σε προγράμματα περιήγησης ιστού, αλλά μπορεί να χρησιμοποιηθεί με οποιοδήποτε πρωτόκολλο που χρησιμοποιεί TCP.

2. TLS VS SSL: Το SSL είναι ο προκάτοχος του πρωτοκόλλου TLS. Μερικοί όροι, όπως τα πιστοποιητικά SSL, χρησιμοποιούνται εναλλακτικά. Είναι σημαντικό να χρησιμοποιείτε TLS αντί για το ανασφαλές πρωτόκολλο SSL.

3. Χρήση λιμένων: Ορισμένες εφαρμογές χρησιμοποιούν μία μόνο θύρα τόσο για μη κρυπτογραφημένες όσο και για κρυπτογραφημένες συνεδρίες. Για να αλλάξετε από μη κρυπτογραφημένα σε κρυπτογραφημένα, χρησιμοποιείται το StartTLS. Ο όρος SSL μπορεί να χρησιμοποιηθεί όταν μία μόνο θύρα χρησιμοποιεί απευθείας το πρωτόκολλο TLS.

4. SSL/TLS στο Wireshark: Το Wireshark διαθέτει πλήρως λειτουργικό διαλύτη TLS, ο οποίος υποστηρίζει αποκρυπτογράφηση εάν παρέχονται κατάλληλα μυστικά. Ο διαιρέτης μετονομάστηκε σε SSL σε TLS στο Wireshark 3.0.

5. Αποκρυπτογράφηση TLS: Το Wireshark υποστηρίζει την αποκρυπτογράφηση TLS χρησιμοποιώντας ένα αρχείο καταγραφής κλειδιού ή ένα ιδιωτικό κλειδί RSA. Το αρχείο καταγραφής κλειδιών συνιστάται καθώς λειτουργεί σε όλες τις περιπτώσεις. Το ιδιωτικό κλειδί της RSA έχει περιορισμούς.

6. Ρυθμίσεις προτιμήσεων: Οι προτιμήσεις που σχετίζονται με το TLS μπορούν να βρεθούν στο μενού Επεξεργασία ->. Οι αξιοσημείωτες προτιμήσεις περιλαμβάνουν το όνομα αρχείου αρχείου αρχείου (pre)-master-secret, λίστα RSA Keys, Pre-Shared-Key και αρχείο εντοπισμού σφαλμάτων TLS.

7. Προτιμήσεις πρωτοκόλλου TCP: Για να ενεργοποιήσετε την αποκρυπτογράφηση του TLS, πρέπει να ενεργοποιηθεί η επιλογή “επιτρέπεται η υποκατασκευή να επανασυναρμολογήσουν τις ροές TCP”. Ξεκινώντας από το Wireshark 3.0, η επιλογή “επανασυναρμολογήστε τα τμήματα εκτός τάξης” είναι απενεργοποιημένη από προεπιλογή.

8. Παράθυρο διαλόγου RSA Keys: Ξεκινώντας από το Wireshark 3.0, ένα νέο παράθυρο διαλόγου RSA Keys είναι διαθέσιμο στο πλαίσιο Επεξεργασία -> Προτιμήσεις -> Κλειδιά RSA. Επιτρέπει την προσθήκη ιδιωτικών πλήκτρων PEM ή PKCS#12 Keystores για αποκρυπτογράφηση.

Ερωτήσεις:

Ερώτηση 1: Ποιος είναι ο σκοπός της εγκατάστασης πιστοποιητικού SSL/TLS για HTTPS?

Απάντηση: Η εγκατάσταση ενός πιστοποιητικού SSL/TLS είναι απαραίτητη για τη δημιουργία ασφαλούς επικοινωνίας και την προστασία του ιστότοπου από μη εξουσιοδοτημένη πρόσβαση. Επαληθεύει την ταυτότητα του διακομιστή και επιτρέπει την κρυπτογράφηση των δεδομένων που ανταλλάσσονται μεταξύ του διακομιστή και των πελατών.

Ερώτηση 2: Μπορεί το TLS να χρησιμοποιηθεί με πρωτόκολλα εκτός από τα προγράμματα περιήγησης ιστού?

Απάντηση: Ναι, το TLS μπορεί να χρησιμοποιηθεί με οποιοδήποτε πρωτόκολλο που χρησιμοποιεί το TCP ως στρώμα μεταφοράς. Παρέχει ασφάλεια, ακεραιότητα και έλεγχο ταυτότητας για επικοινωνία μεταξύ των κεντρικών υπολογιστών.

Ερώτηση 3: Ποιες είναι οι διαφορές μεταξύ TLS και SSL?

Απάντηση: Το SSL είναι ο προκάτοχος του πρωτοκόλλου TLS. Το TLS είναι το συνιστώμενο πρωτόκολλο, καθώς το SSL θεωρείται ανασφαλές. Ωστόσο, οι όροι πιστοποιητικά SSL και SSL εξακολουθούν να χρησιμοποιούνται εναλλακτικά σε ορισμένες περιπτώσεις, οδηγώντας σε σύγχυση.

Ερώτηση 4: Πώς μπορεί το Wireshark να αποκρυπτογραφήσει την κυκλοφορία TLS?

Απάντηση: Το Wireshark μπορεί να αποκρυπτογραφήσει την κυκλοφορία TLS εάν παρέχονται κατάλληλα μυστικά. Υποστηρίζει αποκρυπτογράφηση χρησιμοποιώντας ένα αρχείο καταγραφής κλειδιού ή ένα ιδιωτικό κλειδί RSA. Το αρχείο καταγραφής κλειδιών συνιστάται για αποκρυπτογράφηση.

Ερώτηση 5: Πού μπορούν να βρεθούν οι ρυθμίσεις προτιμήσεων για αποκρυπτογράφηση TLS στο Wireshark?

Απάντηση: Οι ρυθμίσεις προτιμήσεων για αποκρυπτογράφηση TLS μπορούν να βρεθούν στο μενού Επεξεργασία ->. Κάτω από το δέντρο πρωτοκόλλων, επιλέξτε TLS. Πρόσθετες προτιμήσεις είναι διαθέσιμες σύμφωνα με τις προτιμήσεις πρωτοκόλλου TCP.

Ερώτηση 6: Ποιοι είναι οι περιορισμοί της χρήσης ενός ιδιωτικού κλειδιού RSA για την αποκρυπτογράφηση TLS?

Απάντηση: Η μέθοδος ιδιωτικού κλειδιού RSA για αποκρυπτογράφηση TLS έχει περιορισμούς. Λειτουργεί μόνο εάν η σουίτα κρυπτογράφησης που επιλέχθηκε από τον διακομιστή δεν χρησιμοποιεί (EC) DHE, η έκδοση πρωτοκόλλου είναι SSLV3 ή (D) TLS 1.0-1.2 (δεν λειτουργεί με το TLS 1.3) και το ιδιωτικό κλειδί ταιριάζει με το πιστοποιητικό διακομιστή. Επιπλέον, η συνεδρία δεν πρέπει να επαναληφθεί.

Ερώτηση 7: Πώς μπορεί να ενεργοποιηθεί η αποκρυπτογράφηση TLS στο Wireshark για όλες τις περιπτώσεις?

Απάντηση: Η αποκρυπτογράφηση TLS μπορεί να ενεργοποιηθεί για όλες τις περιπτώσεις χρησιμοποιώντας ένα αρχείο καταγραφής κλειδιού. Το αρχείο καταγραφής κλειδιών είναι ένα αρχείο κειμένου που δημιουργείται από εφαρμογές όπως ο Firefox, το Chrome και το Curl όταν έχει οριστεί η μεταβλητή περιβάλλοντος SSLkeyLogFile. Απαιτεί συνεχή εξαγωγή μυστικών είτε από την εφαρμογή πελάτη είτε από το διακομιστή.

Ερώτηση 8: Ποιες είναι οι αξιοσημείωτες προτιμήσεις για την αποκρυπτογράφηση TLS στο Wireshark?

Απάντηση: Ορισμένες αξιοσημείωτες προτιμήσεις για την αποκρυπτογράφηση TLS στο Wireshark περιλαμβάνουν το όνομα αρχείου αρχείου αρχείου καταγραφής (pre)-master-secret, RSA Keys List (Deprecated υπέρ του διαλόγου RSA Keys).

Ερώτηση 9: Που απαιτούνται προτιμήσεις πρωτοκόλλου TCP για να επιτρέψει την αποκρυπτογράφηση TLS στο Wireshark?

Απάντηση: Απαιτούνται δύο προτιμήσεις πρωτοκόλλου TCP για να καταστεί δυνατή η αποκρυπτογράφηση TLS στο Wireshark: “Επιτρέψτε στο Subsdissector να επανασυναρμολογήσει τις ροές TCP” (ενεργοποιημένη από προεπιλογή) και “επανασυναρμολογήστε τα τμήματα εκτός τάξης” (απενεργοποιημένη από προεπιλογή από το Wireshark 3.0).

Ερώτηση 10: Ποιος είναι ο σκοπός του διαλόγου RSA Keys στο Wireshark?

Απάντηση: Το παράθυρο διαλόγου RSA Keys στο Wireshark επιτρέπει την προσθήκη ιδιωτικών πλήκτρων PEM ή PKCS#12 Keystores για αποκρυπτογράφηση. Παρέχει έναν βολικό τρόπο διαμόρφωσης ιδιωτικών κλειδιά RSA για σκοπούς αποκρυπτογράφησης.

Τι είναι το HTTPS

Για την προστασία ενός δικτυακού τόπου που βλέπει στο κοινό με HTTPS, είναι απαραίτητο να εγκαταστήσετε ένα πιστοποιητικό SSL/TLS που έχει υπογράψει μια δημόσια αξιόπιστη αρχή πιστοποιητικών (CA) στον διακομιστή ιστού σας. SSL.com’Το S KnowledgeBase περιλαμβάνει πολλούς χρήσιμους οδηγούς και HOW-TOS για τη διαμόρφωση μιας ευρείας ποικιλίας πλατφορμών διακομιστή ιστού για την υποστήριξη του HTTPS.

Ασφάλεια στρώματος μεταφοράς (TLS)

Η Security Layer Security (TLS) παρέχει ασφάλεια στην επικοινωνία μεταξύ δύο κεντρικών υπολογιστών. Παρέχει ακεραιότητα, έλεγχο ταυτότητας και εμπιστευτικότητα. Χρησιμοποιείται συχνότερα σε προγράμματα περιήγησης ιστού, αλλά μπορεί να χρησιμοποιηθεί με οποιοδήποτε πρωτόκολλο που χρησιμοποιεί το TCP ως στρώμα μεταφοράς.

Το Secure Sockets Layer (SSL) είναι ο προκάτοχός του πρωτοκόλλου TLS. Αυτά τα ονόματα χρησιμοποιούνται συχνά εναλλακτικά, γεγονός που μπορεί να οδηγήσει σε κάποια σύγχυση:

• Μια διαμόρφωση που χρησιμοποιεί το Πρωτόκολλο SSL (SSLV2/SSLV3) είναι ανασφαλής. ο Πρωτόκολλο TLS πρέπει να χρησιμοποιούνται αντ ‘αυτού.
• Χ.509 πιστοποιητικά για έλεγχο ταυτότητας καλούνται μερικές φορές επίσης Πιστοποιητικά SSL.
• Ορισμένες εφαρμογές (όπως το ηλεκτρονικό ταχυδρομείο) χρησιμοποιούν μία μόνο θύρα τόσο για μη κρυπτογραφημένες όσο και για κρυπτογραφημένες συνεδρίες. Για να αλλάξετε από μη κρυπτογραφημένα σε κρυπτογραφημένα, (Εκκίνηση) TLS χρησιμοποιείται. Όταν μια ενιαία θύρα χρησιμοποιεί απευθείας το πρωτόκολλο TLS, αναφέρεται συχνά ως ως SSL.
• Για ιστορικούς λόγους, το λογισμικό (περιλάμβανε το Wireshark) ανατρέξτε στο SSL ή SSL/TLS, ενώ σημαίνει στην πραγματικότητα το πρωτόκολλο TLS, αφού αυτό είναι σήμερα αυτό που χρησιμοποιεί ο καθένας.

Εξαρτήσεις πρωτοκόλλου

• TCP: Συνήθως, το TLS χρησιμοποιεί το TCP ως πρωτόκολλο μεταφοράς του.

Ανατομή TLS στο Wireshark

Ο Dissector TLS είναι πλήρως λειτουργικός και υποστηρίζει ακόμη και προηγμένα χαρακτηριστικά όπως η αποκρυπτογράφηση του TLS εάν παρέχονται κατάλληλα μυστικά (#TLS_Decryption).

Από το Wireshark 3.0, ο Dissector TLS έχει μετονομαστεί από SSL σε TLS. Η χρήση του φίλτρου οθόνης SSL θα εκπέμπει προειδοποίηση.

Αποκρυπτογράφηση TLS

Το Wireshark υποστηρίζει την αποκρυπτογράφηση TLS όταν παρέχονται κατάλληλα μυστικά. Οι δύο διαθέσιμες μέθοδοι είναι:

• Αρχείο καταγραφής κλειδιού χρησιμοποιώντας μυστικά ανά συνεδρίαση (#UsingThe (pre)-master secret).
• Αποκρυπτογράφηση χρησιμοποιώντας ένα ιδιωτικό κλειδί RSA.

Ένα αρχείο καταγραφής κλειδιού είναι ένας καθολικός μηχανισμός που πάντα επιτρέπει την αποκρυπτογράφηση, ακόμη και αν χρησιμοποιείται μια ανταλλαγή κλειδιού Diffie-Hellman (DH). Το ιδιωτικό κλειδί της RSA λειτουργεί μόνο σε περιορισμένο αριθμό περιπτώσεων.

Το αρχείο καταγραφής κλειδιών είναι ένα αρχείο κειμένου που δημιουργείται από εφαρμογές όπως ο Firefox, το Chrome και το Curl όταν έχει οριστεί η μεταβλητή περιβάλλοντος SSLKeylogFile. Για να είμαι ακριβής, η υποκείμενη βιβλιοθήκη τους (NSS, OpenSSL ή Boringssl) γράφει τα απαιτούμενα μυστικά ανά συνεδρία σε ένα αρχείο. Αυτό το αρχείο μπορεί στη συνέχεια να διαμορφωθεί στο Wireshark (#using το (pre)-master secret).

Το αρχείο ιδιωτικού κλειδιού RSA μπορεί να χρησιμοποιηθεί μόνο στις ακόλουθες περιπτώσεις:

• Η σουίτα Cipher που επιλέχθηκε από τον διακομιστή δεν χρησιμοποιεί (EC) DHE.
• Η έκδοση πρωτοκόλλου είναι SSLV3, (D) TLS 1.0-1.2. Κάνει δεν Εργαστείτε με το TLS 1.3.
• Το ιδιωτικό κλειδί ταιριάζει με το υπηρέτης πιστοποιητικό. Δεν λειτουργεί με το πελάτης Πιστοποιητικό, ούτε Πιστοποιητικό Αρχής Πιστοποιητικών (CA).
• Η συνεδρία δεν έχει επαναληφθεί. Η χειραψία πρέπει να περιλαμβάνει το ClientKeyExchange Μήνυμα χειραψίας.

Το αρχείο καταγραφής κλειδιών συνιστάται γενικά αφού λειτουργεί σε όλες τις περιπτώσεις, αλλά απαιτεί τη συνεχή ικανότητα να εξάγεται τα μυστικά είτε από την εφαρμογή πελάτη είτε από το διακομιστή. Το μόνο πλεονέκτημα του ιδιωτικού κλειδιού RSA είναι ότι πρέπει να διαμορφωθεί μόνο μία φορά στο Wireshark για να ενεργοποιήσει την αποκρυπτογράφηση, με την επιφύλαξη των παραπάνω περιορισμών.

Ρυθμίσεις προτιμήσεων

Παω σε Επεξεργασία -> Προτιμήσεις. Ανοιξε το Πρωτόκολλα δέντρο και επιλέξτε TLS. Εναλλακτικά, επιλέξτε ένα πακέτο TLS στη λίστα πακέτων, κάντε δεξί κλικ στο TLS στρώμα στο πακέτο λεπτομέρειες προβολή και ανοίξτε το Προτιμήσεις πρωτοκόλλου μενού.

Οι αξιοσημείωτες προτιμήσεις πρωτοκόλλου TLS είναι:

• (Pre)-master-secret log αρχείου αρχείου (TLS.keylog_file): Διαδρομή για να διαβάσετε το αρχείο καταγραφής κλειδιού TLS για αποκρυπτογράφηση.
• RSA Keys List: Ανοίγει ένα παράθυρο διαλόγου για να διαμορφώσετε τα ιδιωτικά κλειδιά RSA για αποκρυπτογράφηση. Υποτιμημένος υπέρ του Προτιμήσεις ->Κλειδιά RSA διάλογος.
• Προ-κοινόχρηστο κλειδί: Χρησιμοποιείται για τη διαμόρφωση του κλειδιού αποκρυπτογράφησης για το PSK Cipher Suites. Δεν χρησιμοποιείται γενικά.
• Αρχείο εντοπισμού σφαλμάτων TLS (TLS.DEBUG_LOGFILE): Διαδρομή για να γράψετε εσωτερικές λεπτομέρειες σχετικά με τη διαδικασία αποκρυπτογράφησης. Θα περιέχει τα αποτελέσματα της αποκρυπτογράφησης και τα κλειδιά που χρησιμοποιήθηκαν σε αυτή τη διαδικασία. Αυτό μπορεί να χρησιμοποιηθεί για τη διάγνωση γιατί αποτυγχάνει η αποκρυπτογράφηση.

Απαιτούνται επίσης οι ακόλουθες προτιμήσεις πρωτοκόλλου TCP για να καταστεί δυνατή η αποκρυπτογράφηση TLS:

• Επιτρέψτε στο υποκατάστημα να επανασυναρμολογήσει τις ροές TCP. Ενεργοποιημένη από προεπιλογή.
• Επανασυναρμολογήστε τμήματα εκτός τάξης (από το Wireshark 3.0, απενεργοποιημένη από προεπιλογή).

Ξεκινώντας με το Wireshark 3.0, μπορεί να βρεθεί ένα νέο παράθυρο διαλόγου RSA Keys Επεξεργασία -> Προτιμήσεις -> Κλειδιά RSA. Σε αυτό το παράθυρο διαλόγου, χρησιμοποιήστε το Προσθέστε νέο Keyfile… κουμπί για να επιλέξετε ένα αρχείο. Θα σας ζητηθεί κωδικός πρόσβασης εάν είναι απαραίτητο. ο Προσθέστε νέο διακριτικό… Το κουμπί μπορεί να χρησιμοποιηθεί για να προσθέσετε κλειδιά από ένα HSM που ενδέχεται να απαιτεί τη χρήση Προσθέστε νέο πάροχο… Για να επιλέξετε ένα DLL/.Έτσι αρχείο και πρόσθετη διαμόρφωση ειδικού για τον προμηθευτή.

Το αρχείο κλειδιού RSA μπορεί είτε να είναι Πύργος Μορφή ιδιωτικό κλειδί ή ένα πλήκτρο PKCS#12 (συνήθως ένα αρχείο με ένα .PFX ή .Επέκταση P12). Το πλήκτρο PKCS#12 είναι ένα δυαδικό αρχείο, αλλά η μορφή PEM είναι ένα αρχείο κειμένου που μοιάζει με αυτό:

-----Ξεκινήστε το ιδιωτικό κλειδί ----- MIIVGIBADANBGKQHKIG9W0BAQEFAASCBKGWGGSKAGEAOOBAQDREQZLKVEAK8B5 TRCRBHSI9IYWHX8NQC8K4HEDRVN7HQQQQQP3BHUKVEXDOXPRLYVUC7A8H1BLR93QW . Koi8fzl+jhg+p8vtpk5zaiyp ----- τελικό ιδιωτικό κλειδί----- 

Ο καταργημένος Λίστα κλειδιά RSA Το παράθυρο διαλόγου μπορεί να αφαιρεθεί σε κάποιο σημείο. Για να διαμορφώσετε τα κλειδιά, χρησιμοποιήστε το Κλειδιά RSA αντίθετα. Για να αλλάξετε το πρωτόκολλο για αποκρυπτογραφημένα δεδομένα δικτύου, κάντε δεξί κλικ σε ένα πακέτο TLS και χρήση Αποκωδικοποιώ ως Για να αλλάξετε το Ρεύμα πρωτόκολλο για το Θύρα TLS. ο διεύθυνση IP και Λιμάνι Τα πεδία είναι αχρησιμοποίητα.

Παράδειγμα αρχείου καταγραφής

• εγκαταλείπω.pcapng tlsv1.2 σύλληψη με 73 σουίτες κρυπτογράφησης, χρειάζεστε αυτό το Premaster.αρχείο txt για αποκρυπτογράφηση της κυκλοφορίας. (συνδεδεμένο από https: // bugs.ζαχαρωτό.org/bugzilla/show_bug.CGI?ID = 9144)
• TLS12-DSB.PCAPNG – TLS 1.2 ίχνος με πλήκτρα αποκρυπτογράφησης ενσωματωμένα. (Δοκιμαστική σύλληψη στο δέντρο πηγής Wireshark που προστέθηκε εδώ)
• https: // gitlab.com/wireshark/wireshark/ -/tree/master/test/catching – Η δοκιμαστική σουίτα περιέχει διάφορα ίχνη TLS.

Προβολή φίλτρου

Μια πλήρης λίστα πεδίων φίλτρου οθόνης TLS μπορεί να βρεθεί στην αναφορά φίλτρου οθόνης

Εμφάνιση μόνο της κυκλοφορίας με βάση το TLS:

Φίλτρο καταγραφής

Δεν μπορείτε να φιλτράρετε απευθείας τα πρωτόκολλα TLS κατά τη λήψη. Ωστόσο, εάν γνωρίζετε τη χρησιμοποιούμενη θύρα TCP (βλ. Παραπάνω), μπορείτε να φιλτράρετε σε αυτό, για παράδειγμα χρησιμοποιώντας τη θύρα TCP 443 .

Χρησιμοποιώντας το (pre)-master-secret

Το Master Secret επιτρέπει την αποκρυπτογράφηση TLS στο Wireshark και μπορεί να παραδοθεί μέσω του αρχείου καταγραφής κλειδιών. Το μυστικό πριν από τον Master είναι το αποτέλεσμα από την ανταλλαγή κλειδιών και μπορεί να μετατραπεί σε κύριο μυστικό από το Wireshark. Αυτό το μυστικό προ-master μπορεί να ληφθεί όταν παρέχεται ένα ιδιωτικό κλειδί RSA και χρησιμοποιείται μια ανταλλαγή κλειδιών RSA.

Βήμα προς βήμα οδηγίες για την αποκρυπτογράφηση της κυκλοφορίας TLS από Chrome ή Firefox στο Wireshark:

1. Κλείστε πλήρως το πρόγραμμα περιήγησης (ελέγξτε τον διαχειριστή εργασιών σας μόνο για να είστε σίγουροι).
2. Ρυθμίστε το περιβάλλον μεταβλητό sslkeylogfile στην απόλυτη διαδρομή ενός εγγράψιμου αρχείου.
3. Ξεκινήστε το πρόγραμμα περιήγησης.
4. Βεβαιωθείτε ότι δημιουργείται η τοποθεσία από το βήμα 2.
5. Στο Wireshark, μεταβείτε στο Επεξεργασία ->Προτιμήσεις ->Πρωτόκολλα ->TLS, και αλλάξτε το (Pre)-master-secret αρχείο αρχείου αρχείου Προτίμηση προς τη διαδρομή από το βήμα 2.
6. Ξεκινήστε τη σύλληψη Wireshark.
7. Ανοίξτε έναν ιστότοπο, για παράδειγμα https: // www.ζαχαρωτό.org/
8. Ελέγξτε ότι τα αποκρυπτογραφημένα δεδομένα είναι ορατά. Για παράδειγμα, χρησιμοποιώντας το φίλτρο TLS και (HTTP ή HTTP2).

Για Παράθυρα, Μια μεταβλητή περιβάλλοντος μπορεί να ρυθμιστεί παγκοσμίως όπως περιγράφεται σε αυτή την περιπέτεια, αλλά αυτό δεν συνιστάται αφού είναι εύκολο να ξεχάσουμε και μπορεί να είναι ένα ζήτημα ασφαλείας, καθώς επιτρέπει την αποκρυπτογράφηση όλης της κυκλοφορίας TLS σας. Ένας καλύτερος τρόπος για να ρυθμίσετε τη μεταβλητή περιβάλλοντος είναι μέσω ενός αρχείου δέσμης. Δημιουργήστε ένα αρχείο Start-FX.CMD με:

@echo off set sslkeylogfile =%userprofile%\ desktop \ keylogfile.TXT Ξεκινήστε τον Firefox 

Για Λίνουξ, Ανοίγετε ένα τερματικό και μετά ξεκινήστε το πρόγραμμα περιήγησης με:

Εξαγωγή SSLKeyLogFile = $ Home/Desktop/KeylogFile.txt firefox 

Για macOS, Ανοίγετε ένα τερματικό και μετά ξεκινήστε το πρόγραμμα περιήγησης με:

Εξαγωγή SSLKeyLogFile = $ Home/Desktop/KeylogFile.txt open -a firefox 

Αλλάξτε τη διαδρομή SSLkeyLogFile όπως απαιτείται και αντικαταστήστε τον Firefox με το Chrome για το Google Chrome. Αυτός ο μηχανισμός σήμερα (2019) δεν λειτουργεί για το Safari, το Microsoft Edge και άλλους από τις βιβλιοθήκες TLS (Microsoft Schannel/Apple SecureTransport) Μην υποστηρίζετε αυτόν τον μηχανισμό. Αυτός ο μηχανισμός λειτουργεί για εφαρμογές εκτός από τα προγράμματα περιήγησης ιστού, αλλά εξαρτάται από τη βιβλιοθήκη TLS που χρησιμοποιείται από την εφαρμογή.

Σημείωση: Οι εκδόσεις του Edge (έκδοση 79+) θα πρέπει να λειτουργούν επίσης.

Παραδείγματα άλλων εφαρμογών:

• Οι εφαρμογές που χρησιμοποιούν το OpenSSL θα μπορούσαν να χρησιμοποιήσουν ένα GDB ή ένα τέχνασμα LD_PRELOAD για να εξαγάγετε τα μυστικά. Αυτό περιλαμβάνει Python.
  • Για μια περιπέτεια για το Apache HTTP Server χρησιμοποιώντας αυτό το libsslkeylog.Έτσι βιβλιοθήκη, δείτε αυτήν την ανάρτηση.
  • jsslkeylog: http: // jsslkeylog.πηγή.καθαρά/
  • Εξαγωγή-tls-secrets: https: // github.com/neykov/extract-tls-secrets

  Για μια έρευνα των υποστηριζόμενων εφαρμογών και βιβλιοθηκών TLS, βλ. Επίσης Page 19 της παρουσίασης SSL/TLS του Peter Wu.

  Ενσωμάτωση μυστικών αποκρυπτογράφησης σε ένα αρχείο PCAPNG

  Από το Wireshark 3.0 Μπορείτε να ενσωματώσετε το αρχείο καταγραφής κλειδιού TLS σε ένα τεμαχίζω αρχείο. Αυτό καθιστά πολύ πιο εύκολο τη διανομή αρχείων σύλληψης με μυστικά αποκρυπτογράφησης και διευκολύνει την εναλλαγή μεταξύ των αρχείων λήψης, αφού η προτίμηση του πρωτοκόλλου TLS δεν χρειάζεται να ενημερωθεί. Για να προσθέσετε τα περιεχόμενα των πλήκτρων αρχείων καταγραφής κλειδιών.txt για να καταγράψετε αρχείο στο.PCAP και γράψτε το αποτέλεσμα στο out-dsb.pcapng:

  editcap-Ερεχική-secrets TLS, κλειδιά.txt μέσα.pcap out-dsb.τεμαχίζω

  ο DSB Το Suffix αντιπροσωπεύει τα μυστικά αποκρυπτογράφησης (DSB) και αποτελεί μέρος της προδιαγραφής PCAPNG.

  Ένα αρχείο καταγραφής κλειδιού μπορεί να περιέχει κλειδιά που δεν σχετίζονται με ένα αρχείο λήψης. Για να βεβαιωθείτε ότι τα περιττά κλειδιά δεν διαρρέουν, μπορείτε να χρησιμοποιήσετε το εγχυτικό-TLS-Secrets.script py από https: // gist.github.com/lekensteyn/f64ba6d6d2c6229d6ec444647979ea24 για να φιλτράρει το αρχείο καταγραφής και να προσθέσει τα απαιτούμενα μυστικά σε ένα αρχείο λήψης. Το σενάριο κελύφους έχει δοκιμαστεί με Linux και MacOS, αλλά μια έκδοση Python 3 είναι επίσης διαθέσιμη για όλες τις πλατφόρμες, συμπεριλαμβανομένων των Windows. Παράδειγμα:

  git clone https: // gist.github.com/lekensteyn/f64ba6d6d2c6229d6ec444647979ea24 ~/~/IS.πλήκτρα PY.TXT μερικά.PCAP 

  Δείτε επίσης

  Μερικά άλλα πρωτόκολλα προέρχονται από TLS. Αυτό περιλαμβάνει:

  • Το DTLS βασίζεται στο πρότυπο TLS και τρέχει στην κορυφή του UDP ως πρωτόκολλο μεταφοράς.
  • Το QUIC είναι ένα πρωτόκολλο ενίσχυσης που χρησιμοποιεί TLS για την κρυπτογράφηση του, η κατάσταση του Wireshark μπορεί να εντοπιστεί στο https: // github.com/quicwg/base-drafts/wiki/tools#wireshark.

  εξωτερικοί σύνδεσμοι

  • https: // en.Wikipedia.org/wiki/transport_layer_security wikipedia άρθρο για TLS
  • https: // Sharkfesteurope.ζαχαρωτό.org/assets/presentations16eu/07.PDFSHARKFEST’16 ΕΕ Παρουσίαση από το Sake Blok για την αντιμετώπιση προβλημάτων SSL με Wireshark/Tshark (ή παρακολουθήστε το βίντεο της παρουσίασης στο https: // youtu.να είναι/odady9qcnxk)
  • https: // lekensteyn.NL/αρχείων/wireshark-ssl-tls-decryption-secrets-sharkfest18eu.PDFSHARKFEST’18 ΕΕ Παρουσίαση από τον Peter Wu on TLS αποκρυπτογράφηση (βίντεο για προηγούμενη συζήτηση στην Ασία στο https: // youtu.να είναι/bwjebwgoebg)
  • https: // lekensteyn.NL/αρχεία/wireshark-tls-debugging-sharkfest19us.PDFSHARKFEST’19 Παρουσίαση των ΗΠΑ από τον Peter Wu περιγράφοντας την αποκρυπτογράφηση TLS και τη χρήση ενσωματωμένων μυστικών αποκρυπτογράφησης (https: // youtu.να είναι/ha4slhcef6w).
  • Πώς λειτουργεί το SSL/TLS? – Ανταλλαγή στοίβας ασφάλειας πληροφοριών
  • SSL χωρίς κλειδί: Οι τεχνικές λεπτομέρειες του Nitty Gritty με μια καλή εισαγωγή στο TLS
  • Το PolarProxy από το NETRESEC είναι ένα διαφανές πληρεξούσιο SSL/TLS που δημιουργήθηκε για τους ανταποκριτές και τους ερευνητές κακόβουλου λογισμικού που σχεδιάζονται κυρίως για να παρεμποδίσουν και να αποκρυπτογραφήσουν την κρυπτογραφημένη κυκλοφορία TLS από κακόβουλο λογισμικό. Το PolarProxy αποκρυπτογραφεί και επανατοποθετεί την κυκλοφορία TLS, ενώ παράλληλα αποθηκεύει την αποκρυπτογραφημένη κυκλοφορία σε ένα αρχείο PCAP που μπορεί να φορτωθεί σε Wireshark ή σε σύστημα ανίχνευσης εισβολών (IDS).

  Τι είναι το HTTPS?

  HTTPS (πρωτόκολλο μεταφοράς υπερκειμένου) είναι μια ασφαλής έκδοση του πρωτοκόλλου HTTP που χρησιμοποιεί το πρωτόκολλο SSL/TLS για κρυπτογράφηση και έλεγχο ταυτότητας. Το HTTPS καθορίζεται από το RFC 2818 (Μάιος 2000) και χρησιμοποιεί τη θύρα 443 από προεπιλογή αντί του HTTP’θύρα 80.

  Το πρωτόκολλο HTTPS επιτρέπει στους χρήστες του ιστότοπου να μεταδίδουν ευαίσθητα δεδομένα, όπως αριθμούς πιστωτικών καρτών, τραπεζικές πληροφορίες και διαπιστευτήρια σύνδεσης με ασφάλεια μέσω του Διαδικτύου. Για το λόγο αυτό, το HTTPS είναι ιδιαίτερα σημαντικό για την εξασφάλιση διαδικτυακών δραστηριοτήτων, όπως αγορές, τραπεζικές και απομακρυσμένες εργασίες. Ωστόσο, το HTTPS γίνεται γρήγορα το πρότυπο πρωτόκολλο για όλα ιστοσελίδες, ανεξάρτητα από το αν ανταλλάσσουν ευαίσθητα δεδομένα με τους χρήστες.

  Πώς διαφέρει το HTTPS από το HTTP?

  HTTPS προσθέτει κρυπτογράφηση, αυθεντικοποίηση, και ακεραιότητα στο πρωτόκολλο HTTP:

  Κρυπτογράφηση: Επειδή το HTTP σχεδιάστηκε αρχικά ως ένα σαφές πρωτόκολλο κειμένου, είναι ευάλωτο στην παραμονή και στον άνθρωπο στις μεσαίες επιθέσεις. Συμπεριλαμβάνοντας την κρυπτογράφηση SSL/TLS, το HTTPS εμποδίζει τα δεδομένα που αποστέλλονται μέσω του Διαδικτύου από την παρακολούθηση και την ανάγνωση από τρίτο μέρος. Μέσω της κρυπτογραφίας του δημόσιου κλειδιού και της χειραψίας SSL/TLS, μια κρυπτογραφημένη συνεδρία επικοινωνίας μπορεί να δημιουργηθεί με ασφάλεια μεταξύ δύο μερών που δεν έχουν συναντηθεί ποτέ αυτοπροσώπως (Ε (Ε.σολ. διακομιστής ιστού και πρόγραμμα περιήγησης) μέσω της δημιουργίας ενός κοινού μυστικού κλειδιού.

  Αυθεντικοποίηση: Σε αντίθεση με το HTTP, το HTTPS περιλαμβάνει ισχυρό έλεγχο ταυτότητας μέσω του πρωτοκόλλου SSL/TLS. Μία ιστοσελίδα’Το πιστοποιητικό SSL/TLS περιλαμβάνει ένα δημόσιο κλειδί ότι ένα πρόγραμμα περιήγησης ιστού μπορεί να χρησιμοποιήσει για να επιβεβαιώσει ότι τα έγγραφα που αποστέλλονται από το διακομιστή (όπως οι σελίδες HTML) έχουν υπογραφεί ψηφιακά από κάποιον που κατέχει τα αντίστοιχα ιδιωτικό κλειδί. Εάν ο διακομιστής’Το πιστοποιητικό S έχει υπογραφεί από μια δημόσια αξιόπιστη αρχή πιστοποιητικών (CA), όπως το SSL.com, το πρόγραμμα περιήγησης θα δεχτεί ότι τυχόν πληροφορίες αναγνώρισης που περιλαμβάνονται στο πιστοποιητικό έχει επικυρωθεί από έναν αξιόπιστο τρίτο μέρος.

  Οι ιστότοποι HTTPS μπορούν επίσης να ρυθμιστούν για αμοιβαίος έλεγχος ταυτότητας, στην οποία ένα πρόγραμμα περιήγησης ιστού παρουσιάζει ένα πιστοποιητικό πελάτη που προσδιορίζει τον χρήστη. Η αμοιβαία έλεγχος ταυτότητας είναι χρήσιμος για καταστάσεις όπως η απομακρυσμένη εργασία, όπου είναι επιθυμητό να συμπεριληφθεί ο έλεγχος ταυτότητας πολλαπλών παραγόντων, μειώνοντας τον κίνδυνο ηλεκτρονικού ψαρέματος ή άλλων επιθέσεων που περιλαμβάνουν κλοπή διαπιστευτηρίων. Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση πιστοποιητικών πελατών σε προγράμματα περιήγησης ιστού, διαβάστε αυτό το πώς να.

  Ακεραιότητα: Κάθε έγγραφο (όπως μια ιστοσελίδα, εικόνα ή αρχείο JavaScript) που αποστέλλεται σε ένα πρόγραμμα περιήγησης από έναν διακομιστή ιστού HTTPS περιλαμβάνει μια ψηφιακή υπογραφή που μπορεί να χρησιμοποιήσει ένα πρόγραμμα περιήγησης ιστού για να διαπιστώσει ότι το έγγραφο δεν έχει μεταβληθεί από τρίτο ή αλλιώς αλλοιωμένο κατά τη μεταφορά. Ο διακομιστής υπολογίζει ένα κρυπτογραφικό hash του εγγράφου’S Περιεχόμενα, που περιλαμβάνονται στο ψηφιακό πιστοποιητικό του, το οποίο το πρόγραμμα περιήγησης μπορεί να υπολογίσει ανεξάρτητα για να αποδείξει ότι το έγγραφο’Η ακεραιότητα είναι ανέπαφη.

  Συνολικά, αυτές οι εγγυήσεις κρυπτογράφησης, ελέγχου ταυτότητας και ακεραιότητας κάνουν το HTTPS α πολύ ασφαλέστερο πρωτόκολλο για περιήγηση και διεξαγωγή επιχειρήσεων στο διαδίκτυο από το HTTP.

  Ποιες πληροφορίες παρέχουν οι HTTPs για τους ιδιοκτήτες ιστότοπων?

  Το CAS χρησιμοποιεί τρεις βασικές μεθόδους επικύρωσης κατά την έκδοση ψηφιακών πιστοποιητικών. Η χρησιμοποιούμενη μέθοδος επικύρωσης καθορίζει τις πληροφορίες που θα συμπεριληφθούν σε έναν ιστότοπο’Πιστοποιητικό SSL/TLS:

  • Επικύρωση τομέα (DV) απλά επιβεβαιώνει ότι το όνομα τομέα που καλύπτεται από το πιστοποιητικό βρίσκεται υπό τον έλεγχο της οντότητας που ζήτησε το πιστοποιητικό.
  • Οργάνωση / Ατομική Επικύρωση (OV / IV) Τα πιστοποιητικά περιλαμβάνουν το επικυρωμένο όνομα μιας επιχείρησης ή άλλου οργανισμού (OV) ή ενός ατόμου (iv).
  • Εκτεταμένη επικύρωση (EV) Τα πιστοποιητικά αντιπροσωπεύουν τα υψηλότερα πρότυπα στο Internet Trust και απαιτούν την επικύρωση της μεγαλύτερης προσπάθειας της CA. Τα πιστοποιητικά EV εκδίδονται μόνο σε επιχειρήσεις και σε άλλους εγγεγραμμένους οργανισμούς, όχι σε άτομα, και να περιλαμβάνουν το επικυρωμένο όνομα αυτού του οργανισμού.

  Για περισσότερες πληροφορίες σχετικά με την προβολή του περιεχομένου ενός ιστότοπου’S Digital Certificate, Διαβάστε το άρθρο μας, πώς μπορώ να ελέγξω εάν ένας ιστότοπος διευθύνεται από μια νόμιμη επιχείρηση?

  Γιατί να χρησιμοποιήσετε το HTTPS?

  Υπάρχουν πολλοί καλοί λόγοι για να χρησιμοποιήσετε το HTTPS στον ιστότοπό σας και να επιμείνετε στο HTTPS κατά την περιήγηση, την αγορά και την εργασία στο διαδίκτυο ως χρήστης:

  Ακεραιότητα και έλεγχος ταυτότητας: Μέσω κρυπτογράφησης και ελέγχου ταυτότητας, το HTTPS προστατεύει την ακεραιότητα της επικοινωνίας μεταξύ ενός ιστότοπου και ενός χρήστη’προγράμματα περιήγησης. Οι χρήστες σας θα γνωρίζουν ότι τα δεδομένα που αποστέλλονται από τον διακομιστή ιστού σας δεν έχουν παρεμποδιστεί και/ή τροποποιηθούν από τρίτο μέρος κατά τη μεταφορά. Και εάν εσύ’Έκανα την πρόσθετη επένδυση σε πιστοποιητικά EV ή OV, θα είναι επίσης σε θέση να πει ότι οι πληροφορίες προέρχονταν πραγματικά από την επιχείρησή σας ή τον οργανισμό σας.

  Μυστικότητα: Φυσικά κανείς δεν θέλει εισβολείς να κερδίζουν τους αριθμούς και τους κωδικούς πρόσβασης των πιστωτικών καρτών τους ενώ ψωνίζουν ή τράπεζες online και το HTTPS είναι ιδανικό για την πρόληψη αυτού. Αλλά θα ήθελα Πραγματικά Θέλετε όλα τα άλλα που βλέπετε και κάνετε στον ιστό να είναι ένα ανοιχτό βιβλίο για όσους αισθάνονται σαν snooping (συμπεριλαμβανομένων κυβερνήσεων, εργοδοτών ή κάποιος που χτίζει ένα προφίλ για να αποσυνδεθεί οι online δραστηριότητές σας)? Το HTTPS διαδραματίζει επίσης σημαντικό ρόλο εδώ.

  Εμπειρία χρήστη: Οι πρόσφατες αλλαγές στο UI του προγράμματος περιήγησης έχουν οδηγήσει σε τοποθεσίες HTTP που επισημαίνονται ως ανασφαλείς. Θέλετε τους πελάτες σας’ προγράμματα περιήγησης για να τους πείτε ότι ο ιστότοπός σας είναι “Αναιρέσιμος” ή να τους δείξετε μια διασταυρούμενη κλειδαριά όταν το επισκέπτονται? Φυσικά και όχι!

  Συμβατότητα: Οι τρέχουσες αλλαγές του προγράμματος περιήγησης πιέζουν το HTTP όλο και πιο κοντά στην ασυμβατότητα. Ο Mozilla Firefox ανακοίνωσε πρόσφατα μια προαιρετική λειτουργία HTTPS μόνο, ενώ το Google Chrome μετακινείται σταθερά για να μπλοκάρει το μικτό περιεχόμενο (οι πόροι HTTP που συνδέονται με τις σελίδες HTTPS). Όταν βλέπετε μαζί με τις προειδοποιήσεις του προγράμματος περιήγησης “ανασφάλεια” Για ιστοσελίδες HTTP, αυτό’είναι εύκολο να δείτε ότι η γραφή είναι στον τοίχο για HTTP. Το 2020, όλα τα τρέχοντα μεγάλα προγράμματα περιήγησης και κινητές συσκευές υποστηρίζουν το HTTPS, έτσι κερδίσατε’να χάσετε τους χρήστες με τη μετάβαση από το HTTP.

  SEO: Οι μηχανές αναζήτησης (συμπεριλαμβανομένης της Google) χρησιμοποιούν το HTTPS ως σήμα κατάταξης κατά τη δημιουργία αποτελεσμάτων αναζήτησης. Ως εκ τούτου, οι ιδιοκτήτες ιστότοπων μπορούν να πάρουν μια εύκολη ώθηση SEO, διαμορφώνοντας τους διακομιστές ιστού τους για να χρησιμοποιήσουν HTTP και όχι HTTP.

  Εν ολίγοις, δεν υπάρχουν πλέον καλοί λόγοι για τους δημόσιους ιστότοπους να συνεχίσουν να υποστηρίζουν το HTTP. Ακόμα και η κυβέρνηση των Ηνωμένων Πολιτειών βρίσκεται επί του σκάφους!

  Πώς λειτουργεί το HTTPS?

  HTTPS προσθέτει κρυπτογράφηση στο πρωτόκολλο HTTP με την περιτύλιξη του HTTP μέσα στο πρωτόκολλο SSL/TLS (γι ‘αυτό το SSL ονομάζεται πρωτόκολλο σήραγγας), έτσι ώστε όλα τα μηνύματα να κρυπτογραφούνται και στις δύο κατευθύνσεις μεταξύ δύο δικτυωμένων υπολογιστών (Ε (Ε (Ε (Ε (Ε).σολ. διακομιστής πελάτη και ιστού). Παρόλο που ένα eavesdropper μπορεί ακόμα να έχει πρόσβαση σε διευθύνσεις IP, αριθμούς θύρας, ονόματα τομέα, το ποσό των πληροφοριών που ανταλλάσσονται και η διάρκεια μιας συνεδρίας, όλα τα πραγματικά δεδομένα που ανταλλάσσονται με ασφάλεια κρυπτογραφούνται με SSL/TLS, συμπεριλαμβανομένων:

  • Ζητήστε διεύθυνση URL (ποια ιστοσελίδα ζητήθηκε από τον πελάτη)
  • Περιεχόμενο ιστότοπου
  • Παράμετροι ερωτήματος
  • Κεφαλίδες
  • Μπισκότα

  Το HTTPS χρησιμοποιεί επίσης το πρωτόκολλο SSL/TLS για αυθεντικοποίηση. Το SSL/TLS χρησιμοποιεί ψηφιακά έγγραφα γνωστά ως Χ.Πιστοποιητικά 509 να δεσμεύσω κρυπτογραφικά βασικά ζεύγη στις ταυτότητες των οντοτήτων όπως ιστοσελίδες, άτομα και εταιρείες. Κάθε ζευγάρι κλειδιού περιλαμβάνει ένα ιδιωτικό κλειδί, που διατηρείται ασφαλές και α δημόσιο κλειδί, που μπορούν να διανεμηθούν ευρέως. Όποιος έχει το δημόσιο κλειδί μπορεί να το χρησιμοποιήσει για:

  • Στείλτε ένα μήνυμα που μόνο ο κάτοχος του ιδιωτικού κλειδιού μπορεί να αποκρυπτογραφήσει.
  • Επιβεβαιώστε ότι ένα μήνυμα έχει υπογραφεί ψηφιακά από το αντίστοιχο ιδιωτικό κλειδί του.

  Εάν το πιστοποιητικό που παρουσιάζεται από έναν ιστότοπο HTTPS έχει υπογραφεί από δημόσια αξιόπιστο Αρχή πιστοποιητικών (CA), όπως SSL.com, Οι χρήστες μπορούν να βεβαιωθούν ότι η ταυτότητα του ιστότοπου έχει επικυρωθεί από έναν αξιόπιστο και αυστηρά μειωμένο τρίτο μέρος.

  Τι συμβαίνει εάν ο ιστότοπός μου δεν κάνει’t Χρησιμοποιήστε HTTPS?

  Το 2020, οι ιστότοποι που δεν χρησιμοποιούν HTTPS ή εξυπηρετούν μικτό περιεχόμενο (που εξυπηρετούν πόρους όπως εικόνες μέσω HTTP από σελίδες HTTPS) υπόκεινται σε προειδοποιήσεις και σφάλματα ασφαλείας του προγράμματος περιήγησης. Επιπλέον, αυτοί οι ιστότοποι συμβιβάζουν άσκοπα τους χρήστες τους’ ιδιωτικότητα και ασφάλεια και δεν προτιμώνται από τους αλγόριθμους μηχανών αναζήτησης. Επομένως, μπορούν να περιμένουν οι ιστότοποι HTTP και μικτού περιεχομένου Περισσότερες προειδοποιήσεις και σφάλματα του προγράμματος περιήγησης, χαμηλότερη εμπιστοσύνη χρήστη και φτωχότερος SEO παρά εάν είχαν ενεργοποιήσει το HTTPS.

  Πώς μπορώ να ξέρω αν ένας ιστότοπος χρησιμοποιεί HTTPS?

  

  Μια διεύθυνση URL HTTPS ξεκινά με https: // αντί για http: // . Τα σύγχρονα προγράμματα περιήγησης ιστού δείχνουν επίσης ότι ένας χρήστης επισκέπτεται έναν ασφαλή ιστότοπο HTTPS εμφανίζοντας ένα σύμβολο κλειστού λουκέτου στα αριστερά της διεύθυνσης URL:

  Στα σύγχρονα προγράμματα περιήγησης όπως το Chrome, ο Firefox και το Safari, οι χρήστες μπορούν Κάντε κλικ στο κλείδωμα Για να δείτε αν ένας ιστότοπος HTTPS’Το ψηφιακό πιστοποιητικό S περιλαμβάνει πληροφορίες αναγνώρισης σχετικά με τον ιδιοκτήτη του.

  Πώς μπορώ να ενεργοποιήσω το HTTPS στον ιστότοπό μου?

  Για την προστασία ενός δικτυακού τόπου που βλέπει στο κοινό με HTTPS, είναι απαραίτητο να εγκαταστήσετε ένα πιστοποιητικό SSL/TLS που έχει υπογράψει μια δημόσια αξιόπιστη αρχή πιστοποιητικών (CA) στον διακομιστή ιστού σας. SSL.com’Το S KnowledgeBase περιλαμβάνει πολλούς χρήσιμους οδηγούς και HOW-TOS για τη διαμόρφωση μιας ευρείας ποικιλίας πλατφορμών διακομιστή ιστού για την υποστήριξη του HTTPS.

  Για πιο γενικούς οδηγούς για τη διαμόρφωση και την αντιμετώπιση προβλημάτων του διακομιστή HTTP, διαβάστε τις βέλτιστες πρακτικές SSL/TLS για το 2020 και την αντιμετώπιση προβλημάτων και προειδοποιήσεις του προγράμματος περιήγησης SSL/TLS.

  Σας ευχαριστούμε που επισκεφθήκατε το SSL.com! Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με την παραγγελία και την εγκατάσταση πιστοποιητικών SSL/TLS, επικοινωνήστε με την ομάδα υποστήριξης 24/7 μέσω ηλεκτρονικού ταχυδρομείου στο [email protected], τηλεφωνικά στο 1-877-SSL-Secure, ή απλά κάνοντας κλικ στο σύνδεσμο συνομιλίας στο κάτω δεξιά αυτής της ιστοσελίδας.

  Χρησιμοποιεί το HTTPS TLS?

  Э э э э э э э э э э э э э э э э э э э э э э э э э э э э э э э э э э

  Ы з з з з з з з и и и и п п п п п п з п з з з з з з з з з п. С п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п п. ПOчем э э э э э э э э э э э п п п п п п п?

  Э э э э э а а а а и е е з з л л л л л л л э э э э э э э э э э э э Κοιτάζοντας το ριμπάγ. С с п п п п п э э э э э э э э э э э э э э э э э э э э э э э э э э э э. Д э э э э д д д и и д д д ρίας н и д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д.

  И и з а а а а а а а а ы ы з .. Е е е е д п п ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж п п п п п п п п п п п п п п п п п. Орrρά. Пороннαι.

  ПON п п е е а а τροφή пρέφ а а а а а τροφήλου. е е е и τροφή ее же жÉ в в ж и и и и ч ч.

  Τι είναι ένα πιστοποιητικό TLS/SSL και πώς λειτουργεί?

  Κάθε φορά που στέλνετε ή λαμβάνετε πληροφορίες στο Διαδίκτυο, περνά μέσω ενός δικτύου πολλαπλών υπολογιστών για να φτάσετε στον προορισμό. Ιστορικά, οποιοσδήποτε από αυτούς τους υπολογιστές θα μπορούσε να διαβάσει τα δεδομένα σας, επειδή δεν ήταν κρυπτογραφημένο.

  Πολλά από αυτά τα δεδομένα είναι αρκετά ευαίσθητα – και πολύτιμα για τους χάκερς. Μπορεί να περιλαμβάνει ιδιωτικές επικοινωνίες που δεν είναι κρυπτογραφημένες από άκρο σε άκρο (νέο παράθυρο), οικονομικές πληροφορίες και, για εφαρμογές ιστού που Don’t Χρησιμοποιήστε το ασφαλές πρωτόκολλο απομακρυσμένου κωδικού πρόσβασης (νέο παράθυρο), ακόμη και τα διαπιστευτήρια σύνδεσης.

  Για την προστασία ευαίσθητων δεδομένων, οι εμπειρογνώμονες ασφαλείας ανέπτυξαν ένα νέο πρότυπο πρωτόκολλο για την αποστολή και τη λήψη της κυκλοφορίας στο διαδίκτυο: Ασφάλεια στρώματος μεταφοράς (TLS). Αυτό προηγήθηκε από το Secure Sockets Layer (SSL), αλλά αυτό έχει αντικατασταθεί σε μεγάλο βαθμό από το TLS.

  Σε αυτό το άρθρο, εμείς’ll καλύπτει τις βασικές έννοιες πίσω από τα πιστοποιητικά TLS και TLS. Μπορείτε επίσης να παραλείψετε στα διάφορα τμήματα:

  1. Τι είναι το TLS?
  2. Τι είναι ένα πιστοποιητικό TLS?
  3. Πώς λειτουργεί ένα πιστοποιητικό TLS?
  4. Ποιες είναι οι αδυναμίες ενός πιστοποιητικού TLS?
  5. Γιατί οι αρχές πιστοποιητικών εμπιστοσύνης?
  6. Επιπλέον προφυλάξεις ασφαλείας που λαμβάνονται από το Proton Mail

  Τι είναι το TLS?

  Πριν βρεθούμε βαθύτερα σε αυτό που είναι ένα πιστοποιητικό TLS ή πώς λειτουργεί, θα πρέπει να καταλάβετε λίγο από την υποκείμενη τεχνολογία.

  Η ασφάλεια των στρώσεων μεταφοράς είναι ένα πρωτόκολλο που δημιουργεί μια κρυπτογραφημένη συνεδρία μεταξύ δύο υπολογιστών στο διαδίκτυο. Επιβεβαιώνει την ταυτότητα του διακομιστή και εμποδίζει τους χάκερ να παρεμποδίζουν οποιαδήποτε δεδομένα.

  Το TLS (και ο προκάτοχός του SSL) επιτρέπει στους χρήστες να μεταδίδουν με ασφάλεια ευαίσθητα δεδομένα όταν χρησιμοποιούν το πρωτόκολλο HTTPS (νέο παράθυρο) . Με άλλα λόγια, το HTTPS είναι HTTP στρωμένο πάνω από το TLS. Αυτή η τεχνολογία είναι ιδανική για εφαρμογές όπως η τραπεζική, ο έλεγχος πληροφοριών, η ανταλλαγή ηλεκτρονικού ταχυδρομείου και οποιαδήποτε άλλη διαδικασία που απαιτεί υψηλότερο επίπεδο ιδιωτικής ζωής και ασφάλειας. Το TLS βοηθά στην παροχή ενός βελτιωμένου επιπέδου προστασίας με κρυπτογράφηση των αλλιώς αναγνώσιμων δεδομένων, καθιστώντας δύσκολο για τους χάκερ να αποκτήσουν ιδιωτικές πληροφορίες.

  

  Αυτό το πλαίσιο παρέχει ιδιωτικότητα μεταξύ των διαφόρων τελικών σημείων μετάδοσης δεδομένων και εξασφαλίζει τα δεδομένα’ακεραιότητα. Χρησιμοποιεί επίσης ψηφιακά πιστοποιητικά για να βοηθήσει στην επαλήθευση της αυθεντικότητας των διακομιστών. Αυτά τα πιστοποιητικά αναφέρονται συνήθως ως πιστοποιητικά TLS.

  Ο έλεγχος ταυτότητας αυτών των πιστοποιητικών συμβαίνει χρησιμοποιώντας κρυπτογραφία δημόσιου κλειδιού. Αυτό βασίζεται σε ζεύγη κλειδιών που αποτελούνται από δημόσιο κλειδί και ιδιωτικό κλειδί. Η αποκρυπτογράφηση των κρυπτογραφημένων δεδομένων μπορεί να συμβεί μόνο όταν υπάρχουν τόσο το δημόσιο κλειδί όσο και το ιδιωτικό κλειδί. Τα πιστοποιητικά TLS χρησιμοποιούν τον έλεγχο ταυτότητας δημόσιου κλειδιού για να βοηθήσουν στην επαλήθευση ότι τα δεδομένα έχουν πρόσβαση από τον προβλεπόμενο παραλήπτη.

  Τι είναι ένα πιστοποιητικό TLS?

  Τα ψηφιακά πιστοποιητικά, επίσης γνωστά ως πιστοποιητικά ταυτότητας ή πιστοποιητικά δημόσιου κλειδιού, είναι ψηφιακά αρχεία που χρησιμοποιούνται για την πιστοποίηση της ιδιοκτησίας ενός δημόσιου κλειδιού. Τα πιστοποιητικά TLS είναι ένας τύπος ψηφιακού πιστοποιητικού, που εκδίδεται από μια αρχή πιστοποιητικών (CA). Η CA υπογράφει το πιστοποιητικό, πιστοποιώντας ότι έχουν επαληθεύσει ότι ανήκει στους ιδιοκτήτες του ονόματος τομέα που αποτελεί αντικείμενο του πιστοποιητικού.

  Τα πιστοποιητικά TLS περιέχουν συνήθως τις ακόλουθες πληροφορίες:

  • Το όνομα του τομέα του θέματος
  • Ο οργανισμός υποκείμενου
  • Το όνομα της έκδοσης CA
  • Πρόσθετα ή εναλλακτικά ονόματα τομέα θέματος, συμπεριλαμβανομένων των υποτομέων, εάν υπάρχουν
  • Ημερομηνία έκδοσης
  • Ημερομηνία λήξης
  • Το δημόσιο κλειδί (το ιδιωτικό κλειδί, ωστόσο, είναι μυστικό.·
  • Η ψηφιακή υπογραφή από την CA

  Πώς λειτουργεί ένα πιστοποιητικό TLS?

  Όταν ένας χρήστης προσπαθεί να συνδεθεί σε έναν διακομιστή, ο διακομιστής τους στέλνει το πιστοποιητικό TLS.

  Στη συνέχεια ο χρήστης επαληθεύει τον διακομιστή’πιστοποιητικό S χρησιμοποιώντας πιστοποιητικά CA που υπάρχουν στον χρήστη’S Συσκευή για τη δημιουργία ασφαλούς σύνδεσης. Αυτή η διαδικασία επαλήθευσης χρησιμοποιεί κρυπτογραφία δημόσιου κλειδιού, όπως RSA ή ECC, για να αποδείξει ότι η CA υπέγραψε το πιστοποιητικό. Εφόσον εμπιστεύεστε την CA, αυτό αποδεικνύει ότι επικοινωνείτε με το πιστοποιητικό διακομιστή’S θέμα (e.σολ., Αλληλογραφία πρωτονίων.com).

  Έτσι, αυτό σημαίνει ότι είναι 100% ασφαλές και ανόητο? Λοιπόν, όχι πάντα.

  Ποιες είναι οι αδυναμίες των πιστοποιητικών TLS?

  Αν και τα πιστοποιητικά TLS είναι γενικά ασφαλή, υπάρχουν τρόποι με τους οποίους οι χάκερ μπορούν να επιτεθούν και ενδεχομένως να συμβιβαστούν TLS. Αυτά περιλαμβάνουν:

  Δηλητηρίαση του καταστήματος πιστοποιητικών

  Εάν ένας εισβολέας μολύνει έναν υπολογιστή με κακόβουλο λογισμικό, θα μπορούσαν να αποκτήσουν πρόσβαση στα ψηφιακά πιστοποιητικά που αποθηκεύονται σε αυτή τη συσκευή και εισάγουν ένα πιστοποιητικό ρίζας. Αυτό, μαζί με τη δυνατότητα να ανταποκρίνονται με δόλο σε αυτόν τον χρήστη’S αιτήματα του ιστότοπου, θα τους επέτρεπε να μιμούνται έναν ιστότοπο, επιτρέποντάς τους έτσι να διαβάσουν όλα τα δεδομένα που αποστέλλονται σε αυτόν.

  Επιτίθεται άμεσα στο CAS

  Για να λειτουργήσει η πιστοποίηση TLS, η CA πρέπει να είναι ασφαλής. Οποιαδήποτε παραβίαση της ΑΠ θα μπορούσε να οδηγήσει σε λανθασμένη ή δόλια εξουσιοδότηση των κλειδιών. Αυτό συνέβη περιστασιακά στο παρελθόν, με το Comodo και το Diginotar (νέο παράθυρο) να είναι σχετικά υψηλού προφίλ παραδείγματα.

  Έκδοση λανθασμένα πιστοποιητικά

  Οι χρήστες βασίζονται σε CAS για να πιστοποιήσουν τον διακομιστή στον οποίο συνδέονται. Ωστόσο, μερικές φορές υπάρχει ένα ζήτημα με πιστοποιητικό που παρουσιάζει μια ευπάθεια που μπορούν να εκμεταλλευτούν οι χάκερ. Όταν συνδυάζεται με μια ανασφαλής σύνδεση στο Διαδίκτυο, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει ένα πιστοποιητικό που εκδίδεται σε κακή εκδήλωση για να θέσει σε κίνδυνο τη σύνδεσή σας με έναν διακομιστή.

  Εάν υπάρχουν όλα αυτά τα ζητήματα, είναι συνετό να εμπιστευτείτε τυφλά την CAS? Εμπιστοσύνη, ναι. Τυφλά, όχι.

  Γιατί οι αρχές πιστοποιητικών εμπιστοσύνης?

  Καθώς οι υπεύθυνοι για την επαλήθευση ότι τα δεδομένα που λάβατε προέρχονταν από το διακομιστή που περιμένατε και δεν παραβιάστηκαν με τη διαδρομή, η CAS διαδραματίζει σημαντικό ρόλο στο σύγχρονο Διαδίκτυο. Εκδίδοντας εκατομμύρια ψηφιακά πιστοποιητικά κάθε χρόνο, αποτελούν τη ραχοκοκαλιά της ασφαλούς επικοινωνίας στο Διαδίκτυο, βοηθώντας στην κρυπτογράφηση των δισεκατομμυρίων ανταλλαγών και συναλλαγών δεδομένων.

  Η φυσική ρύθμιση ενός CA είναι γνωστή ως δημόσιος βασικός της υποδομής (PKI). Το PKI αποτελείται από πολλαπλά επιχειρησιακά στοιχεία, όπως το υλικό, το λογισμικό, η υποδομή ασφαλείας, το προσωπικό, τα πλαίσια πολιτικής, τα συστήματα ελέγχου και οι δηλώσεις πρακτικής, τα οποία συμβάλλουν στη διασφάλιση ότι η διαδικασία επικύρωσης του πιστοποιητικού TLS είναι αξιόπιστη.

  Το μοντέλο εμπιστοσύνης του PKI βασίζεται σε δύο σημαντικά στοιχεία: πιστοποιητικά ρίζας (επίσης αναφερόμενα ως αξιόπιστες ρίζες) και ο διακομιστής’πιστοποιητικό. Οποιοδήποτε πιστοποιητικό που εκδίδεται από CA θα εμπιστευτεί αυτόματα από το πρόγραμμα περιήγησής σας, υπό την προϋπόθεση της CA’Το πιστοποιητικό ρίζας S είναι εγκατεστημένο στο κατάστημα πιστοποιητικών της συσκευής σας. Κάθε συσκευή διαθέτει κατάστημα πιστοποιητικών, το οποίο είναι μια τοπική συλλογή πιστοποιητικών ρίζας από αξιόπιστες CAS.

  Επιπλέον προφυλάξεις ασφαλείας που λαμβάνονται από το Proton Mail

  Ενώ είναι αλήθεια ότι οι μέθοδοι κρυπτογράφησης που βασίζονται σε CAS και TLS είναι σχετικά ασφαλείς, εκεί’είναι πάντα πεδίο βελτίωσης.

  Εδώ στο Proton, η παροχή βελτιωμένης ιδιωτικής ζωής και ασφάλειας είναι ο κύριος στόχος μας. Χρησιμοποιούμε πρόσθετα μέτρα για τη δημιουργία συνδέσεων που είναι ασφαλείς και αξιόπιστες. Παρακάτω αναφέρονται μερικά από τα βήματα που κάνουμε.

  Αρχή πιστοποιητικών DNS (CAA)

  Πίσω το 2011, όταν οι ειδήσεις προέκυψαν σχετικά με τα λανθασμένα εκδοθέντα πιστοποιητικά, προέκυψε ανάγκη για βελτιωμένους μηχανισμούς ασφαλείας. Ένα από τα αποτελέσματα αυτής της ανάγκης είναι το DNS CAA, το οποίο εμποδίζει την έκδοση λανθασμένων πιστοποιητικών.

  Η χρήση ενός αρχείου πόρων DNS επιτρέπει στους ιδιοκτήτες τομέα να αποφασίσουν ποια CAs επιτρέπεται να εκδίδουν πιστοποιητικά για έναν συγκεκριμένο τομέα. Εάν υπάρχει εγγραφή CAA, μόνο οι ΑΠ που αναφέρονται σε αυτό το αρχείο μπορούν να εκδώσουν τον κεντρικό υπολογιστή’πιστοποιητικό.

  Παρόλο που αυτό παρέχει κάποια προστασία έναντι της ακούσιας κατάχρησης πιστοποιητικών, είναι πολύ δύσκολο για τους χρήστες να ανιχνεύσουν εάν ένα CA αγνοεί το CAA Advisory. Γι ‘αυτό είναι απαραίτητη η διαφάνεια του πιστοποιητικού.

  Διαφάνεια πιστοποιητικού

  Για να εξασφαλιστεί η εγκυρότητα των πιστοποιητικών και να αποτρέψει τις εσφαλμένες θέσεις, όλα τα CAS δημοσιεύουν τα πιστοποιητικά που έχουν δημιουργήσει σε δημόσιους διακομιστές καταγραφής, γνωστούς ως αρχεία καταγραφής διαφάνειας πιστοποιητικού (CT). Αυτοί οι διακομιστές στέλνουν μια υπογραφή στην ΑΠ, υπόσχεται να δημοσιεύσει το πιστοποιητικό τους.

  Εξυπηρετούμε μια κεφαλίδα CT, η οποία λέει στο πρόγραμμα περιήγησης να απαιτήσει την παρουσία αυτής της υπογραφής. Διαθέτουμε επίσης διακομιστές παρακολούθησης και ελέγχου που ελέγχουν το αρχείο καταγραφής CT για όλα τα υποσχόμενα πιστοποιητικά που προορίζονται να δημοσιευθούν.

  Μαζί, όλα αυτά τα μέτρα καθιστούν εξαιρετικά απίθανο για οποιονδήποτε, συμπεριλαμβανομένου ενός κρατικού ηθοποιού, να δημιουργήσει πιστοποιητικό TLS για το ProTon.εγώ και χρησιμοποιώ το για να παρεμποδίσω τις συνδέσεις χωρίς να εντοπιστούν.

  Πιστοποιητικό TLS

  Το πιστοποιητικό Pinning είναι μια διαδικασία που συνδέει μια υπηρεσία με το συγκεκριμένο δημόσιο κλειδί τους. Μόλις δημιουργηθεί ένα πιστοποιητικό για μια συγκεκριμένη υπηρεσία, είναι μόνιμα καρφωμένο στην υπηρεσία. Εάν υπάρχουν πολλά έγκυρα πιστοποιητικά για μια συγκεκριμένη υπηρεσία, οι ακίδες συγχωνεύονται σε ένα pinset. Για να επικυρώσει ένα pinset, τουλάχιστον ένα στοιχείο από την υπηρεσία πρέπει να ταιριάζει με τα στοιχεία του Pinset. Παίρνουμε το δημόσιο κλειδί των πιστοποιητικών μας σε όλες τις εγγενείς εφαρμογές μας.

  Η αποστολή μας είναι να οικοδομήσουμε ένα ασφαλέστερο διαδίκτυο και να ενημερώνεται για το πώς προστατεύονται τα δεδομένα σας μπορεί να σας εξουσιοδοτήσει να λαμβάνετε καλύτερες αποφάσεις σχετικά με τις υπηρεσίες που χρησιμοποιείτε. Εάν έχετε περαιτέρω ερωτήσεις ή σχόλια σχετικά με τα πιστοποιητικά TLS ή τον τρόπο με τον οποίο τα χρησιμοποιούμε, ενημερώστε μας για τα κοινωνικά μέσα στο Twitter (νέο παράθυρο) ή το Reddit (νέο παράθυρο) .

  Τις καλύτερες ευχές,
  Η ομάδα αλληλογραφίας Proton

  Παρέχουμε επίσης ένα δωρεάν υπηρεσία VPN (νέο παράθυρο) Για να προστατεύσετε το απόρρητό σας. Το Proton Mail και το Proton VPN (νέο παράθυρο) χρηματοδοτούνται από κοινοτικές συνεισφορές. Εάν θέλετε να υποστηρίξετε τις αναπτυξιακές μας προσπάθειες, μπορείτε να αναβαθμίσετε σε ένα καταβληθείσα σχέδιο (νέο παράθυρο) ή προσφέρω (νέο παράθυρο) . Σας ευχαριστούμε για την υποστήριξή σας.

  Μη διστάσετε να μοιραστείτε τα σχόλιά σας και τις ερωτήσεις σας μαζί μας μέσω των επίσημων καναλιών κοινωνικών μέσων ενημέρωσης στο Twitter (νέο παράθυρο) και το Reddit (νέο παράθυρο) .