מה זה https

כדי להגן על אתר הפונה לציבור באמצעות HTTP. SSL.com’S Knowledgebase כולל מדריכים מועילים רבים והאיכות לקביעת תצורה של מגוון רחב של פלטפורמות שרת אינטרנט לתמיכה ב- HTTPS.

סיכום:

HTTPS הוא פרוטוקול מאובטח המשמש להגנה על אתרים. זה דורש התקנת תעודת SSL/TLS מ- CA מהימן. SSL.COM מספק מדריכים להגדרת שרתי אינטרנט לתמיכה ב- HTTPS.

נקודות מפתח:

1. אבטחת שכבת תחבורה (TLS): TLS מספק אבטחה לתקשורת בין מארחים. זה מבטיח יושרה, אימות וסודיות. הוא משמש בדרך כלל בדפדפני אינטרנט אך ניתן להשתמש בו בכל פרוטוקול המשתמש ב- TCP.

2. TLS לעומת SSL: SSL הוא קודמו של פרוטוקול TLS. ישנם מונחים מסוימים, כמו תעודות SSL, משמשים להחלפה. חשוב להשתמש ב- TLS במקום בפרוטוקול SSL חסר ביטחון.

3. שימוש בנמל: יישומים מסוימים משתמשים ביציאה יחידה הן למפגשים לא מוצפנים ומוצפנים כאחד. כדי לעבור מבלתי מוצפנים להצפנה, משתמשים ב- StartTls. ניתן להשתמש במונח SSL כאשר יציאה יחידה משתמשת ישירות בפרוטוקול TLS.

4. SSL/TLS ב- Wireshark: ל- Wireshark יש Dissector TLS פונקציונלי לחלוטין, התומך בפענוח אם מסופקים סודות מתאימים. שמו של הדיסקקטור שונה מ- SSL ל- TLS ב- Wireshark 3.0.

5. פענוח TLS: Wireshark תומך בפענוח TLS באמצעות קובץ יומן מפתח או מפתח פרטי RSA. מומלץ לקובץ יומן המפתח כפי שהוא עובד בכל המקרים. למפתח הפרטי של RSA יש מגבלות.

6. הגדרות העדפה: ניתן למצוא העדפות הקשורות ל- TLS בתפריט העריכה -> העדפות. העדפות בולטות כוללות את שם קובץ הקובץ (טרום)-מסקר.

7. העדפות פרוטוקול TCP: כדי לאפשר פענוח TLS, יש להפעיל את האפשרות “לאפשר לסקטור המשנה להפעיל מחדש זרמי TCP”. החל מ- Wireshark 3.0, האפשרות “הגשמת מקטעים מחוץ להזמנה” מושבתת כברירת מחדל.

8. דו -שיח RSA Keys: החל מ- Wireshark 3.0, תיבת דו -שיח חדשה של RSA Keys זמינה תחת עריכה -> העדפות -> מקשי RSA. זה מאפשר הוספת מפתחות פרטיים של פורמט PEM או PKCS#12 חנויות מפתח לפענוח.

שאלות:

שאלה 1: מה המטרה של התקנת תעודת SSL/TLS עבור HTTPS?

תשובה: התקנת תעודת SSL/TLS נחוצה בכדי ליצור תקשורת מאובטחת ולהגן על האתר מפני גישה לא מורשית. זה מאמת את זהות השרת ומאפשר הצפנת נתונים שהוחלפו בין השרת ללקוחות.

שאלה 2: ניתן להשתמש ב- TLS עם פרוטוקולים שאינם דפדפני אינטרנט?

תשובה: כן, ניתן להשתמש ב- TLS בכל פרוטוקול המשתמש ב- TCP כשכבת ההובלה. זה מספק אבטחה, יושרה ואימות לתקשורת בין מארחים.

שאלה 3: מהם ההבדלים בין TLS ל- SSL?

תשובה: SSL הוא קודמו של פרוטוקול TLS. TLS הוא הפרוטוקול המומלץ, שכן SSL נחשב לחוסר ביטחון. עם זאת, המונחים SSL ו- SSL משמשים עדיין להחלפה במקרים מסוימים, מה שמוביל לבלבול.

שאלה 4: כיצד יכולה Wireshark לפענח את תנועת TLS?

תשובה: Wireshark יכול לפענח תנועה TLS אם מסופקים סודות מתאימים. זה תומך בפענוח באמצעות קובץ יומן מפתח או מפתח פרטי RSA. קובץ יומן המפתח מומלץ לפענוח.

שאלה 5: היכן ניתן למצוא את הגדרות ההעדפה לפענוח TLS ב- Wireshark?

תשובה: ניתן למצוא את הגדרות ההעדפה לפענוח TLS בתפריט העריכה -> העדפות. מתחת לעץ הפרוטוקולים, בחר TLS. העדפות נוספות זמינות תחת העדפות פרוטוקול TCP.

שאלה 6: מהן המגבלות של שימוש במפתח פרטי RSA עבור פענוח TLS?

תשובה: לשיטת המפתח הפרטי של RSA לפענוח TLS יש מגבלות. זה עובד רק אם חבילת הצופן שנבחרה על ידי השרת אינה משתמשת (EC) DHE, גרסת הפרוטוקול היא SSLV3 או (D) TLS 1.0-1.2 (לא עובד עם TLS 1.3) והמפתח הפרטי תואם את תעודת השרת. בנוסף, אסור לחדש את הפגישה.

שאלה 7: כיצד ניתן להפעיל את פענוח TLS ב- Wireshark לכל המקרים?

תשובה: ניתן להפעיל פענוח TLS עבור כל המקרים באמצעות קובץ יומן מפתח. קובץ יומן המפתח הוא קובץ טקסט שנוצר על ידי יישומים כמו Firefox, Chrome and Curl כאשר משתנה הסביבה SSLKeylogFile מוגדר. זה דורש ייצוא רציף של סודות מיישום הלקוח או השרת.

שאלה 8: מהן ההעדפות הבולטות לפענוח TLS ב- Wireshark?

תשובה: כמה העדפות בולטות עבור פענוח TLS ב- Wireshark כוללות את שם קובץ הקובץ (טרום)-סקר-סקר, רשימת מקשי RSA (הוצגה לטובת תיבת הדו-שיח מקשי RSA), מפתח מקדים עבור סוויטות צופן PSK, וקובץ Debug של TLS לכתיבת פרטים פנימיים על תהליך הפגוע.

שאלה 9: אילו העדפות פרוטוקול TCP נדרשות כדי לאפשר פענוח TLS ב- Wireshark?

תשובה: שתי העדפות פרוטוקול TCP נדרשות כדי לאפשר פענוח TLS ב- WirEshark: “אפשר למגזר המשנה להפעיל מחדש זרמי TCP” (מופעל כברירת מחדל) ו”הרכיב מחדש מקטעים מחוץ לסדר “(מושבת כברירת מחדל מאז Wireshark 3 3.0).

שאלה 10: מה המטרה של דיאלוג מקשי RSA ב- Wireshark?

תשובה: תיבת הדו -שיח RSA Keys ב- Wireshark מאפשרת להוסיף מפתחות פרטיים של PEM או PKCS#12 חנויות מפתח לפענוח. זה מספק דרך נוחה להגדיר מפתחות פרטיים של RSA למטרות פענוח.

מה זה https

כדי להגן על אתר הפונה לציבור באמצעות HTTP. SSL.com’S Knowledgebase כולל מדריכים מועילים רבים והאיכות לקביעת תצורה של מגוון רחב של פלטפורמות שרת אינטרנט לתמיכה ב- HTTPS.

אבטחת שכבת תחבורה (TLS)

אבטחת שכבת תחבורה (TLS) מספקת אבטחה בתקשורת בין שני מארחים. זה מספק יושרה, אימות וסודיות. הוא משמש לרוב בדפדפני האינטרנט, אך ניתן להשתמש בו בכל פרוטוקול שמשתמש ב- TCP כשכבת ההובלה.

שכבת שקעים מאובטחים (SSL) היא קודמת פרוטוקול TLS. לרוב משתמשים בשמות אלה להחלפה, דבר שיכול להוביל לבלבול כלשהו:

• תצורה המשתמשת ב פרוטוקול SSL (SSLV2/SSLV3) אינו בטוח. ה פרוטוקול TLS במקום זאת יש להשתמש.
• איקס.509 תעודות לאימות נקראות לפעמים גם תעודות SSL.
• יישומים מסוימים (כגון דוא”ל) משתמשים ביציאה יחידה עבור מפגשים לא מוצפנים ומוצפנים כאחד. להשתנות מבלתי מוצפנים להצפנה, (התחל) TLS משמש. כאשר יציאה יחידה משתמשת ישירות בפרוטוקול TLS, לרוב מכונה אותה SSL.
• מסיבות היסטוריות, תוכנה (Wireshark כלולה) עיין ב- SSL או SSL/TLS בזמן שזה למעשה פירושו פרוטוקול TLS מכיוון שזהו בימינו מה שכולם משתמשים.

תלות פרוטוקול

• TCP: בדרך כלל, TLS משתמש ב- TCP כפרוטוקול ההובלה שלו.

ניתוק TLS ב- Wireshark

Dissector TLS פונקציונלי לחלוטין ואף תומך בתכונות מתקדמות כמו פענוח של TLS אם מסופקים סודות מתאימים (#TLS_DECRYPTION).

מאז Wireshark 3.0, Dissector TLS שונה ל- SSL ל- TLS. השימוש במסנן תצוגת SSL יפלט אזהרה.

פענוח TLS

Wireshark תומך בפענוח TLS כאשר מסופקים סודות מתאימים. שתי השיטות הזמינות הן:

• קובץ יומן המפתח באמצעות סודות לכל מפגש (#שימוש בסוד (טרום) -מאסטר).
• פענוח באמצעות מפתח פרטי RSA.

קובץ יומן מפתח הוא מנגנון אוניברסלי שמאפשר תמיד פענוח, גם אם חילופי מפתח של דיפי-הלמן (DH) נמצאים בשימוש. המפתח הפרטי של RSA עובד רק במספר מוגבל של מקרים.

קובץ יומן המפתח הוא קובץ טקסט שנוצר על ידי יישומים כמו Firefox, Chrome and Curl כאשר משתנה הסביבה SSLKeylogFile מוגדר. ליתר דיוק, הספרייה הבסיסית שלהם (NSS, OpenSSL או BoringsSL) כותבת את הסודות הנדרשים לכל מפגש לקובץ. לאחר מכן ניתן להגדיר קובץ זה ב- Wireshark (#שימוש בסוד (טרום) -מאסטר).

ניתן להשתמש בקובץ המפתח הפרטי של RSA רק בנסיבות הבאות:

• חבילת הצופן שנבחרה על ידי השרת אינה משתמשת (EC) DHE.
• גרסת הפרוטוקול היא SSLV3, (ד) TLS 1.0-1.2. זה עושה לֹא לעבוד עם TLS 1.3.
• המפתח הפרטי תואם את שרת תְעוּדָה. זה לא עובד עם לָקוּחַ תעודה, וגם לא תעודת אישור (CA).
• המפגש לא חוזר. לחיצת היד חייבת לכלול את ClientKeyExchange הודעת לחיצת יד.

בדרך כלל מומלץ קובץ יומן המפתח מכיוון שהוא עובד בכל המקרים, אך דורש את היכולת הרציפה לייצא את הסודות מיישום הלקוח או השרת. היתרון היחיד של המפתח הפרטי של RSA הוא שצריך להגדיר אותו רק פעם אחת ב- Wireshark כדי לאפשר פענוח, בכפוף למגבלות לעיל.

הגדרות העדפה

לך ל לַעֲרוֹך -> העדפות. פתח את ה פרוטוקולים עץ ובחר TLS. לחלופין, בחר מנות TLS ברשימת המנות, לחץ באמצעות לחצן העכבר הימני על TLS שכבה בתצוגת פרטי המנות ופתחו את העדפות פרוטוקול תַפרִיט.

העדפות הפרוטוקול הבולטות של TLS הן:

• (Pre)–קובץ קובץ יומן-סקר (TLS.keylog_file): נתיב לקריאת קובץ יומן המפתח TLS לפענוח.
• רשימת מקשי RSA: פותחת דו -שיח להגדרת תצורת מפתחות פרטיים של RSA לפענוח. הוצא לטובת העדפות ->מקשי RSA דיאלוג.
• מפתח מקדים: משמש להגדרת תצורה של מפתח הפענוח עבור סוויטות צופן PSK. בדרך כלל לא משמש.
• קובץ ניפוי TLS (TLS.DEBUG_LOGFILE): נתיב לכתיבת פרטים פנימיים על תהליך הפענוח. יכיל את תוצאות הפענוח והמפתחות ששימשו בתהליך זה. ניתן להשתמש בזה כדי לאבחן מדוע הפענוח נכשל.

העדפות פרוטוקול TCP הבאות נדרשות גם כדי לאפשר פענוח TLS:

• אפשר לסקטור המשנה להרכיב מחדש זרמי TCP. מופעל כברירת מחדל.
• הרכיבו מחדש קטעים מחוץ לסדר (מאז Wireshark 3.0, מושבת כברירת מחדל).

החל מ- Wireshark 3.0, ניתן למצוא דיאלוג חדש של מקשי RSA לַעֲרוֹך -> העדפות -> מקשי RSA. בדיאלוג זה, השתמש ב הוסף מפתח חדש .. כפתור לבחירת קובץ. תתבקש לקבל סיסמה במידת הצורך. ה הוסף אסימון חדש .. ניתן להשתמש בלחצן כדי להוסיף מפתחות מ- HSM שעשוי לדרוש שימוש הוסף ספק חדש .. לבחירת DLL/.אז קובץ ותצורה ספציפית לספקים נוספת.

קובץ המפתח RSA יכול להיות א PEM פורמט מפתח פרטי או חנות מפתח PKCS#12 (בדרך כלל קובץ עם א .pfx או .סיומת P12). מקש PKCS#12 הוא קובץ בינארי, אך פורמט PEM הוא קובץ טקסט שנראה כך:

-----התחל מפתח פרטי ----- miievgibadanbgkqhkig9w0baqefaascbkgwggskageaoaoibaqdreqzlkveak8b5 trcrbhsi9iywhx8nqc8k4hedrvn7aibqp3bukkdoxprlyvuc7 . Koi8fzl+jhg+p8vtpk5zaiyp ----- סוף מפתח פרטי----- 

הניתוק רשימת מפתחות RSA ניתן להסיר את הדיאלוג בשלב מסוים. כדי להגדיר מפתחות, השתמש ב מקשי RSA במקום זאת דיאלוג. כדי לשנות את הפרוטוקול לנתוני רשת מפועלים, לחץ באמצעות לחצן העכבר הימני על מנות TLS ושימוש לפענח כ לשנות את נוֹכְחִי פרוטוקול עבור יציאת TLS. ה כתובת ה – IP וכן נמל השדות אינם בשימוש.

דוגמה לכידת קובץ

• מזבלה.PCAPNG TLSV1.2 לכידה עם 73 סוויטות צופן, אתה צריך את ה- Premaster הזה.קובץ TXT לפענוח התנועה. (מקושר מ- https: // באגים.Wireshark.org/bugzilla/show_bug.CGI?ID = 9144)
• TLS12-DSB.PCAPNG – TLS 1.2 עקבות עם מפתחות פענוח משובצים. (לכידת בדיקה בעץ המקור Wireshark שנוסף כאן)
• https: // gitlab.com/wireshark/wireshark/ -/עץ/מאסטר/מבחן/לכידות – חבילת המבחן מכילה עקבות TLs שונים.

מסנן תצוגה

ניתן למצוא רשימה מלאה של שדות מסנן תצוגה TLS בהפניה לסינון התצוגה

הצג רק את התנועה מבוססת TLS:

לכידת פילטר

אינך יכול לסנן ישירות פרוטוקולי TLS בזמן הלכידה. עם זאת, אם אתה מכיר את יציאת ה- TCP המשמשת (ראה לעיל), אתה יכול לסנן את זה, למשל באמצעות יציאת TCP 443 .

באמצעות (טרום) -master-secret

סוד המאסטר מאפשר פענוח TLS ב- Wireshark וניתן לספק אותו באמצעות קובץ יומן המפתח. הסוד שלפני האסטר הוא התוצאה מחילופי המפתח וניתן להמיר אותו לסוד מאסטר על ידי Wireshark. ניתן להשיג את הסוד הקדם-אדוני הזה כאשר ניתן להשתמש במפתח פרטי RSA וחילופי מפתח RSA נמצאים בשימוש.

הוראות שלב אחר שלב לפענוח תנועת TLS מ- Chrome או Firefox ב- Wireshark:

1. סגור את הדפדפן לחלוטין (בדוק את מנהל המשימות שלך רק כדי להיות בטוח).
2. הגדר משתנה סביבה sslkeylogfile לנתיב המוחלט של קובץ הניתן לכתיבה.
3. התחל את הדפדפן.
4. ודא שהמיקום משלב 2 נוצר.
5. ב- Wireshark, עבור אל לַעֲרוֹך ->העדפות ->פרוטוקולים ->TLS, ולשנות את (Pre) -MASTER-SECRET SECRET שם קובץ קובץ העדפה לנתיב משלב 2.
6. התחל את לכידת Wireshark.
7. פתח אתר, למשל https: // www.Wireshark.org/
8. בדוק שהנתונים המפענחים נראים לעין. לדוגמה, באמצעות מסנן TLS ו- (HTTP או HTTP2).

ל חלונות, ניתן להגדיר משתנה סביבתי באופן גלובלי כמתואר בהליכה זו, אך זה לא מומלץ מכיוון שקל לשכוח ממנו ועשוי להיות נושא אבטחה מכיוון שהוא מאפשר פענוח של כל תנועת ה- TLS שלך. דרך טובה יותר להגדיר את משתנה הסביבה היא באמצעות קובץ אצווה. צור קובץ start-fx.CMD עם:

@echo OFF SET SSLKEYLOGFILE =%USERPROFILE%\ DESKTOP \ Keylogfile.TXT START FIREFOX 

ל לינוקס, אתה פותח מסוף ואז התחל את הדפדפן עם:

ייצא SSLKEYLOGFILE = $ HOME/DESKTOP/KEYLOGFILE.TXT Firefox 

ל מקוס, אתה פותח מסוף ואז התחל את הדפדפן עם:

ייצא SSLKEYLOGFILE = $ HOME/DESKTOP/KEYLOGFILE.txt פתוח -Firefox 

שנה את נתיב SSLKeylogFile לפי הצורך, והחליף את Firefox ב- Chrome עבור Google Chrome. מנגנון זה כרגע (2019) אינו פועל עבור ספארי, מיקרוסופט אדג ‘ואחרים מאז ספריות ה- TLS שלהם (Microsoft Schannel/Apple SecureTransport) אל תתמוך במנגנון זה. מנגנון זה פועל ליישומים שאינם דפדפני אינטרנט, אך הוא תלוי בספריית TLS המשמשת את היישום.

הערה: גרסאות מבוססות כרום של Edge (גרסה 79+) צריכות לעבוד גם כן.

דוגמאות ליישומים אחרים:

• יישומים המשתמשים ב- OpenSSL יכולים להשתמש ב- GDB או בטריק LD_PRELOAD כדי לחלץ את הסודות. זה כולל פייתון.
  • לקבלת דרך לשרת Apache HTTP באמצעות Libsslkeylog זה.אז ספרייה, ראו את הפוסט הזה.
  • jsslkeylog: http: // jsslkeylog.SourceForge.נֶטוֹ/
  • תמצית-tls-secrets: https: // github.com/neykov/extract-tls-secrets

  לסקר שנערך על יישומי TLS הנתמכים וספריות, ראה גם עמוד 19 של SSL/TLS פענוח של פיטר וו.

  הטמעת סודות פענוח בקובץ pcapng

  מאז Wireshark 3.0 אתה יכול להטמיע את קובץ יומן המפתח TLS ב- PCAPNG קוֹבֶץ. זה מקל הרבה יותר על הפצת קבצי לכידה עם סודות פענוח, והופך את המעבר בין קבצי לכידה לקלים יותר מכיוון שאין לעדכן את העדפת פרוטוקול TLS. כדי להוסיף את התוכן של מפתחות קובץ יומן המפתח.txt כדי ללכוד קובץ.PCAP וכתוב את התוצאה ל- Out-DSB.PCAPNG:

  EditCap-Secrets-Secrets, מפתחות.txt in.PCAP OUT-DSB.PCAPNG

  ה DSB סיומת מייצגת חסימת סודות פענוח (DSB) והיא חלק ממפרט ה- PCAPNG.

  קובץ יומן מפתח עשוי להכיל מפתחות שאינם קשורים לקובץ לכידה. כדי להבטיח שמפתחות מיותרים לא יודלפו, אתה יכול להשתמש בספרי הזרקה-TLS.תסריט PY מ- https: // gist.Github.com/lekensteyn/f64ba6d6d2c6229d6ec4446477979ea24 כדי לסנן את קובץ יומן המפתח ולהוסיף את הסודות הנדרשים לקובץ Capture. סקריפט הקליפה נבדק עם לינוקס ומקוס, אך גרסת Python 3 זמינה גם לכל הפלטפורמות כולל Windows. דוגמא:

  Git Clone https: // gist.Github.com/lekensteyn/f64ba6d6d2c6229d6ec444647979ea24 ~/it.מפתחות PY.טקסט כמה.PCAP 

  ראה גם

  כמה פרוטוקולים אחרים נגזרים מ- TLS. זה כולל:

  • DTLS מבוסס על תקן TLS ופועל על גבי UDP כפרוטוקול תובלה.
  • Quic הוא פרוטוקול בפיתוח המשתמש ב- TLS לצורך הצפנתו, ניתן לעקוב אחר סטטוס Wireshark בכתובת https: // github.com/quicwg/בסיס בסיס/וויקי/כלים#wireshark.

  קישורים חיצוניים

  • https: // en.ויקיפדיה.org/wiki/transport_layer_security wikipedia מאמר עבור TLS
  • https: // sharkfesteurope.Wireshark.org/נכסים/מצגות 16EU/07.PDFSharkFest’16 מצגת האיחוד.BE/ODADY9QCNXK)
  • https: // lekensteyn.NL/קבצים/Wireshark-SSL-TLS-DREPTION-SECRES-SHARKFEST18EU.PDFSharkFest’18 מצגת האיחוד.להיות/bwjebwgoebg)
  • https: // lekensteyn.NL/קבצים/wireshark-tls-debugging-sharkfest19us.pdfsharkfest’19 הצגת ארה”ב מאת פיטר וו המתאר את פענוח TLS ושימוש בסודות פענוח משובצים (https: // youtu.להיות/ha4slhcef6w).
  • איך פועלים SSL/TLS? – חילופי ערימה לאבטחת מידע
  • SSL נטול מפתח: הפרטים הטכניים הנאמנים עם מבוא טוב ב- TLS
  • PolarProxy מ- Netresec הוא פרוקסי SSL/TLS שקוף שנוצר עבור מגיבים ואירועים וחוקרי תוכנות זדוניות שנועדו בעיקר ליירט ולפענח תנועה מוצפנת של TLS מתוכנות זדוניות. פולרפרוקסי מפענח ומצביש מחדש את התנועה TLS, תוך שמירה גם על התנועה המפוצלת בקובץ PCAP שניתן לטעון ל- Wireshark או למערכת גילוי חדירה (IDS).

  מה זה https?

  HTTPS (Protocol Protocol Protocol Hypertext) היא גרסה מאובטחת של פרוטוקול HTTP המשתמש בפרוטוקול SSL/TLS לצורך הצפנה ואימות. HTTPS מוגדר על ידי RFC 2818 (מאי 2000) ומשתמש ביציאה 443 כברירת מחדל במקום HTTP’S יציאה 80.

  פרוטוקול HTTPS מאפשר למשתמשים באתר להעביר נתונים רגישים כגון מספרי כרטיסי אשראי, מידע בנקאי ותעודות כניסה באופן מאובטח באינטרנט. מסיבה זו, HTTPS חשוב במיוחד לאבטחת פעילויות מקוונות כמו קניות, בנקאות ועבודה מרחוק. עם זאת, HTTPS הופך במהרה לפרוטוקול הסטנדרטי עבור את כל אתרים, בין אם הם מחליפים נתונים רגישים עם משתמשים ובין אם לא.

  במה שונה https מ- http?

  HTTPS מוסיף הצפנה, אימות, וכן יושרה לפרוטוקול HTTP:

  הצפנה: מכיוון ש- HTTP תוכנן במקור כפרוטוקול טקסט ברור, הוא חשוף לצותת ואדם בהתקפות האמצעיות. על ידי הכללת הצפנת SSL/TLS, HTTP. באמצעות קריפטוגרפיה של מפתח ציבורי ולחיצת היד של SSL/TLS, ניתן להקים מאובטחת מושב תקשורת מוצפן בין שני מפלגות שמעולם לא נפגשו באופן אישי (ה.ז. שרת אינטרנט ודפדפן) באמצעות יצירת מפתח סודי משותף.

  אימות: שלא כמו HTTP, HTTPS כולל אימות חזק באמצעות פרוטוקול SSL/TLS. אתר’תעודת S SSL/TLS כוללת א מפתח ציבורי שדפדפן אינטרנט יכול להשתמש כדי לאשר כי מסמכים שנשלחו על ידי השרת (כגון דפי HTML) נחתמו דיגיטלית על ידי מישהו שברשותו המתאימים מפתח פרטי. אם השרת’תעודת S נחתמה על ידי רשות תעודה מהימנה בפומבי (CA), כגון SSL.com, הדפדפן יקבל כי כל מידע מזהה הכלול בתעודה אושר על ידי צד שלישי מהימן.

  ניתן להגדיר גם אתרי HTTPS אימות הדדי, בו דפדפן אינטרנט מציג תעודת לקוח המזהה את המשתמש. אימות הדדי מועיל למצבים כמו עבודה מרחוק, כאשר רצוי לכלול אימות רב-גורמי, הפחתת הסיכון לדיוג או התקפות אחרות הכרוכות בגניבת אישורים. למידע נוסף על קביעת תצורה של אישורי לקוח בדפדפני אינטרנט, אנא קרא את ההדרכה הזו.

  יושרה: כל מסמך (כגון דף אינטרנט, תמונה או קובץ JavaScript) שנשלח לדפדפן על ידי שרת אינטרנט של HTTP. השרת מחשב חשיש קריפטוגרפי של המסמך’תוכן S, הכלול בתעודה הדיגיטלית שלו, שהדפדפן יכול לחשב באופן עצמאי כדי להוכיח שהמסמך’היושרה שלמה היא שלמה.

  ביחד, ערבויות אלה להצפנה, אימות ויושרה הופכות את HTTP הַרבֵּה פרוטוקול בטוח יותר לגלישה וניהול עסקים באינטרנט מאשר HTTP.

  איזה מידע מספק HTTPS למשתמשים על בעלי אתרים?

  CAS השתמש בשלוש שיטות אימות בסיסיות בעת הנפקת אישורים דיגיטליים. שיטת האימות המשמשת קובעת את המידע שייכלל באתר’תעודת SSL/TLS:

  • • אימות דומיין (DV) פשוט מאשר כי שם הדומיין המכוסה בתעודה הוא בשליטת הגורם שביקש את האישור.
  • • ארגון / אימות פרטני (OV / IV) האישורים כוללים את השם המאומת של עסק או ארגון אחר (OV), או אדם בודד (IV).
  • • אימות מורחב (EV) אישורים מייצגים את הסטנדרט הגבוה ביותר באמון האינטרנט, ומחייבים את המאמץ הגדול ביותר על ידי ה- CA לאמת. תעודות EV מונפקות רק לעסקים ולארגונים רשומים אחרים, ולא ליחידים, וכוללים את השם המאומת של אותו ארגון.

  למידע נוסף על הצגת תוכן אתר’S תעודה דיגיטלית, אנא קרא את המאמר שלנו, כיצד אוכל לבדוק אם אתר מנוהל על ידי עסק לגיטימי?

  מדוע להשתמש ב- HTTPS?

  ישנן מספר סיבות טובות להשתמש ב- HTTPS באתר האינטרנט שלך, ולהתעקש על HTTPS בעת גלישה, קניות ועבודה באינטרנט כמשתמש:

  יושרה ואימות: באמצעות הצפנה ואימות, HTTPS מגן על שלמות התקשורת בין אתר אינטרנט למשתמש’דפדפנים. המשתמשים שלך יידעו שהנתונים שנשלחו משרת האינטרנט שלך לא יורטו ו/או השתנו על ידי צד שלישי במעבר. ואם אתה’ve עשו את ההשקעה הנוספת בתעודות EV או OV, הם גם יוכלו לדעת שהמידע באמת הגיע מהעסק או הארגון שלך.

  פְּרָטִיוּת: כמובן שאף אחד לא רוצה שפורצים לגייס את מספרי כרטיסי האשראי והסיסמאות שלהם בזמן שהם קונים או בנקים מקוונים, ו- HTTPS נהדר למניעה זאת. אבל האם אתה בֶּאֱמֶת רוצה שכל השאר שאתה רואה ועושה באינטרנט יהיה ספר פתוח לכל מי שמרגיש כמו חטטנות (כולל ממשלות, מעסיקים או מישהו שבונה פרופיל כדי לבטל את האנונימיות את הפעילויות המקוונות שלך)? HTTPS ממלאת גם כאן תפקיד חשוב.

  חוויית משתמש: שינויים אחרונים בממשק המשתמש של הדפדפן הביאו לאתרי HTTP שסומנו כבלתי בטוחים. האם אתה רוצה את הלקוחות שלך’ דפדפנים יגידו להם שהאתר שלך הוא “לא מאובטח” או להראות להם מנעול חוצה כאשר הם מבקרים בו? ברור שלא!

  תְאִימוּת: שינויי הדפדפן הנוכחיים דוחפים את HTTP קרוב יותר לאי התאמה. Mozilla Firefox הודיעה לאחרונה על מצב HTTPS אופציונלי בלבד, בעוד שגוגל כרום עוברת בהתמדה לחסום תוכן מעורב (משאבי HTTP המקושרים לדפי HTTPS). כאשר הם נראים יחד עם אזהרות דפדפן של “חוסר ביטחון” עבור אתרי HTTP, זה’קל לראות שהכתיבה נמצאת על הקיר עבור http. בשנת 2020, כל הדפדפנים הגדולים והמכשירים הניידים הנוכחיים תומכים ב- HTTPS, כך שניצחתם’לא לאבד משתמשים על ידי מעבר מ- HTTP.

  SEO: מנועי חיפוש (כולל גוגל) משתמשים ב- HTTPS כאות דירוג בעת יצירת תוצאות חיפוש. לכן, בעלי אתרים יכולים לקבל דחיפה קלה של SEO רק על ידי קביעת תצורת שרתי האינטרנט שלהם לשימוש ב- HTTPS ולא ב- HTTP.

  בקיצור, אין עוד סיבות טובות לאתרים ציבוריים להמשיך ולתמוך ב- HTTP. אפילו ממשלת ארצות הברית נמצאת על סיפונה!

  איך HTTPS עובד?

  HTTPS מוסיף הצפנה לפרוטוקול HTTP על ידי עטיפת HTTP בפרוטוקול SSL/TLS (וזו הסיבה ש- SSL נקרא פרוטוקול מנהרה), כך שכל ההודעות מוצפנות בשני הכיוונים בין שני מחשבים ברשת (E.ז. לקוח ושרת אינטרנט). למרות שמזותת עדיין יכולה לגשת לכתובות IP, מספרי יציאה, שמות דומיין, כמות המידע שהוחלפה ומשך ההפעלה, כל הנתונים שהוחלפו בפועל מוצפנים היטב על ידי SSL/TLS, כולל:

  • • בקש כתובת אתר (איזה דף אינטרנט התבקש על ידי הלקוח)
  • • תוכן אתר
  • • פרמטרי שאילתה
  • • כותרות
  • • עוגיות

  HTTPS משתמש גם בפרוטוקול SSL/TLS עבור אימות. SSL/TLS משתמש במסמכים דיגיטליים המכונה איקס.509 תעודות לקשור קריפטוגרפיה זוגות מפתח לזהות ישויות כמו אתרים, יחידים וחברות. כל זוג מפתח כולל א מפתח פרטי, שנשמר מאובטח, ו מפתח ציבורי, שניתן לחלק באופן נרחב. כל מי שיש לו המפתח הציבורי יכול להשתמש בו כדי:

  • שלח הודעה שרק בעל המפתח הפרטי יכול לפענח.
  • אשר כי הודעה נחתמה דיגיטלית על ידי המפתח הפרטי המתאים לה.

  אם האישור שהוצג על ידי אתר HTTPS נחתם על ידי אמון בפומבי רשות תעודות (CA), כמו SSL.com, ניתן להבטיח למשתמשים כי זהות האתר אושרה על ידי צד שלישי מהימן ומבוקר בקפדנות.

  מה קורה אם האתר שלי לא’לא השתמש ב- https?

  בשנת 2020 אתרים שאינם משתמשים ב- HTTP. יתר על כן, אתרים אלה פוגעים שלא לצורך במשתמשים שלהם’ פרטיות ואבטחה, ואינם מועדפים על ידי אלגוריתמי מנועי חיפוש. לכן, אתרי HTTP ואתרי תוכן מעורבים יכולים לצפות עוד אזהרות ושגיאות של דפדפן, הורד את אמון המשתמש וכן SEO עני יותר מאשר אם הם היו מאפשרים https.

  כיצד אוכל לדעת אם אתר משתמש ב- HTTPS?

  

  כתובת כתובת https מתחילה עם https: // במקום http: // . דפדפני האינטרנט המודרניים מצביעים גם על כך שמשתמש מבקר באתר HTTPS מאובטח על ידי הצגת סמל מנעול סגור משמאל לכתובת האתר:

  בדפדפנים מודרניים כמו Chrome, Firefox ו- Safari, המשתמשים יכולים לחץ על המנעול כדי לבדוק אם אתר https’תעודה דיגיטלית כוללת זיהוי מידע על בעליו.

  כיצד אוכל לאפשר HTTPS באתר שלי?

  כדי להגן על אתר הפונה לציבור באמצעות HTTP. SSL.com’S Knowledgebase כולל מדריכים מועילים רבים והאיכות לקביעת תצורה של מגוון רחב של פלטפורמות שרת אינטרנט לתמיכה ב- HTTPS.

  לקבלת מדריכים כלליים נוספים לתצורת שרת HTTP ופתרון בעיות, אנא קרא שיטות עבודה מומלצות ל- SSL/TLS לשנת 2020 ופתרון בעיות שגיאות ואזהרות של דפדפן SSL/TLS.

  תודה שביקרת ב- SSL.com! אם יש לך שאלות לגבי הזמנה והתקנת תעודות SSL/TLS, אנא צור קשר עם צוות התמיכה שלנו 24/7 באמצעות דוא”ל ב- [email protected], בטלפון בטלפון 1-877-SSL-SECURE, או פשוט על ידי לחיצה על קישור הצ’אט בפינה השמאלית התחתונה של דף אינטרנט זה.

  האם HTTPS משתמש ב- TLS?

  Б эой сранице

  Ы зé. С помדיר. Почем эо мого?

  Эа сраница о бображае тех сах, кога воматеשיים си сисלוח рmе рגות р רבות ш רבות р р рוהים р рוהים которые нé. Сраница пересанет ообрוחים. До эого момента д.

  Исочником запросов может сmжж вредоносfte по, подаееые моди базלוח нилm mчnзnзnчnчnчnчnчnчnчnчnчnчnчnчnчnчnчзדי ы з запросов. Еи ы иололalty ощий дדיר. O. Подробнרבה.

  Проверка по сов может тelte пояяе, еи ы водите сדיר еами, или же водите запроы ченн часо.

  מהי תעודת TLS/SSL, ואיך זה עובד?

  בכל פעם שאתה שולח או מקבל מידע באינטרנט, הוא עובר ברשת של מספר מחשבים כדי להגיע ליעד. מבחינה היסטורית, כל אחד מהמחשבים הללו יכול לקרוא את הנתונים שלך, מכיוון שהם לא היו מוצפנים.

  חלק גדול מהנתונים האלה די רגיש – ובעלות ערך להאקרים. זה יכול לכלול תקשורת פרטית שאינם מוצפנים מקצה לקצה (חלון חדש), מידע פיננסי, וליישומי אינטרנט שאינם’t השתמש בפרוטוקול הסיסמה המרוחק המאובטח (חלון חדש), אפילו בתעודות כניסה.

  כדי להגן על נתונים רגישים, מומחי אבטחה פיתחו פרוטוקול סטנדרטי חדש כדי לשלוח ולקבל תנועה באינטרנט: אבטחת שכבת תחבורה (TLS). קדמו לכך שכבת השקעים המאובטחים (SSL), אך כעת הוחלף ברובו על ידי TLS.

  במאמר זה, אנחנו’אני מכסה את המושגים הבסיסיים שמאחורי תעודות TLS ו- TLS. אתה יכול גם לדלג על החלקים השונים:

  1. מה זה TLS?
  2. מהי תעודת TLS?
  3. איך עובד תעודת TLS?
  4. מהן החולשות של תעודת TLS?
  5. מדוע לסמוך על רשויות אישור?
  6. אמצעי אבטחה נוספים שננקטו על ידי Proton Mail

  מה זה TLS?

  לפני שאנחנו מתעמקים יותר מהי תעודת TLS או איך זה עובד, עליך להבין קצת מהטכנולוגיה הבסיסית.

  אבטחת שכבות הובלה היא פרוטוקול שמבסס מפגש מוצפן בין שני מחשבים באינטרנט. זה מוודא את זהות השרת ומונעת מהאקרים ליירט נתונים כלשהם.

  TLS (וקודמו SSL) מאפשר למשתמשים להעביר באופן מאובטח נתונים רגישים בעת שימוש בפרוטוקול HTTPS (חלון חדש) . במילים אחרות, HTTPS הוא HTTP בשכבה על גבי TLS. טכנולוגיה זו אידיאלית ליישומים כמו בנקאות, אימות מידע, החלפת דוא”ל וכל נוהל אחר הדורש רמה גבוהה יותר של פרטיות ואבטחה. TLS עוזר לספק שכבה משופרת של הגנה על ידי הצפנת הנתונים הקריאים אחרת, מה שמקשה על האקרים להשיג מידע פרטי.

  

  מסגרת זו מספקת פרטיות בין נקודות הקצה השונות של העברת נתונים ומבטיחה את הנתונים’יושרה. הוא משתמש גם בתעודות דיגיטליות כדי לעזור לאמת את האותנטיות של השרתים. תעודות אלה מכונות בדרך כלל תעודות TLS.

  אימות תעודות אלה מתרחש באמצעות קריפטוגרפיה של מפתח ציבורי. זה מבוסס על זוגות מפתח המורכבים ממפתח ציבורי ומפתח פרטי. פענוח הנתונים המוצפנים יכול לקרות רק כאשר קיימים המפתח הציבורי וגם המפתח הפרטי. תעודות TLS משתמשות באימות מפתח ציבורי כדי לעזור לוודא שהנתונים ניגשים למקבל המיועד.

  מהי תעודת TLS?

  תעודות דיגיטליות, המכונות גם תעודות זהות או תעודות מפתח ציבורי, הן קבצים דיגיטליים המשמשים לאישור הבעלות על מפתח ציבורי. תעודות TLS הן סוג של תעודה דיגיטלית, המונפקת על ידי רשות תעודות (CA). ה- CA חותם על האישור, ומאשר כי הם אימתו שהיא שייכת לבעלי שם הדומיין שהוא נושא האישור.

  תעודות TLS בדרך כלל מכילות את המידע הבא:

  • שם הדומיין הנושא
  • ארגון הנושאים
  • שם ההנפקה CA
  • שמות תחום נושא נוספים או חלופיים, כולל תת -דומיינים, אם בכלל
  • תאריך הוצאה
  • תאריך תפוגה
  • המפתח הציבורי (המפתח הפרטי, לעומת זאת, הוא סוד.)
  • החתימה הדיגיטלית של ה- CA

  איך עובד תעודת TLS?

  כאשר משתמש מנסה להתחבר לשרת, השרת שולח להם את תעודת ה- TLS שלו.

  לאחר מכן המשתמש מאמת את השרת’S אישור באמצעות תעודות CA שנמצאות במשתמש’מכשיר S כדי ליצור חיבור מאובטח. תהליך אימות זה משתמש בקריפטוגרפיה של מפתח ציבורי, כגון RSA או ECC, כדי להוכיח כי CA חתמה על האישור. כל עוד אתה סומך על CA, זה מדגים שאתה מתקשר עם תעודת השרת’הנושא (ה.ז., פרוטון דואר.com).

  אז האם זה אומר שהוא מאובטח ב 100% ומוכני טיפש? ובכן, לא תמיד.

  מהן החולשות של תעודות TLS?

  למרות שתעודות TLS בדרך כלל מאובטחות, ישנן דרכים שהאקרים יכולים לתקוף ולהתפשר על TLS פוטנציאלית. אלו כוללים:

  הרעלת חנויות תעודות

  אם תוקף מדביק מחשב עם תוכנה זדונית, הם יכולים לקבל גישה לתעודות הדיגיטליות המאוחסנות במכשיר זה ולהכניס תעודת שורש. זה, יחד עם היכולת להגיב במרמה למשתמש זה’בקשות אתר האינטרנט, יאפשרו להם להתחזות לאתר, ובכך יאפשרו להם לקרוא את כל הנתונים שנשלחו אליו.

  תקיפת CAS ישירות

  כדי שהסמכת TLS תעבוד, על ה- CA להיות מאובטח. כל הפרה של ה- CA יכולה להוביל לאישור השגוי או הונאה של מפתחות. זה קרה מדי פעם בעבר, כאשר קומודו ודיגינוטר (חלון חדש) היו דוגמאות בעלות פרופיל גבוה יחסית.

  תעודות שהונפקו בטעות

  משתמשים מסתמכים על CAS כדי לאמת את השרת אליו הם מתחברים. עם זאת, לפעמים יש בעיה עם תעודה המציגה פגיעות שהאקרים יכולים לנצל. בשילוב עם חיבור לאינטרנט חסר ביטחון, תוקף יכול להשתמש בתעודה שהונפקה לא נכון כדי לפגוע בחיבור שלך עם שרת.

  אם כל הנושאים הללו קיימים, האם זה נכון לסמוך על CAS בעיוורון? אמון, כן. בעיוורון, לא.

  מדוע לסמוך על רשויות אישור?

  מכיוון שהסוכנים האחראים לוודא שהנתונים שקיבלת הגיעו מהשרת שציפיתם ולא הוחלפו בדרך, CAS ממלאים תפקיד חשוב באינטרנט המודרני. על ידי הנפקת מיליוני תעודות דיגיטליות מדי שנה, הם עמוד השדרה של תקשורת אינטרנט מאובטחת, ועוזרים להצפין מיליארדי חילופי נתונים ועסקאות.

  ההגדרה הפיזית של CA ידועה בשם תשתית המפתח הציבורית שלה (PKI). PKI מורכב מאלמנטים תפעוליים מרובים, כולל חומרה, תוכנה, תשתיות אבטחה, כוח אדם, מסגרות מדיניות, מערכות ביקורת והצהרות תרגול, שכולן תורמות להבטיח כי תהליך אימות תעודת TLS אמין.

  מודל האמון של ה- PKI מסתמך על שני אלמנטים עיקריים: תעודות שורש (המכונות גם שורשים מהימנים) והשרת’אישור S. כל תעודות שהונפקו על ידי CA יאמינו אוטומטית על ידי הדפדפן שלך, בתנאי שה- CA’S ROOT Arpificate מותקן בחנות האישורים של המכשיר שלך. לכל מכשיר יש חנות תעודות, שהיא אוסף מקומי של תעודות שורש מ- CAS מהימן.

  אמצעי אבטחה נוספים שננקטו על ידי Proton Mail

  אמנם נכון ששיטות הצפנה מבוססות CAS ו- TLS הן יחסית מאובטחות, שם’תמיד מרחב לשיפור.

  כאן ב- Proton, העברת פרטיות ואבטחה משופרת היא המטרה העיקרית שלנו. אנו משתמשים במדדים נוספים כדי לקבוע חיבורים מאובטחים ואמינים. להלן כמה מהצעדים שאנו נוקטים.

  הרשאת רשות תעודת DNS (CAA)

  עוד בשנת 2011, כשיצאו חדשות לגבי תעודות שהונפקו בטעות, נוצרו צורך במנגנוני אבטחה משופרים. אחת התוצאות של הצורך הזה היא DNS CAA, החוסמת את הנפקת תעודות שגויות.

  השימוש ברשומת משאבים של DNS מאפשר לבעלי דומיין להחליט אילו CAS רשאים להנפיק תעודות לתחום נתון. אם קיים רשומת CAA, רק ה- CAS המופיעים ברשומה זו יכולים להנפיק את המארח’אישור S.

  למרות שזה מספק הגנה מסוימת מפני שימוש לרעה של תעודה לא מכוונת, קשה מאוד למשתמשים לגלות אם CA מתעלם מהייעוץ של CAA. זו הסיבה ששקיפות תעודה נחוצה.

  שקיפות תעודה

  כדי להבטיח את תקפותם של תעודות ולמנוע הנחיות שגויות, כל ה- CAS מפרסמים את האישורים שהם יצרו בשרתי יומן ציבוריים, המכונה יומני שקיפות תעודות (CT). שרתים אלה שולחים חתימה ל- CA, ומבטיחים לפרסם את תעודתם.

  אנו משרתים כותרת מצפה- CT, שאומרת לדפדפן לדרוש נוכחות של חתימה זו. יש לנו גם שרתי ניטור וביקורת הבודקים את יומן ה- CT עבור כל התעודות המובטחות שנועדו להתפרסם.

  יחד, כל האמצעים הללו הופכים את זה לבלתי סביר מאוד לכל אחד, כולל שחקן מדינה, לייצר תעודת TLS לפרוטון.אותי ולהשתמש בזה כדי ליירט חיבורים מבלי להתגלות.

  הצמדת תעודת TLS

  הצמדת תעודה היא תהליך המקשר בין שירות למפתח הציבורי הספציפי שלהם. לאחר שתוקם תעודה לשירות מסוים, הוא מוצמד לצמיתות לשירות. אם ישנם מספר תעודות תקפות לשירות נתון, הסיכות ממוזגות לכנסת. כדי לאמת אמצע, לפחות אלמנט אחד מהשירות חייב להתאים לאלמנטים ב- PinSET. אנו מצמידים את המפתח הציבורי של התעודות שלנו בכל האפליקציות המקוריות שלנו.

  המשימה שלנו היא לבנות אינטרנט בטוח יותר, ולהודיע ​​על אופן ההגנה על הנתונים שלך יכולים להעצים אותך לקבל החלטות טובות יותר לגבי השירותים שאתה משתמש בהם. אם יש לך שאלות או הערות נוספות לגבי תעודות TLS או כיצד אנו משתמשים בהן, יידע אותנו במדיה החברתית בטוויטר (חלון חדש) או reddit (חלון חדש) .

  כל טוב,
  צוות הדואר הפרוטון

  אנו מספקים גם א שירות VPN בחינם (חלון חדש) כדי להגן על פרטיותך. Proton Mail ו- Proton VPN (חלון חדש) ממומנים על ידי תרומות קהילתיות. אם תרצה לתמוך במאמצי הפיתוח שלנו, אתה יכול לשדרג ל תוכנית בתשלום (חלון חדש) אוֹ לִתְרוֹם (חלון חדש) . תודה על תמיכתך.

  אל תהסס לשתף אותנו במשוב ואת השאלות שלך דרך ערוצי המדיה החברתית הרשמית שלנו בטוויטר (חלון חדש) ו- Reddit (חלון חדש) .