Kompletny przewodnik dla początkujących dotyczący szyfrowania SSL

Obraz HTTPS
Nadążanie za hakowaniem, wyłudzaniem informacji, złośliwym oprogramowaniem, wirusami i wszelkimi innymi formami nieuczciwych działań w Internecie to wielka sprawa. Przewiduje się, że do roku 2020 branża bezpieczeństwa cybernetycznego osiągnie 170 miliardów dolarów. Wzrost ten jest w zasadzie zbliżony do wzrostu liczby cyberprzestępstw, branży, która jest odpowiedzialna za straty około 450 miliardów dolarów rocznie. W jaki sposób przeciętny użytkownik Internetu i zwykła przeglądarka pozostają bezpieczni wśród „serii lamp”? Jedną skuteczną metodą jest zarówno zrozumienie, jak i aktywne korzystanie ze stron internetowych z szyfrowaniem Secure Socket Layer (SSL).


SSL w mniej niż 100 słowach

Bezpieczne szyfrowanie warstwy gniazd jest standardem szyfrowania wysokiego poziomu, który wykorzystuje kombinację algorytmów kluczy asymetrycznych i symetrycznych. Oznacza to, że oprócz asymetrycznego klucza publicznego, używane klucze kryptograficzne są unikalne za każdym razem, gdy nawiązywane jest połączenie między dwoma komputerami. Certyfikaty SSL wykorzystują asymetryczny klucz publiczny (serwer strony) i klucz prywatny (przeglądarka użytkownika), które współpracują ze sobą w celu uwierzytelnienia danych i zabezpieczenia ich. Po utworzeniu wstępnego „uzgadniania” protokół SSL łączy oba komputery za pomocą szyfru, który stale szyfruje i monitoruje przesyłanie danych, sprawdzając, czy dane są zarówno bezpieczne, jak i niezmienione.

Krótki podkład na temat szyfrowania (dla Greenhornsów bezpieczeństwa)

Jeśli jesteś bardziej profesjonalistą, możesz iść od razu. Jeśli jednak cała ta rozmowa na temat SSL i bezpieczeństwa sieci wydaje się nieco przesadna, podzielmy się tym, o czym mówimy, abyś poczuł się trochę mniej zdezorientowany.

Wszystkie informacje są danymi

To może już wiesz. Na najbardziej podstawowym poziomie wszystko, co wysyłasz i odbierasz online, to na podstawowym poziomie zakodowane dane. Nawet słowa, które teraz czytasz na stronie, są tłumaczone przez przeglądarkę na czytelny, bardziej atrakcyjny wizualnie format. W rzeczywistości nie chciałbyś czytać, jak wyglądają te dane, ponieważ postrzegałbyś to jako zbiór liter i cyfr, które nie mają żadnego nieprzetłumaczonego znaczenia.

Oto na przykład migawka z Uniwersytetu w Miami na temat tego, jak może wyglądać adres e-mail w czystej formie danych:

U Miami kod SSL

Trudno byłoby zrozumieć dane w stanie przejściowym. Ale twoja przeglądarka przekształca te dane w czytelną formę - w tym przypadku jako adres e-mail.

Pakiety danych

W większości przypadków wszystkie komputery mówią tymi samymi językami. Tak więc, gdy dwa komputery łączą się ze sobą przez sieć i zaczynają wysyłać dane w wyżej wymienionym języku kodowanym lub jednym z wielu innych języków kodu, mogą po przetłumaczeniu przetłumaczyć ten język na bardziej czytelny format. Wszystkie te dane nie są jednak traktowane jako jeden ciągły strumień, ale są dzielone na mniejsze pakiety wysyłane szybko. Pakiety danych zwykle istnieją w następującej formie:

  • Nagłówek zawierające informacje, takie jak adres IP nadawcy i odbiorcy, numer protokołu sieciowego i inne przydatne informacje
  • Ładunek, który jest faktycznym pakietem danych, które mają zostać odebrane i przetłumaczone
  • Zwiastun, co wskazuje, że pakiet się zakończył i pomaga naprawić wszelkie błędy, które mogły wystąpić podczas procesu wysyłania

Większość sieci faktycznie ma limit ilości danych, które każdy pakiet może zawierać. Oznacza to, że ilość ładunku może się różnić, co również wpłynie na czas przesyłania danych. Ponieważ dane mogą zostać przechwycone lub skradzione po drodze, o ile ktoś ma komputer, który może tłumaczyć dane w pakietach (prawie każdy, naprawdę), dane muszą zostać zaszyfrowane przed wysłaniem, a następnie dekodowane po ich otrzymaniu

Szyfrowanie danych

Ponieważ każdy komputer może tłumaczyć dane przekazywane przez sieci, a także z powodu podatności w sieciach, które nie są chronione, istnieje szyfrowanie, aby upewnić się, że pakiety danych są faktycznie niemożliwe do przetłumaczenia. Oto jak działa to szyfrowanie.

Całe szyfrowanie pochodzi z kryptografii, badania nad wysyłaniem wiadomości w kodowanych wiadomościach. Kryptografia była znana z wielu części historii w ciągu ostatnich kilku dziesięcioleci, zwłaszcza w czasie II wojny światowej, kiedy zarówno siły aliantów, jak i państw Osi zintensyfikowały wysiłki w celu wysyłania i kodowania wiadomości za pośrednictwem publicznych fal radiowych.

W dzisiejszych czasach kryptografia jest częściej stosowana przez szyfrowanie sieciowe. Dzięki szyfrowaniu dane są szyfrowane przed przejściem przez sieć i do strony odbierającej. Dla każdego, kto się wtargnie, dane, które kiedyś można przetłumaczyć, wyglądałyby po prostu bzdury.

Kryptograficzne funkcje skrótu

Jak to się dzieje, że dane zostają zakodowane? Złożone algorytmy przebiegające przez kryptograficzne funkcje skrótu. Funkcje te zasadniczo pobierają dowolne dane o dowolnym rozmiarze i przekształcają je w zakodowaną funkcję o określonym rozmiarze. Oto przykład tego, jak może to wyglądać:

Funkcje skrótu

Dane są wprowadzane do funkcji skrótu, która następnie przekształca ją w ciąg bitów, jak pokazano powyżej. Jak widać, różne dane wejściowe są tłumaczone na ciąg bitów o tym samym rozmiarze, niezależnie od danych wejściowych. Ma to na celu utrudnienie ataków siłowych (takich, w których ktoś próbuje odgadnąć zakodowane dane, próbując odgadnąć wszystkie możliwe rozwiązania). W przypadku SSL i innych współczesnych standardów szyfrowania brutalna siła jest niemożliwa ze względu na dużą liczbę możliwości. Co prowadzi nas do następnego tematu.

Rozmiar bitu szyfrowania

Gdy dane są szyfrowane, z góry określony rozmiar ciągu bitów jest najważniejszym czynnikiem zapobiegającym atakom siłowym. Im dłuższy rozmiar ciągu bitowego, tym trudniej odgadnąć każdą możliwą kombinację do dekodowania ciągu. Jako całość przetrawione dane nazywane są „kluczem”, a siła tego klucza jest częściowo mierzona w liczbie zawartych w nim bitów.

Dlaczego więc nie stworzyć klucza, który ma, powiedzmy, milion bitów? Odpowiedzią jest moc obliczeniowa i czas. Im większy klucz bitowy, tym więcej czasu i mocy obliczeniowej komputer potrzebuje do skutecznego odszyfrowania wiadomości po stronie odbierającej. SSL faktycznie używa różnych rozmiarów kluczy do różnych celów i na podstawie aktualności samego urządzenia.

W przypadku wstępnego uzgadniania (czyli sprawdzania, czy maszyna odbierająca jest właściwym odbiorcą), używany jest znacznie większy 2048-bitowy klucz RSA. Dane w tym kluczu są małe, ale są wykorzystywane tylko do weryfikacji tej wymiany danych. Po wzajemnej weryfikacji systemów SSL przechodzi do kluczy 128, 192 lub 256-bitowych.

Rozmiar klucza bitu szyfrowania
Czy kluczowe rozmiary są ważne? Oczywiście. Im większy rozmiar klucza, tym więcej potencjalnych kombinacji. Niemniej jednak, nawet mniejszy 128-bitowy rozmiar klucza jest niezwykle trudny do złamania za pomocą ataku brutalnej siły, biorąc pod uwagę dużą liczbę potencjalnych kombinacji. Przy obecnej mocy obliczeniowej możliwe byłoby złamanie 128-bitowego klucza, ale może to potrwać milion lat. To powiedziawszy, największym problemem w obliczeniach w tej chwili jest to, jak obliczenia kwantowe ułatwią łamanie kluczy SSL, co wymaga rozszerzenia ich rozmiarów. Ale ta technologia nie będzie wkrótce dostępna.

Szyfrowanie w pigułce

Podsumowując, szyfrowanie wykonuje wszystkie następujące czynności:

  • Szyfruje dane, zanim zostaną przesłane przez sieć
  • Blokuje te dane za pomocą prawie nie do złamania (na razie) algorytm mieszania
  • Transportuje te dane bezpiecznie podczas transmisji, zapobiegając szpiegowaniu
  • Pozwala tylko na otrzymywanie danych przez zabezpieczoną stronę i deszyfrowanie ich po otrzymaniu

Jakie są zalety protokołu SSL?

Szyfrowanie SSL ma 2 kluczowe zalety:

  • Zabezpiecza przesyłanie danych między komputerem a serwerami witryny za pomocą silnego szyfrowania
  • Zapewnia weryfikację, czy witryna ma zaktualizowany i uwierzytelniony certyfikat bezpieczeństwa.

Bezpieczeństwo danych jest niezwykle ważne, szczególnie w przypadku witryn, które zbierają informacje o karcie kredytowej i banku lub hasła i nazwy użytkownika. Każda witryna internetowa, która obsługuje którekolwiek z nich, powinna mieć szyfrowanie SSL. W przeciwnym razie witryna pozostanie otwarta na ataki hakerskie, podczas których dane mogą zostać skradzione na trasie.

Weryfikacja jest niezwykle ważna w przypadku certyfikatów SSL. Istnieje długa lista firm, które zapewniają certyfikację SSL, i nie zawsze jest to tanie lub łatwe. Witryny internetowe, które ubiegają się o certyfikację SSL o wysokiej pewności, muszą zawierać:

  • ZA Rekord Whois określenie, kto jest właścicielem nazwy domeny
  • Kompletny Żądanie podpisania certyfikatu (CSR)
  • Niezależna walidacja strony internetowej i firmy, która jest jej właścicielem

Proces ten wiąże się również z kosztami dla właścicieli witryn. Dlatego strony phishingowe nigdy nie będą wykorzystywać wysoce bezpiecznych certyfikatów SSL. Nigdy nie byliby w stanie przejść inspekcji, a większość zajmuje się kradzieżą pieniędzy, a nie wypłacaniem ich innym firmom.

Firmy certyfikacyjne raczej nie wydają certyfikatów SSL o wysokiej wiarygodności na stronie niegodnej zaufania. Większość firm CA ma dobrze znane nazwy. Lista obejmuje:

  • Symantec
  • Idź Tato
  • DigiCert
  • Trustwave
  • GlobalSign
  • StartCom
  • SwissSign
  • Rozwiązanie sieciowe
  • Thawte
  • com
  • Szyfrujmy
  • GeoTrust
  • Powierzać
  • Comodo

W przeważającej części podmioty CA są zazwyczaj hostami sieciowymi i firmami zajmującymi się bezpieczeństwem cybernetycznym.

Jak stwierdzić, czy witryna korzysta z protokołu SSL

W rzeczywistości dość łatwo jest ustalić, czy witryna korzysta z szyfrowania SSL. Po nawiązaniu połączenia z witryną wstępne uzgadnianie między przeglądarką a serwerem spowoduje sprawdzenie, czy witryna korzysta z szyfrowania SSL. Jest to pokazane na dwa sposoby:

  • Adres strony pokazuje się jako strona HTTPS (Hypertext Transfer Protocol Secure)
  • Symbol blokady pojawia się bezpośrednio po lewej lub prawej stronie HTTPS

Ponadto niektóre witryny mogą nawet wyświetlać nazwę firmy z symbolem blokady. Witryny internetowe, które zakupiły certyfikaty Extended Validation SSL, najwyższy poziom, mają nazwę firmy wyświetlaną obok paska adresu.

Oto jak to wszystko wygląda.

Witryna Stack Exchange nie używa szyfrowania SSL na wielu swoich stronach. W związku z tym adres strony internetowej nie wyświetla symbolu HTTPS ani blokady:

StackExchange Brak SSL
Kliknięcie „i” ujawni, że witryna rzeczywiście nie jest bezpieczna:

StackExchange Brak SSL

Tymczasem Dokumenty Google mają szyfrowanie SSL, ale nie na najwyższym poziomie:
Dokumenty Google SSL

Podczas gdy strona internetowa amerykańskiego banku Capital One korzysta z rozszerzonej weryfikacji, ze wszystkimi dodatkami:
Capital One SSL

Kiedy SSL jest ważny - a kiedy nie

Można się zastanawiać, czy szyfrowanie SSL jest zawsze konieczne. Mówiąc wprost, odpowiedź brzmi: Nie. Szyfrowanie SSL nie zawsze jest konieczne. Jednak te strony internetowe, które go używają, mają różne potrzeby, w zależności od tego, jakiego rodzaju szyfrowanie SSL mają lub powinny mieć.

Trzymając się przykładów z poprzedniej sekcji, StackExchange naprawdę nie potrzebuje szyfrowania SSL we wszystkich obszarach swojej witryny. I rzeczywiście witryna rzeczywiście ma szyfrowanie SSL, ale tylko tam, gdzie jest to naprawdę potrzebne. Jeśli utworzysz konto i zalogujesz się na stronie, sprawdź, co się stanie:

Stachexchange ssl

Wynika to z faktu, że każda witryna internetowa, która wymaga utworzenia konta i zalogowania się na swój serwer, powinna mieć szyfrowanie SSL, przynajmniej na najbardziej podstawowym poziomie. Szyfrowanie SSL pomoże zapobiec kradzieży danych logowania do konta, gdy dane te przechodzą między twoim komputerem a serwerem witryny.

Ogólnie rzecz biorąc, im ważniejsze są dane przesyłane między tobą a serwerem witryny, tym wyższy poziom pewności powinna mieć witryna. Właśnie dlatego bank taki jak Capital One ma rozszerzoną weryfikację, podczas gdy strona taka jak StackExchange ma certyfikat weryfikacji organizacyjnej.

Witryny internetowe, które nie zbierają żadnych informacji lub wymagają logowania w celu uzyskania dostępu do części witryny, z pewnością mogą korzystać z szyfrowania SSL, ale nie jest to całkowicie konieczne. To powiedziawszy, zawsze istnieje obawa, czy dana strona jest aktywna, czy też jest to fałszywa strona phishingowa skonfigurowana do kradzieży danych.

Z powodu intensywnej weryfikacji wymaganej do uzyskania certyfikatów SSL strony phishingowe nie będą miały najwyższego poziomu szyfrowania, ale nadal mogą mieć adres HTTPS, a nawet symbol blokady. Jednak nigdy nie będą mieli zielonego paska z nazwą firmy, ponieważ jest on podawany tylko stronom internetowym z certyfikatami o dużej pewności. Ponadto niektóre witryny mogły utracić ważność lub niezweryfikowane certyfikaty SSL. Możesz zobaczyć, jak to wygląda, przechodząc na badssl.com, prostą, edukacyjną stronę internetową, która zawiera solidne przykłady każdego rodzaju aberracji certyfikatu SSL.

Na przykład witryna z odwołanym certyfikatem SSL może pojawić się w sesji przeglądarki Chrome w następujący sposób:

Zły SSL

Podsumowując, witryna nie wymaga szyfrowania SSL, ale kiedy odwiedzasz witrynę, której nie masz pewności, najlepiej unikać tworzenia danych logowania do tej witryny, dopóki nie w pełni ją zweryfikujesz..

Różne rodzaje SSL

Ponieważ SSL jest formą szyfrowania i weryfikacji, istnieją różne typy. Każdy typ ma nieco inny cel. Należy jednak pamiętać, że różne typy certyfikatów SSL nie oznaczają, że witryna zapewnia większe lub mniejsze bezpieczeństwo. Typy certyfikatów wskazują, jak wiarygodna jest strona internetowa, ponieważ te różne typy wymagają różnych poziomów walidacji, aby uzyskać.

Certyfikaty z walidacją domeny

Certyfikaty DV to najtańsze dostępne certyfikaty SSL. Te certyfikaty robią niewiele więcej niż sprawdzanie rejestru nazw domen pod kątem certyfikatu. Wymagania dotyczące uzyskania tych certyfikatów są zazwyczaj niskie, co oznacza, że ​​wiele stron phishingowych może je uzyskać dość łatwo. Certyfikaty te nie wymagają bardziej rygorystycznych kontroli tła i weryfikacji, które są wymagane przez inne poziomy certyfikacji.

W związku z tym wiele jednostek certyfikacji faktycznie nie oferuje tego certyfikatu, ponieważ większość uważa, że ​​jest to zbyt niski poziom bezpieczeństwa, a w większości niezabezpieczony. Nadal zobaczysz symbol blokady dla tych stron, ale nadal stanowią one pewne ryzyko. Gdy sprawdzisz informacje o certyfikacie witryny, poinformuje ona tylko o nazwie domeny i urzędzie certyfikacji.

Ten typ certyfikatu jest powszechny na stronach internetowych, które mają bardzo ograniczone obawy dotyczące bezpieczeństwa. Strona internetowa MyAnimeList.net jest jedną z takich stron. Oto szczegóły certyfikatu:

MAL ssl

W rzeczywistości części witryny nie są bezpieczne, co spowodowało, że moja przeglądarka internetowa zablokowała te części:

Blok MAL SSL

Chociaż certyfikaty DV mogą być użyteczne, rodzaje stron internetowych, które zazwyczaj ich używają, nie pozwalają na indywidualne konta użytkowników, a zatem nie zbierają nazw użytkowników i haseł.

Certyfikaty zatwierdzone przez organizację

Te certyfikaty SSL wymagają bardziej rygorystycznego procesu sprawdzania poprawności, a zatem są również droższe. W przeciwieństwie do certyfikatów DV, certyfikaty OV spełniają standardy RFC określone przez Internet Engineering Task Force (IETF) i Internet Society (ISOC). Strony internetowe muszą wymieniać informacje dotyczące walidacji, a urząd certyfikacji może skontaktować się bezpośrednio z firmą w celu weryfikacji informacji.

Gdy sprawdzisz informacje o certyfikacie, zobaczysz nazwę witryny i osobę, którą weryfikuje. Nie otrzymasz jednak informacji o właścicielu.

Wikipedia jest przykładem strony internetowej, która korzysta z certyfikatu OV:

Wikipedia SSL

Rozszerzony certyfikat walidacji

Certyfikat EV to najwyższy poziom, zapewniający najwyższą pewność i walidację. Proces wymagany do uzyskania certyfikatu EV jest zarówno obszerny, jak i kosztowny. Tylko strony internetowe z certyfikatem EV otrzymają również zielony pasek potwierdzający ich nazwę w przeglądarce internetowej. Niestety nie wszystkie przeglądarki internetowe mogą wyświetlać zielony pasek EV. Jest dostępny tylko dla następujących przeglądarek:

Google Chrome, Internet Explorer 7.0+, Firefox 3+, Safari 3.2+, Opera 9.5+

Starsze przeglądarki go nie wyświetlają. Nie oznacza to jednak, że go tam nie ma. Oznacza to po prostu, że osoby używające starszych przeglądarek mogą potrzebować sprawdzić informacje o certyfikacie, aby zweryfikować poziom weryfikacji.

Przywołanie bardziej szczegółowych informacji dla Capital One ujawnia fakt, że strona internetowa rzeczywiście używa certyfikatu EV SSL:

Capital One SSL

Certyfikaty EV są zdecydowanie najbardziej zaufanym i najbezpieczniejszym, ale nie są całkowicie konieczne dla każdej strony internetowej. Większość stron internetowych może faktycznie poradzić sobie z DV lub OV. Jeśli jednak witryna internetowa zbiera od ciebie informacje, nie powinieneś jej ufać, chyba że ma certyfikat OV lub wyższy.

To powiedziawszy, niektóre strony przekierowują cię na zewnętrzną stronę podczas dokonywania płatności. Strony te mogą korzystać z usług zewnętrznych dla swojego systemu płatności, takiego jak PayPal, który ma certyfikację EV o wysokim poziomie bezpieczeństwa. W ten sposób nie muszą kupować własnego pojazdu elektrycznego, zamiast tego polegają na usługach zewnętrznych w celu zapewnienia tej warstwy bezpieczeństwa i zapewnienia.

Problemy z certyfikatami DV i OV

Chociaż wiele urzędów certyfikacji nie oferuje certyfikatów DV, niektóre tak. Ponieważ certyfikaty urzędów certyfikacji nie wymagają dalszych weryfikacji i weryfikacji w tle, niektórzy właściciele witryn phishingowych podjęli się zakupu tych certyfikatów w celu uruchomienia systemu. Niestety, nie ma bezpośredniego sposobu na rozróżnienie między stronami DV i OV bez faktycznego spojrzenia na informacje o certyfikacie. Dlatego wiele stron internetowych korzysta z certyfikatów EV (high-assurance). Podobnie jak certyfikaty OV, wymagają one szerszej weryfikacji, ale są również wyposażone w zielony pasek, który podaje nazwę firmy, a także symbol blokady i obszerną ilość dostarczonych informacji dotyczących weryfikacji..

W przypadku większości przeglądarek możesz sprawdzić certyfikat, klikając symbol kłódki, klikając „Więcej informacji”, a następnie „Wyświetl certyfikat”:

Certyfikat SSL

Spowoduje to wyświetlenie szczegółowych informacji na certyfikacie tej witryny:
wymiana stosu ssl

Tutaj widzimy, że Stack Exchange rzeczywiście korzysta z certyfikatu High Assurance EV wydanego przez DigiCert. Możemy zaufać ich stronie internetowej i nie powinniśmy się martwić o zalogowanie się przy użyciu bezpiecznego hasła.

Czy są jakieś alternatywy dla SSL?

Chociaż protokół SSL pochłania dużą część całego zabezpieczonego ruchu internetowego, istnieje kilka godnych uwagi alternatyw dla tej metody szyfrowania.

Warstwa gniazda transportowego

TLS, czyli Transport Socket Layer, jest następcą SSL. Rzeczywiście, w wielu przypadkach tak zwany certyfikat SSL może faktycznie być certyfikatem TLS. To nie jest przypadek. Nowszy standard TLS opiera się w dużej mierze na protokole SSL, a zmiany są na tyle małe, że wiele osób, nawet bezpośrednio w branży, nadal będzie odnosić się do TLS i SSL razem (zazwyczaj z dopiskiem „SSL / TLS”). Kluczowe różnice między SSL i TLS to zaktualizowane szyfry i lepsze bezpieczeństwo TLS, dlatego zastąpił SSL. Niemniej jednak większość osób nadal określa TLS jako SSL, biorąc pod uwagę, że oba protokoły są bardzo podobne. Ponieważ oba używają tych samych certyfikatów, przejście dla większości stron internetowych było dość proste.

Bezpieczna powłoka

Bezpieczna powłoka (SSH) jest bezpośrednio konkurencyjna w stosunku do SSL i pod wieloma względami równie bezpieczna. Jednak SSH różni się najbardziej na dwa sposoby. Po pierwsze, SSH jest zasadniczo bezpłatne. W przeciwieństwie do SSL, SSH nie korzysta z urzędów certyfikacji do weryfikacji i przeprowadzania uwierzytelnienia. Ponadto, w przeciwieństwie do protokołu SSL, SSH wykorzystuje także różne narzędzia, które działają z szyfrowaniem. Może to obejmować zdalną obsługę maszyn w sieci i tworzenie wymagań logowania za pośrednictwem bezpiecznej sieci. SSH jest bardziej popularny wśród administratorów sieci. SSH jest mniej bezpieczny niż SSL / TLS, ponieważ zarządzanie kluczami ma niewielki nadzór, w przeciwieństwie do SSL. Oznacza to, że klucze szyfrujące mogą zostać zgubione, skradzione lub niewłaściwie użyte, co utrudnia weryfikację własności.

IPSec

Zabezpieczenia protokołu internetowego mają inne podejście do bezpieczeństwa sieci i szyfrowania. Podczas gdy SSL / TLS działa na poziomie aplikacji, IPSec został zaprojektowany jako szyfrowanie punkt-punkt dla całej sieci. Jako taki, IPSec działa na innej warstwie protokołu sieciowego (SSL działa na warstwie 1, HTTP, podczas gdy IPSec działa na warstwie 3, IP). To daje IPSec bardziej holistyczne podejście do bezpieczeństwa sieci. Protokół IPsec jest również bardziej przeznaczony do stałych połączeń między dwoma komputerami, a protokół SSL - do nietrwałych sesji.

Protokół IPSec był pierwotnie wymagany dla IPv6, ponieważ zapewnia bezpieczeństwo sieci na poziomie IP. Rzeczywiście, IPsec został pierwotnie opracowany jako metoda bezpieczeństwa sieci dla IPv6. Jednak największą słabością protokołu IPSec jest to, że nie zapewnia on bardziej zindywidualizowanego uwierzytelniania. Gdy ktoś uzyska dostęp do sieci zabezpieczonej przez IPSec, ma swobodny dostęp do czegokolwiek w sieci; dopóki nie ma innego uwierzytelnienia, nie ma ograniczeń w dostępie.

Ponadto IPSec nie jest wyjątkiem w zakresie dostępu zdalnego. Jest bardziej zaprojektowany do połączeń punkt-punkt między sieciami, na przykład dużych firm tworzących bezpieczne połączenia z serwerami dla wszystkich lokalizacji biznesowych. Umożliwianie użytkownikom zdalnym nawiązywania połączenia (np. Pracownikom, którzy chcą pracować z domu lub w podróży) wymaga większej konserwacji, a jednocześnie wymaga osobnych aplikacji.

Rozszerzenia SSL i rozwiązania VPN

Ponieważ SSL jest przede wszystkim standardem szyfrowania opartym na aplikacji, opracowano rozwiązania zapewniające, że SSL można również stosować na różne sposoby.

OpenSSL w sieci VPN

OpenSSL to wersja SSL typu open source, która jest wykorzystywana w wielu aplikacjach innych niż przeglądarka. Na uwagę zasługuje przede wszystkim podstawowa metoda bezpieczeństwa wykorzystywana przez sieci VPN działające na platformie OpenVPN. OpenSSL jest dokładnie tak, jak się wydaje: wersja SSL typu open source, z której można korzystać bezpłatnie i bawić się nią. Podobnie jak w przypadku wielu inicjatyw typu open source, OpenSSL jest wysoce zależny od społeczności, która korzysta z niego, aby być na bieżąco. Spowodowało to pewną frustrację, ponieważ OpenSSL nie daje tyle gwarancji, co oparty na przeglądarce certyfikat SSL zakupiony za pośrednictwem Urzędu Certyfikacji. Znaleziono znaczące luki w zabezpieczeniach, ale OpenSSL jest również często aktualizowany, aby przeciwdziałać tym lukom.

Istnieje kilka rozwidleń dla tego programu, w tym własny Google BoringSSL. Pozytywne jest to, że zestaw narzędzi OpenSSL pozwala na ciągłe ulepszenia, biorąc pod uwagę, że jest to oprogramowanie typu open source.

Bezpieczne przeglądanie dzięki HTTPS Everywhere

HTTPS wszędzie

Darmowy produkt od Electronic Frontier Foundation, HTTPS Everywhere to rozszerzenie przeglądarki do Chrome, Firefox i Opera, które umożliwia przeglądanie stron HTTPS w miarę możliwości. HTTPS Everywhere działa również, pomagając chronić twoje dane, gdy jesteś połączony z witryną, która używa HTTPS na niektórych, ale nie wszystkich swoich stronach. Tak długo, jak witryna obsługuje HTTPS, HTTPS Everywhere może konwertować strony na HTTPS i szyfrować dane. Jednak, jak wskazano na stronie często zadawanych pytań EFF, witryny, które zawierają linki do wątpliwych linków stron trzecich, takich jak obrazy, nie mogą być w pełni zabezpieczone przez HTTPS.

Możesz także ustawić HTTPS Everywhere tak, aby blokował niezabezpieczone linki i strony wyłudzające informacje, co jest odrębną funkcją bezpieczeństwa, która pomaga zapobiegać przypadkowemu natknięciu się na strony phishingowe.
„HTTPS” autorstwa Christiaan Colen na licencji CC BY 2.0

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

15 + = 19

map