En un informe anterior sobre el canvi d'HTTP a HTTPS, va tocar breument a Single Socket Layer (SSL). En resum, SSL i el seu successor, Transport Layer Security (TLS), són necessaris per operar de forma segura en línia.
En aquest article, aprofundim en respondre a la pregunta "què és SSL" i també com SSL / TLS protegeix la vostra informació confidencial.
Per què hauria de preocupar-se per SSL / TLS?
Abans d'entrar a "Com", però, fem un cop d'ull a "Per què", voldreu utilitzar SSL / TLS en primer lloc.
$config[code] not foundEn aquests dies, la seguretat de les dades és d'or. Qualsevol persona que hagi robat la seva identitat podria dir-vos-ho. La clau per mantenir la seguretat de la vostra informació és allunyar-la d'un lloc segur on ningú més el pugui veure.
Malauradament, això no és possible en línia. Quan transfereix informació en línia, hi ha sempre Un punt en el procés en què tant vostè com el seu client perden control de les dades.
Ja veieu, mentre que el vostre client pot protegir el dispositiu en el qual el vostre navegador s'executa i podeu protegir el vostre servidor web, les canonades del món en línia estan fora de les vostres mans.
Tant si es tracta de l'empresa de cable, de l'empresa telefònica o d'un cable submarí operat pel govern, les dades dels vostres clients passaran per les mans d'una altra persona en línia i per això cal xifrar amb SSL / TLS.
Aquests són alguns exemples dels tipus d'informació que podeu utilitzar SSL / TLS per garantir en línia:
- Transaccions amb targeta de crèdit
- Inicis de sessió del lloc web
- Passant la informació privada i personal d'anada i tornada
- Assegurant el correu electrònic de snoopers.
Sí, si realitza negocis en línia, SSL / TLS és fonamental per al seu èxit continuat. Per què? Perquè:
- Els clients han de sentir-se segurs quan realitzen negocis amb vostè en línia o no van a fer negocis amb vostè; i
- Vostè té la responsabilitat del seu client per protegir la informació sensible que ha optat per compartir amb vostè.
A continuació, anem a veure com funciona SSL / TLS.
Les claus públiques, públiques i de sessió són la clau … Clau
Quan utilitzeu SSL / TLS per transmetre les dades confidencials en línia, el vostre navegador i el servidor web protegit es connecten per utilitzar dues claus separades per configurar una connexió segura: una clau pública i privada. Una vegada que la connexió està en marxa, un tercer tipus de clau, la clau de sessió, s'utilitza per xifrar i desxifrar la informació que es passa d'anada i tornada.
A continuació s'explica com funciona:
- Quan es connecta a un registre segur (per exemple, amazon.com), s'inicia el procés de "encaixada de mans"
- En primer lloc, el servidor passarà el vostre navegador és el certificat SSL / TLS, així com la seva clau pública;
- El vostre navegador comprovarà el certificat del servidor per veure si es pot confiar en ell utilitzant factors com ara si el certificat va ser emès per una font fiable i si el certificat no ha caducat.
- Si es pot confiar en el SSL / TLS, el vostre navegador enviarà un missatge de reconeixement al servidor deixant-lo saber que ja està llest. Aquest missatge es xifrarà amb la clau pública del servidor i només es pot desxifrar mitjançant la clau privada del servidor. Inclòs en aquest reconeixement és la clau pública del vostre navegador.
- Si el servidor no es pot confiar, veurà una advertència al vostre navegador. Sempre podeu ignorar l'avís, però no és intel·ligent.
- El servidor crea la clau de sessió. Abans d'enviar-lo al vostre navegador, encripta el missatge amb la vostra clau pública, de manera que només el vostre navegador, utilitzant la vostra clau privada, ho pot desxifrar.
- Ara que l'encaix de mans ha acabat i els dos partits han rebut de manera segura la clau de sessió, el navegador i el servidor comparteixen una connexió segura. Tant el vostre navegador com el servidor utilitzen la clau de sessió per xifrar i desxifrar les dades confidencials, ja que s'envien endarrere i endavant per Internet.
- Una vegada finalitzada la sessió, es descarta la tecla de sessió. Fins i tot si es connecta una hora més tard, haureu d'executar aquest procés des del principi que donarà com a resultat una nova clau de sessió.
La mida importa
Els tres tipus de claus consisteixen en llargues cadenes de nombres. Com més llarga sigui la cadena, més segur serà el xifrat. A la part inferior, una cadena més llarga triga més temps a xifrar i desxifrar dades i posa més tensió tant als recursos del servidor com del navegador.
És per això que existeixen claus de sessió. Una clau de sessió és molt més curta que les claus públiques i privades. El resultat: xifrat i desxifratge molt més ràpid, però amb menys seguretat.
Espera: menys seguretat? No és tan dolent? No realment.
Les claus de sessió només existeixen durant un temps curt abans que se suprimeixin. I mentre no siguin els altres dos tipus de claus, són prou segurs per evitar el pirateig durant el curt període de temps que existeix la connexió entre el vostre navegador i el servidor segur.
Algorismes de xifratge
Tant les claus públiques i privades es creen utilitzant un dels tres algoritmes de xifratge.
No anem a aprofundir aquí, necessiteu literalment un títol de matemàtica (potser diversos) per comprendre completament els algoritmes de xifrat, però és útil conèixer els conceptes bàsics quan arriba el moment de triar el tipus que utilitza el vostre propi emplaçament del lloc web.
Els tres algorismes principals són:
- RSA - el nom dels seus creadors (Ron RIvest, Adi Shamir i Leonard Adlema), RSA ha existit des de 1977. RSA crea claus usant dos nombres primers aleatoris en una sèrie de càlculs. Aprèn més…
- Algorisme de signatura digital (DSA) - creat per l'Agència Nacional de Seguretat (NSA), DSA crea claus mitjançant un procés de dos passos que utilitza una "funció hash crítogràfica" en una sèrie de càlculs. Aprèn més…
- Criptografia de la corba el·líptica (CEE) - CEE crea claus utilitzant "l'estructura algebraica de corbes el·líptiques" en una sèrie complexa de càlculs. Aprèn més…
Quin algorisme de xifrat hauria de triar?
Matemàtiques a un costat, quin és el millor algoritme de xifrat a utilitzar?
En l'actualitat, ECC sembla estar a la part superior. Gràcies a les matemàtiques, les tecles creades amb l'algoritme ECC són més curtes i segueixen sent tan segures com claus més llargues. Sí, ECC trenca la regla "dimensions importants", la qual cosa la fa ideal per a la connexió segura en dispositius menys potents, com ara el telèfon mòbil o la tauleta.
El millor enfocament pot ser un híbrid, on el vostre servidor pot acceptar els tres tipus d'algoritmes perquè pugui manejar allò que es llença. Les dues desavantatges d'aquest enfocament poden ser:
- El servidor utilitza més recursos que controlen RSA, DSA i ECC en comparació amb només ECC; i
- El vostre proveïdor de certificats SSL / TLS us pot cobrar més. Mireu, però, hi ha molts proveïdors acreditats que no cobren més per utilitzar els tres.
Per què es diu TLS Still SSL?
Com hem esmentat a la part superior d'aquest post, TLS és el successor de SSL. Tot i que SSL encara està en ús, TLS és una solució més refinada i connecta molts dels forats de seguretat que afectava l'SSL.
La majoria d'empreses d'allotjament i proveïdors de certificats SSL / TLS encara utilitzen el terme "certificat SSL" en comptes de "TLS Certificate".
Tanmateix, és clar que els millors proveïdors d'allotjament i certificació estan realment utilitzant certificats TLS: simplement no volien canviar el nom perquè causaria confusió als seus clients.
Conclusió
La capa de sòcol individual (SSL) i el seu successor, Transport Layer Security (TLS), són necessaris per operar de forma segura en línia. L'ús de cadenes llargues de números anomenats "Claus" permet que SSL / TLS habiliti connexions en les que la informació del vostre client i del vostre client estigui xifrada abans que s'enviï i desxifri quan arribi.
En segon lloc: si realitza negocis en línia, SSL / TLS és fonamental per al seu èxit continuat perquè crea confiança mentre protegeix tant a vostè com als seus clients.
Foto de seguretat a través de Shutterstock
Més informació a: Què són els 5 comentaris ▼?
