Ano ang SSL at Bakit Dapat Mong Pangasiwaan?

Talaan ng mga Nilalaman:

Anonim

Sa isang nakaraang ulat tungkol sa pagpapalit mula sa HTTP sa HTTPS, hinawakan ito nang maikli sa Single Socket Layer (SSL). Sa maikli, ang SSL at ang kahalili nito, ang Transport Layer Security (TLS), ay kinakailangan upang mapatakbo nang ligtas sa online.

Sa artikulong ito, tingnan natin ang pagsagot sa tanong na "kung ano ang SSL" at kung paano pinoprotektahan ng SSL / TLS ang iyong sensitibong impormasyon.

Bakit Dapat Mong Pangalagain Tungkol sa SSL / TLS?

Bago magsimula sa "Paano" gayunpaman, tingnan natin ang "Bakit" gusto mong gamitin ang SSL / TLS sa unang lugar.

$config[code] not found

Ang mga araw na ito, ang seguridad ng data ay ginintuang. Sinuman na nagkaroon ng kanyang pagkakakilanlan ninakaw ay maaaring sabihin sa iyo na. Ang susi sa pagpapanatiling ligtas sa iyong impormasyon ay upang iwaksi ito sa isang ligtas na lugar kung saan walang ibang makakakita nito.

Sa kasamaang palad, hindi posible ang online. Kapag inilipat mo ang impormasyon sa online, may laging ang ilang punto sa proseso kung saan ikaw at ang iyong customer ay mawawalan ng kontrol sa data.

Nakikita mo, samantalang ang iyong kostumer ay makapagtatago ng aparato kung saan ang iyong browser ay tumatakbo at maaari mong ma-secure ang iyong Web server, ang mga pipa ng online na mundo ay wala sa iyong mga kamay.

Kung ito man ay ang kumpanya ng kable, ang kumpanya ng telepono o isang cable na pinamamahalaan sa ilalim ng dagat, ang data ng iyong mga customer ay pumasa sa pamamagitan ng mga kamay ng ibang tao online at iyon ang dahilan kung bakit kailangan itong ma-encrypt gamit ang SSL / TLS.

Narito ang ilang mga halimbawa ng mga uri ng impormasyon na maaari mong gamitin ang SSL / TLS upang ma-secure online:

  • Mga transaksyong credit card
  • Mga pag-login ng website
  • Pagpasa ng pribado at personal na impormasyon pabalik-balik
  • Pag-secure ng iyong email mula sa mga snooper.

Oo, kung nagsasagawa ka ng negosyo sa online, ang SSL / TLS ay mahalaga sa iyong patuloy na tagumpay. Bakit? Dahil:

  • Ang iyong mga customer ay kailangang maging ligtas kapag gumagawa sila ng negosyo sa iyo online o hindi sila makikipagnegosyo sa iyo; at
  • May responsibilidad ka sa iyong kostumer upang protektahan ang sensitibong impormasyon na kanilang pinili upang ibahagi sa iyo.

Susunod, tingnan natin kung paano gumagana ang SSL / TLS.

Ang mga Pampublikong, Pampubliko at Session Keys ay ang, uh … Key

Kapag gumamit ka ng SSL / TLS upang ihatid ang iyong sensitibong data sa online, ang iyong browser at ang secure na Web server ay kumokonekta upang magamit ang dalawang magkahiwalay na key upang i-set up ang isang secure na koneksyon: isang pampubliko at pribadong key. Sa sandaling ang koneksyon ay nasa lugar, ang isang ikatlong uri ng susi, ang susi ng session, ay ginagamit upang i-encrypt at i-decrypt ang impormasyon na ipinasa pabalik-balik.

$config[code] not found

Narito kung paano ito gumagana:

  1. Kapag kumunekta ka sa isang ligtas na sever (hal. Amazon.com), nagsisimula ang "handshake" na proseso:
    1. Una, ipapasa ng server ang iyong browser na ito ay sertipiko ng SSL / TLS pati na rin ito ng pampublikong key;
    2. Pagkatapos ay susuriin ng iyong browser ang sertipiko ng server upang makita kung maaari itong magtiwala ito gamit ang mga kadahilanan tulad ng kung ang sertipiko ay inisyu ng isang mapagkakatiwalaang pinagmulan at kung ang sertipiko ay wala pa expire.
    3. Kung ang SSL / TLS ay mapagkakatiwalaan, magpapadala ang iyong browser ng isang pag-amin pabalik sa server na nagpapaalam na alam na handa na itong pumunta. I-encrypt ang mensaheng iyon gamit ang pampublikong susi ng server at maaari lamang i-decrypt gamit ang pribadong key ng server. Kasama sa pagkilala na iyon ang pampublikong key ng iyong browser.
      1. Kung hindi mapagkakatiwalaan ang server, makakakita ka ng babala sa loob ng iyong browser. Maaari mong palaging huwag pansinin ang babala, ngunit hindi ito matalino.
    4. Lumilikha ang server ng session key. Bago ipadala ito sa iyong browser, ine-encrypt ang mensahe gamit ang iyong pampublikong key upang ang iyong browser, gamit ang pribadong key nito, ay maaaring i-decrypt ito.
  2. Ngayon na ang pagkakamay ay tapos na at ang dalawang partido ay ligtas na nakatanggap ng session key, ang iyong browser at ang server ay nagbahagi ng secure na koneksyon. Parehong ang iyong browser at ang server ay gumagamit ng susi session upang i-encrypt at i-decrypt ang sensitibong data habang ipinadala ito pabalik-balik sa online.
    1. Sa sandaling matapos ang sesyon, ang session key ay itatapon. Kahit na kumonekta ka ng isang oras mamaya, kailangan mong tumakbo sa pamamagitan ng prosesong ito mula sa simula na magreresulta sa isang bagong session key.

Mga Sukat ng Sukat

Ang lahat ng tatlong uri ng mga key ay binubuo ng mahabang mga string ng mga numero. Ang mas mahaba ang string, mas secure ang encryption. Sa kabilang panig, ang isang mas mahabang string ay tumatagal ng mas maraming oras upang i-encrypt at i-decrypt ang data at maglalagay ng mas maraming strain sa parehong mga server at mga mapagkukunan ng iyong browser.

Ito ang dahilan kung bakit umiiral ang mga susi sa session. Ang isang session key ay mas maikli kaysa sa parehong pampubliko at pribadong mga susi. Ang resulta: mas mabilis na encryption at decryption ngunit mas kaunting seguridad.

Maghintay - mas kaunting seguridad? Hindi ba masama iyan? Hindi talaga.

Ang mga susi ng susi ay umiiral lamang para sa isang maikling panahon bago sila matanggal. At habang hindi sila hangga't ang iba pang dalawang uri ng mga key, sapat ang mga ito upang maiwasan ang pag-hack sa maikling panahon na ang koneksyon sa pagitan ng iyong browser at ang secure na server ay umiiral.

Mga Algorithm ng Pag-encrypt

Ang parehong pampubliko at pribadong mga susi ay nilikha gamit ang isa sa tatlong mga algorithm ng pag-encrypt.

Hindi kami makakakuha ng masyadong malalim dito, literal na kailangan mo ng isang matematika degree (marahil ilang) upang maunawaan ang mga algorithm ng encryption ganap gayunpaman, ito ay madaling malaman ang mga pangunahing kaalaman kapag ang oras na dumating upang piliin ang uri na ang iyong sariling website sill gamitin.

Ang tatlong pangunahing mga algorithm ay:

  • RSA - Pinangalanan pagkatapos ng mga tagalikha nito (Ron Rivest, Adi Shamir, at Leonard Adlema), RSA ay naging mula noong 1977. Ang RSA ay lumilikha ng mga susi sa pamamagitan ng paggamit ng dalawang random na mga numero ng kalakasan sa isang serye ng mga kalkulasyon. Matuto nang higit pa …
  • Digital Signature Algorithm (DSA) - na nilikha ng National Security Agency (NSA), ang DSA ay lumilikha ng mga susi gamit ang dalawang hakbang na proseso na gumagamit ng "crptographic function na hash" sa isang serye ng mga kalkulasyon. Matuto nang higit pa …
  • Elliptic Curve Cryptography (EEC) - Lumilikha ang EEC ng mga key gamit ang "algebraic structure of elliptical curves" sa isang kumplikadong serye ng mga kalkulasyon. Matuto Nang Higit Pa …
$config[code] not found

Anong Algorithm ang Dapat Mong Pumili?

Math bukod, kung saan ay ang pinakamahusay na algorithm ng pag-encrypt na gagamitin?

Sa kasalukuyan, ang ECC ay parang nagmumula sa itaas. Salamat sa matematika, ang mga susi na nilikha gamit ang algorithm ng ECC ay mas maikli habang nananatiling ligtas ang mga key. Oo, pinuputol ng ECC ang panuntunan ng "mga bagay na sukat" na ginagawang perpekto para sa secure na koneksyon sa mga hindi gaanong malakas na device tulad ng iyong mobile phone o tablet.

Ang pinakamahusay na diskarte ay maaaring isang hybrid isa, kung saan ang iyong server ay maaaring tanggapin ang lahat ng tatlong uri ng mga algorithm upang maaari itong hawakan ang anumang itinapon sa ito. Ang dalawang downsides ng diskarteng ito ay maaaring:

  1. Ang server ay gumagamit ng higit pang mga mapagkukunan sa paghawak ng RSA, DSA at ECC bilang kabaligtaran lamang sa ECC; at
  2. Maaaring singilin ka ng iyong SSL / TLS certificate provider. Tumingin sa paligid gayunpaman, may mga napakahusay na nagbibigay ng kredito na hindi naniningil ng sobra para sa paggamit ng lahat ng tatlo.

Bakit pa tinatawag na SSL ang TLS?

Tulad ng aming nabanggit sa itaas ng post na ito, ang TLS ay ang kahalili ng SSL. Habang ginagamit pa ang SSL, ang TLS ay isang mas pinong solusyon at sinisira ang marami sa mga butas sa seguridad na pumasok sa SSL.

Karamihan sa mga hosting company at SSL / TLS provider ay gumagamit pa rin ng terminong "SSL certificate" sa halip na "TLS Certificate".

Maging malinaw gayunpaman, ang mas mahusay na hosting at certificate provider ay sa katunayan ay gumagamit ng mga sertipiko ng TLS - hindi nila nais na baguhin ang pangalang 'dahilan na malito ang kanilang mga customer.

Konklusyon

Ang Single Socket Layer (SSL), at ang kahalili nito, Transport Layer Security (TLS), ay kinakailangan upang gumana nang ligtas sa online. Gamit ang mahabang string ng mga numero na tinatawag na, "Keys", SSL / TLS ay nagbibigay-daan sa mga koneksyon kung saan ang parehong impormasyon ng iyong at ang iyong customer ay naka-encrypt bago ito ipadala at decrypted kapag dumating ito.

Bottom line: kung nagsasagawa ka ng negosyo sa online, ang SSL / TLS ay kritikal sa iyong patuloy na tagumpay dahil nagtatayo ito ng tiwala habang pinoprotektahan ka kapwa mo at ng iyong mga customer.

Security Photo sa pamamagitan ng Shutterstock

Higit pa sa: Ano ang 5 Mga Puna ▼