O que é https

Para proteger um site voltado para o público com HTTPS, é necessário instalar um certificado SSL/TLS assinado por uma autoridade de certificação publicamente confiável (CA) em seu servidor da Web. Ssl.com’S KnowledgeBase inclui muitos guias úteis e instruções para configurar uma ampla variedade de plataformas de servidores da web para oferecer suporte a HTTPS.

Resumo:

HTTPS é um protocolo seguro usado para proteger sites. Requer a instalação de um certificado SSL/TLS de uma CA confiável. Ssl.O COM fornece guias para configurar servidores da Web para oferecer suporte a HTTPS.

Pontos chave:

1. Segurança da camada de transporte (TLS): O TLS fornece segurança para comunicação entre hosts. Garante integridade, autenticação e confidencialidade. É comumente usado em navegadores da web, mas pode ser usado com qualquer protocolo que use TCP.

2. TLS vs SSL: SSL é o antecessor do protocolo TLS. Alguns termos, como certificados SSL, são usados ​​de forma intercambiável. É importante usar o TLS em vez do protocolo SSL inseguro.

3. Uso da porta: Algumas aplicações usam uma única porta para sessões não criptografadas e criptografadas. Para mudar de não criptografado para criptografado, o starttls é usado. O termo SSL pode ser usado quando uma única porta usa diretamente o protocolo TLS.

4. SSL/TLS em Wireshark: Wireshark possui um dissector TLS totalmente funcional, que suporta descriptografia se segredos apropriados forem fornecidos. O dissector foi renomeado de SSL para TLS em Wireshark 3.0.

5. Decripção do TLS: Wireshark suporta a descriptografia do TLS usando um arquivo de log de chave ou uma chave privada RSA. O arquivo de log de chave é recomendado, pois funciona em todos os casos. A chave privada da RSA tem limitações.

6. Configurações de preferência: As preferências relacionadas ao TLS podem ser encontradas no menu Editar -> Preferências. As preferências notáveis ​​incluem o nome do nome do log (pré)-mestre-secreto, a lista de chaves RSA, a tecla pré-compartilhada e o arquivo de depuração TLS.

7. Preferências do protocolo TCP: Para permitir a descriptografia do TLS, o opção “Permitir que o subdissector remova a opção TCP Streams” deve ser ativado. Começando no Wireshark 3.0, a opção “Segmentos fora da ordem” é desativada por padrão.

8. Diálogo RSA Keys: Começando no Wireshark 3.0, uma nova caixa de diálogo RSA Keys está disponível em Editar -> Preferências -> RSA Keys. Ele permite adicionar teclas privadas de formato PEM ou PKCS#12 Keystores para descriptografia.

Questões:

Questão 1: Qual é o objetivo de instalar um certificado SSL/TLS para HTTPS?

Responder: A instalação de um certificado SSL/TLS é necessário para estabelecer comunicação segura e proteger o site do acesso não autorizado. Ele verifica a identidade do servidor e permite a criptografia de dados trocados entre o servidor e os clientes.

Questão 2: Os TLs podem ser usados ​​com protocolos que não sejam navegadores da web?

Responder: Sim, o TLS pode ser usado com qualquer protocolo que use o TCP como camada de transporte. Ele fornece segurança, integridade e autenticação para comunicação entre hosts.

Questão 3: Quais são as diferenças entre TLS e SSL?

Responder: SSL é o antecessor do protocolo TLS. TLS é o protocolo recomendado, pois o SSL é considerado inseguro. No entanto, os termos Certificados SSL e SSL ainda são usados ​​de forma intercambiável em alguns casos, levando a confusão.

Pergunta 4: Como o Wireshark pode descriptografar o tráfego?

Responder: Wireshark pode descriptografar o tráfego TLS se segredos apropriados forem fornecidos. Ele suporta descriptografia usando um arquivo de log de chave ou uma chave privada RSA. O arquivo de log de chave é recomendado para descriptografia.

Pergunta 5: Onde as configurações de preferência podem ser encontradas no Wireshark?

Responder: As configurações de preferência para a descriptografia do TLS podem ser encontradas no menu Editar -> Preferências. De acordo com a árvore dos protocolos, selecione TLS. Preferências adicionais estão disponíveis sob as preferências do protocolo TCP.

Pergunta 6: Quais são as limitações do uso de uma chave privada da RSA para a descriptografia do TLS?

Responder: O método de chave privada da RSA para a descriptografia de TLS tem limitações. Ele só funciona se o conjunto de cifra selecionado pelo servidor não usar (CE) DHE, a versão do protocolo é SSLV3 ou (D) TLS 1.0-1.2 (não funciona com TLS 1.3) e a chave privada corresponde ao certificado do servidor. Além disso, a sessão não deve ser retomada.

Pergunta 7: Como a descriptografia do TLS pode ser ativada no Wireshark para todos os casos?

Responder: A descriptografia do TLS pode ser ativada para todos os casos usando um arquivo de log -chave. O arquivo de log de chave é um arquivo de texto gerado por aplicativos como Firefox, Chrome e Curl quando a variável de ambiente SSLKEYLOGFILE é definida. Requer exportação contínua de segredos do aplicativo cliente ou servidor.

Pergunta 8: Quais são as preferências notáveis ​​pela descriptografia do TLS no Wireshark?

Responder: Algumas preferências notáveis ​​para a descriptografia do TLS no Wireshark incluem o nome do arquivo (pré)-mestre-secreto de log, a lista de chaves RSA (depreciada a favor da caixa de diálogo RSA Keys), pré-compartilhamento para o processo de cifra PSK e o arquivo de depuração do TLS para escrever detalhes internos sobre o processo de descrição do processo.

Pergunta 9: Quais são necessárias preferências de protocolo TCP para permitir a descriptografia do TLS no Wireshark?

Responder: São necessárias duas preferências do protocolo TCP para permitir que a descriptografia do TLS no Wireshark: “Permita que o subdissector remova os fluxos TCP” (ativados por padrão) e “Remonte segmentos fora de ordem” (desativados por padrão desde o Wireshark 3.0).

Pergunta 10: Qual é o objetivo da caixa de diálogo RSA Keys em Wireshark?

Responder: A caixa de diálogo RSA Keys no Wireshark permite adicionar formato PEM Chaves privadas ou PKCS#12 Keystores para descriptografia. Ele fornece uma maneira conveniente de configurar as chaves privadas da RSA para fins de descriptografia.

O que é https

Para proteger um site voltado para o público com HTTPS, é necessário instalar um certificado SSL/TLS assinado por uma autoridade de certificação publicamente confiável (CA) em seu servidor da Web. Ssl.com’S KnowledgeBase inclui muitos guias úteis e instruções para configurar uma ampla variedade de plataformas de servidores da web para oferecer suporte a HTTPS.

Segurança da camada de transporte (TLS)

A TLS da camada de transporte (TLS) fornece segurança na comunicação entre dois hosts. Fornece integridade, autenticação e confidencialidade. É usado mais comumente em navegadores da web, mas pode ser usado com qualquer protocolo que use o TCP como camada de transporte.

Camada de soquetes seguros (SSL) é o antecessor do protocolo TLS. Esses nomes são frequentemente usados ​​de forma intercambiável, o que pode levar a alguma confusão:

  • Uma configuração que usa o Protocolo SSL (SSLV2/SSLV3) é inseguro. O Protocolo TLS deve ser usado em vez disso.
  • X.509 certificados de autenticação às vezes também são chamados Certificados SSL.
  • Alguns aplicativos (como email) usam uma única porta para sessões não criptografadas e criptografadas. Mudar de não criptografado para criptografado, (Iniciar) TLS é usado. Quando uma única porta usa diretamente o protocolo TLS, é frequentemente referido como Ssl.
  • Por razões históricas, o software (inclusive o Wireshark) se refere ao SSL ou SSL/TLS, enquanto realmente significa o protocolo TLS, já que é isso hoje em dia o que todo mundo usa.

Dependências de protocolo

  • TCP: normalmente, o TLS usa o TCP como seu protocolo de transporte.

Dissecção TLS em Wireshark

O Dissector TLS é totalmente funcional e até suporta recursos avançados, como a descriptografia do TLS, se os segredos apropriados forem fornecidos (#TLS_DECRYPTION).

Desde Wireshark 3.0, o dissector TLS foi renomeado de SSL para TLS. O uso do filtro de exibição SSL emitirá um aviso.

Decriptografia de TLS

Wireshark suporta a descriptografia do TLS quando segredos apropriados são fornecidos. Os dois métodos disponíveis são:

  • Arquivo de log de chave usando segredos por sessão (#Usingthe (pré)-mestre segredo).
  • Decripção usando uma chave privada RSA.

Um arquivo de log-chave é um mecanismo universal que sempre permite a descriptografia, mesmo que uma troca de chave Diffie-Hellman (DH) esteja em uso. A chave privada da RSA funciona apenas em um número limitado de casos.

O arquivo de log de chave é um arquivo de texto gerado por aplicativos como Firefox, Chrome e Curl quando a variável de ambiente SSLKEYLOGFILE é definida. Para ser mais preciso, sua biblioteca subjacente (NSS, OpenSSL ou BoringsSL) escreve os segredos por sessão necessários em um arquivo. Este arquivo pode ser configurado posteriormente no Wireshark (#Using (pré)-mestre segredo).

O arquivo de chave privado da RSA só pode ser usado nas seguintes circunstâncias:

  • O conjunto de cifra selecionado pelo servidor não está usando (CE) DHE.
  • A versão do protocolo é SSLV3, (d) TLS 1.0-1.2. Isso faz não Trabalhe com TLS 1.3.
  • A chave privada corresponde ao servidor certificado. Não funciona com o cliente Certificado, nem o Certificado da Autoridade de Certificação (CA).
  • A sessão não foi retomada. O aperto de mão deve incluir o ClientKeyExchange Mensagem de aperto de mão.

O arquivo de log de chave é geralmente recomendado, pois funciona em todos os casos, mas requer a capacidade contínua de exportar os segredos do aplicativo cliente ou servidor. A única vantagem da chave privada da RSA é que ela precisa ser configurada apenas uma vez no Wireshark para permitir a descriptografia, sujeita às limitações acima.

Configurações de preferência

Vá para Editar -> Preferências. Abra o Protocolos árvore e selecione TLS. Como alternativa, selecione um pacote TLS na lista de pacotes, clique com o botão direito do mouse no TLS camada no pacote Detalhes Visualizar e abrir o Preferências de protocolo cardápio.

As preferências notáveis ​​do protocolo TLS são:

  • (Pré)-mestre-secret log filename (TLS.keylog_file): Caminho para ler o arquivo de log de chave TLS para descriptografia.
  • Lista de chaves RSA: abre uma caixa de diálogo para configurar as chaves privadas da RSA para descriptografia. Descontinuado em favor do Preferências ->RSA Keys diálogo.
  • Tecla pré-compartilhada: usada para configurar a chave de descriptografia para as suítes cifras PSK. Geralmente não usado.
  • Arquivo de depuração TLS (TLS.debug_logfile): caminho para escrever detalhes internos sobre o processo de descriptografia. Conterão os resultados da descriptografia e as chaves que foram usadas neste processo. Isso pode ser usado para diagnosticar por que a descriptografia falha.

As seguintes preferências do protocolo TCP também são necessárias para permitir a descriptografia do TLS:

  • Permitir que o subdissector remova os fluxos TCP. Ativado por padrão.
  • Segmentos fora de ordem remontados (desde Wireshark 3.0, desativado por padrão).

Começando com o Wireshark 3.0, uma nova caixa de diálogo RSA Keys pode ser encontrada em Editar -> Preferências -> RSA Keys. Nesta caixa de diálogo, use o Adicione um novo arquivo de key… botão para selecionar um arquivo. Você será solicitado a uma senha, se necessário. O Adicione novo token… o botão pode ser usado para adicionar teclas de um HSM que pode exigir o uso Adicione um novo provedor… Para selecionar Selecionar uma DLL/.então arquivo e configuração adicional específica do fornecedor.

O arquivo chave da RSA pode ser um PEM Formato de chave privada ou um PKCS#12 Keystore (normalmente um arquivo com um .pfx ou .extensão p12). A chave PKCS#12 é um arquivo binário, mas o formato PEM é um arquivo de texto que se parece com o seguinte:

-----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDReQzlKVeAK8b5 TRcRBhSi9IYwHX8Nqc8K4HeDRvN7HiBQQP3bhUkVekdoXpRLYVuc7A8h1BLr93Qw . Koi8fzl+jhg+p8vtpk5zaiyp ----- TENHA PRIVADA END-----

O depreciado Lista de chaves RSA A caixa de diálogo pode ser removida em algum momento. Para configurar as chaves, use o RSA Keys diálogo em vez disso. Para alterar o protocolo para dados de rede descriptografados, clique com o botão direito do mouse em um pacote TLS e use Decodificar como Para mudar o Atual protocolo para o Porta tls. O endereço de IP e Porta Os campos não são utilizados.

Exemplo de arquivo de captura

  • jogar fora.PCAPNG TLSV1.2 Capture com 73 suítes cifras, você precisa deste Premaster.Arquivo TXT para descriptografar o tráfego. (Ligado de https: // bugs.Wireshark.org/bugzilla/show_bug.CGI?id = 9144)
  • TLS12-DSB.PCAPNG – TLS 1.2 rastrear com chaves de descriptografia incorporadas. (Captura de teste na árvore de origem Wireshark adicionada aqui)
  • https: // gitlab.com/wireshark/wireshark/ -/árvore/mestre/teste/captura – o conjunto de testes contém vários traços de TLS.

Exibir filtro

Uma lista completa dos campos de filtro de exibição TLS pode ser encontrada na referência do filtro de exibição

Mostre apenas o tráfego baseado em TLS:

Capture filtro

Você não pode filtrar diretamente os protocolos TLS enquanto captura. No entanto, se você conhece a porta TCP usada (veja acima), você pode filtrar nessa, por exemplo, usando a porta TCP 443 .

Usando o (pré)-mestre-secreto

O mestre segredo permite a descriptografia do TLS no Wireshark e pode ser fornecido através do arquivo de log de chave. O segredo pré-mestre é o resultado da troca-chave e pode ser convertido em um segredo mestre por Wireshark. Este segredo pré-mestre pode ser obtido quando uma chave privada da RSA é fornecida e uma troca de chaves RSA está em uso.

Instruções passo a passo para descriptografar o tráfego TLS do Chrome ou Firefox no Wireshark:

  1. Feche completamente o navegador (verifique seu gerente de tarefas apenas para ter certeza).
  2. Definir variável de ambiente SSLKEYLOGFILE para o caminho absoluto de um arquivo gravável.
  3. Inicie o navegador.
  4. Verifique se o local da etapa 2 é criado.
  5. Em Wireshark, vá para Editar ->Preferências ->Protocolos ->TLS, e mude o (Pré)-mestre-secret log filename preferência ao caminho da etapa 2.
  6. Inicie a captura do Wireshark.
  7. Abra um site, por exemplo, https: // www.Wireshark.org/
  8. Verifique se os dados descriptografados são visíveis. Por exemplo, usando o filtro TLS e (HTTP ou HTTP2).

Para janelas, Uma variável de ambiente pode ser definida globalmente, conforme descrito neste passo a passo, mas isso não é recomendado, pois é fácil esquecer e pode ser um problema de segurança, pois permite a descriptografia de todo o seu tráfego TLS. Uma maneira melhor de definir a variável de ambiente é através de um arquivo em lote. Crie um arquivo START-FX.CMD com:

@echo off set sslkeyLogfile =%userprofile%\ desktop \ keylogfile.txt Iniciar o Firefox

Para Linux, Você abre um terminal e inicia o navegador com:

exportar sslkeyLogfile = $ home/desktop/keylogfile.TXT Firefox

Para Mac OS, Você abre um terminal e inicia o navegador com:

exportar sslkeyLogfile = $ home/desktop/keylogfile.txt aberto -um firefox

Altere o caminho SSLKEYLOGFILE, conforme necessário, e substitua o Firefox pelo Chrome pelo Google Chrome. Atualmente, esse mecanismo (2019) não funciona para Safari, Microsoft Edge e outros desde suas bibliotecas TLS (Microsoft Schannel/Apple SecureTransport) não apoie este mecanismo. Esse mecanismo funciona para outros navegadores da Web, mas depende da biblioteca TLS usada pelo aplicativo.

Observação: As versões baseadas em cromo de borda (versão 79+) também devem funcionar.

Exemplos de outras aplicações:

  • As aplicações usando o OpenSSL podem usar um truque GDB ou LD_PRELOAD para extrair os segredos. Isso inclui Python.
    • Para um passo a passo para o Apache HTTP Server usando este LIBSSLKEYLOG.Então biblioteca, veja este post.
    • JSSLKEYLOG: http: // jsslkeylog.sourceforge.líquido/
    • Extract-tls-Secrets: https: // github.com/neykov/extract-tls-secrets

    Para uma pesquisa com aplicações e bibliotecas de TLS suportadas, consulte também a página 19 da SSL/TLS de Peter Wu de SSL/TLS Decripção Sharkfest’18 Apresentação da UE.

    Incorporar segredos de descriptografia em um arquivo PCAPNG

    Desde Wireshark 3.0 você pode incorporar o arquivo de log de chave TLS em um PCAPNG arquivo. Isso facilita muito a distribuição de arquivos de captura com segredos de descriptografia e facilita a alternância entre os arquivos de captura, pois a preferência do protocolo TLS não precisa ser atualizada. Para adicionar o conteúdo das chaves de arquivo de logs.txt para capturar o arquivo.PCAP e escreva o resultado para o out-DSB.PCAPNG:

    EditCap-Injetar-Segrets TLS, chaves.txt in.PCAP Out-DSB.PCAPNG

    O DSB Sufixo significa Bloco de Secretos de Descriptografia (DSB) e faz parte da especificação PCAPNG.

    Um arquivo de log de chave pode conter chaves que não estão relacionadas a um arquivo de captura. Para garantir que as chaves desnecessárias não sejam vazadas, você pode usar os segundos injetados.script py de https: // gist.Github.com/lekensteyn/f64ba6d6d2c6229d6ec44464797979ea24 Para filtrar o arquivo de log de chaves e adicionar os segredos necessários a um arquivo de captura. O script Shell foi testado com Linux e MacOS, mas uma versão Python 3 também está disponível para todas as plataformas, incluindo Windows. Exemplo:

    clone git https: //.Github.com/lekensteyn/f64ba6d6d2c6229d6ec444647979797ea24 ~/its ~/its/inject-tls-secrets.Py Keys.txt alguns.PCAP

    Veja também

    Alguns outros protocolos são derivados de TLS. Isso inclui:

    • O DTLS é baseado no padrão TLS e é executado no topo do UDP como um protocolo de transporte.
    • Quic é um protocolo no desenvolvimento que usa TLS para sua criptografia, o status de Wireshark pode ser rastreado em https: // github.com/quicwg/base-drafts/wiki/ferramentas#wireshark.

    links externos

    • https: // pt.Wikipedia.org/wiki/transport_layer_security wikipedia artigo para tls
    • https: // sharkfesteurope.Wireshark.org/ativo/apresentações16eu/07.PDFSHARKFEST’16 Apresentação da UE da Sake Blok na solução de problemas SSL com wireshark/tshark (ou assista ao vídeo da apresentação em https: // youtu.be/odady9qcnxk)
    • https: // lekensteyn.nl/files/wireshark-ssl-tls-decrypion-secrets-sharkfest18eu.PDFSHARKFEST’18 Apresentação da UE por Peter Wu na Decripção do TLS (vídeo para uma palestra anterior na Ásia em https: // youtu.be/bwjebwgoebg)
    • https: // lekensteyn.nl/arquivos/wireshark-tls-debugging-sharkfest19us.PDFSHARKFEST’19 Apresentação dos EUA por Peter Wu descrevendo a descriptografia e o uso de segredos de descriptografia incorporada (https: // youtu.be/ha4slHcef6w).
    • Como funciona o SSL/TLS? – Troca de pilha de segurança da informação
    • SSL sem key: The Nitty Gritty Technical Detalhes com uma boa introdução no TLS
    • O polarproxi da Netresec é um proxy SSL/TLS transparente criado para respondedores de incidentes e pesquisadores de malware que são projetados principalmente para interceptar e descriptografar o tráfego criptografado de malware de malware. PolarProxy descriptografa e reencriica o tráfego do TLS, além de salvar o tráfego descriptografado em um arquivo PCAP que pode ser carregado no Wireshark ou em um sistema de detecção de intrusões (IDS).

    O que é https?

    HTTPS (Protocolo de transferência de hipertexto seguro) é uma versão segura do protocolo HTTP que usa o protocolo SSL/TLS para criptografia e autenticação. O HTTPS é especificado pelo RFC 2818 (maio de 2000) e usa a porta 443 por padrão em vez de http’s porta 80.

    O protocolo HTTPS permite que os usuários do site transmitam dados confidenciais, como números de cartão de crédito, informações bancárias e credenciais de login com segurança pela Internet. Por esse motivo, o HTTPS é especialmente importante para garantir atividades on -line, como compras, bancos e trabalho remoto. No entanto, o HTTPS está rapidamente se tornando o protocolo padrão para todos sites, independentemente de trocarem ou não dados confidenciais com os usuários.

    Como https é diferente de http?

    Https adiciona criptografia, autenticação, e integridade para o protocolo HTTP:

    Criptografia: Como o HTTP foi originalmente projetado como um protocolo de texto claro, é vulnerável a escutas e homem nos ataques do meio. Ao incluir a criptografia SSL/TLS, o HTTPS impede que os dados enviados pela Internet sejam interceptados e lidos por terceiros. Através da criptografia de chave pública e do aperto de mão SSL/TLS, uma sessão de comunicação criptografada pode ser montada com segurança entre duas partes que nunca se conheceram pessoalmente (e.g. um servidor e navegador da web) através da criação de uma chave secreta compartilhada.

    Autenticação: Ao contrário do HTTP, o HTTPS inclui autenticação robusta via protocolo SSL/TLS. Um website’O certificado SSL/TLS inclui um chave pública que um navegador da web pode usar para confirmar que os documentos enviados pelo servidor (como páginas HTML) foram assinados digitalmente por alguém na posse do correspondente chave privada. Se o servidor’S Certificado foi assinado por uma Autoridade de Certificado Publicamente Confiável (CA), como SSL.com, o navegador aceitará que qualquer informação de identificação incluída no certificado tenha sido validada por um terceiro confiável.

    Os sites HTTPS também podem ser configurados para autenticação mútua, em que um navegador da web apresenta um certificado de cliente identificando o usuário. A autenticação mútua é útil para situações como trabalho remoto, onde é desejável incluir autenticação multifatorial, reduzir o risco de phishing ou outros ataques envolvendo roubo de credenciais. Para obter mais informações sobre como configurar certificados de clientes em navegadores da web, leia isso como fazer.

    Integridade: Cada documento (como uma página da web, imagem ou arquivo JavaScript) enviado a um navegador por um servidor da Web HTTPS inclui uma assinatura digital que um navegador da Web pode usar para determinar que o documento não foi alterado por terceiros ou corrompido enquanto estiver em trânsito. O servidor calcula um hash criptográfico do documento’S conteúdo, incluído com seu certificado digital, que o navegador pode calcular independentemente para provar que o documento’s integridade está intacta.

    Tomados em conjunto, essas garantias de criptografia, autenticação e integridade tornam https um muito Protocolo mais seguro para navegar e conduzir negócios na web do que http.

    Quais informações os HTTPs fornecem aos usuários sobre os proprietários do site?

    CAS Use três métodos básicos de validação ao emitir certificados digitais. O método de validação usado determina as informações que serão incluídas em um site’SSL/TLS Certificado:

    Validação de domínio (DV) Simplesmente confirma que o nome de domínio coberto pelo certificado está sob o controle da entidade que solicitou o certificado.
    Organização / Validação Individual (OV / IV) Os certificados incluem o nome validado de uma empresa ou outra organização (OV) ou uma pessoa individual (IV).
    Validação estendida (EV) Certificados representam o mais alto padrão da confiança da Internet e exigem o maior esforço da CA para validar. Os certificados de EV são emitidos apenas para empresas e outras organizações registradas, não para indivíduos, e incluem o nome validado dessa organização.

    Para obter mais informações sobre como visualizar o conteúdo de um site’s Certificado digital, leia nosso artigo, como posso verificar se um site é administrado por um negócio legítimo?

    Por que usar https?

    Existem várias boas razões para usar o HTTPS em seu site e insistir em HTTPs ao navegar, fazer compras e trabalhar na Web como usuário:

    Integridade e autenticação: Através de criptografia e autenticação, o HTTPS protege a integridade da comunicação entre um site e um usuário’S navegadores. Seus usuários saberão que os dados enviados do seu servidor da web não foram interceptados e/ou alterados por terceiros em trânsito. E se você’Feito o investimento extra em certificados EV ou OV, eles também poderão dizer que as informações realmente vieram do seu negócio ou organização.

    Privacidade: É claro que ninguém quer que os intrusos pegem seus números e senhas de cartão de crédito enquanto eles compram ou bancam on -line, e HTTPS é ótimo para impedir que isso. Mas você faria realmente Deseja tudo o mais que vê e faça na web para ser um livro aberto para quem se sente como bisbilhotando (incluindo governos, empregadores ou alguém construindo um perfil para desanimizar suas atividades on-line)? HTTPS desempenha um papel importante aqui também.

    Experiência de usuário: Mudanças recentes na interface do usuário do navegador resultaram em sites HTTP sendo sinalizados como inseguros. Você quer seus clientes’ navegadores para dizer a eles que seu site é “Não é seguro” ou mostre-lhes uma trava cruzada quando o visitar? Claro que não!

    Compatibilidade: As mudanças atuais do navegador estão empurrando o HTTP sempre mais perto da incompatibilidade. A Mozilla Firefox anunciou recentemente um modo opcional apenas para HTTPS, enquanto o Google Chrome está se movendo constantemente para bloquear o conteúdo misto (recursos HTTP vinculados às páginas HTTPS). Quando visto junto com avisos de navegador de “insegurança” Para sites HTTP, isso’é fácil ver que a escrita está na parede para http. Em 2020, todos os principais navegadores e dispositivos móveis atuais suportam https, então você ganhou’Ter os usuários mudando de http.

    SEO: Os mecanismos de pesquisa (incluindo o Google) usam o HTTPS como um sinal de classificação ao gerar resultados de pesquisa. Portanto, os proprietários de sites podem obter um impulso fácil de SEO apenas configurando seus servidores da web para usar o HTTPS em vez de HTTP.

    Em resumo, não há mais boas razões para os sites públicos continuarem apoiando HTTP. Até o governo dos Estados Unidos está a bordo!

    Como funciona os https?

    Https adiciona criptografia Para o protocolo HTTP, envolvendo HTTP dentro do protocolo SSL/TLS (e é por isso que o SSL é chamado de protocolo de tunelamento), para que todas as mensagens sejam criptografadas em ambas as direções entre dois computadores em rede (e.g. um cliente e servidor da web). Embora um bisbilhotão ainda possa acessar endereços IP, números de portas, nomes de domínio, a quantidade de informações trocadas e a duração de uma sessão, todos os dados reais trocados são criptografados com segurança pelo SSL/TLS, incluindo:

    Solicitar url (Qual página da web foi solicitada pelo cliente)
    Conteúdo do site
    Parâmetros de consulta
    Cabeçalhos
    Biscoitos

    HTTPS também usa o protocolo SSL/TLS para autenticação. SSL/TLS usa documentos digitais conhecidos como X.509 certificados para se ligar criptográfico Pares -chave para as identidades de entidades como sites, indivíduos e empresas. Cada par de teclas inclui um chave privada, que é mantido seguro e um chave pública, que pode ser amplamente distribuído. Qualquer pessoa com a chave pública pode usá -la para:

    • Envie uma mensagem de que apenas o possuidor da chave privada pode descriptografar.
    • Confirme que uma mensagem foi assinada digitalmente por sua chave privada correspondente.

    Se o certificado apresentado por um site HTTPS foi assinado por um publicamente confiável Autoridade de Certificação (CA), como Ssl.com, Os usuários podem ter certeza de que a identidade do site foi validada por um terceiro confiável e rigorosamente auditado.

    O que acontece se meu site não’t Use HTTPS?

    Em 2020, sites que não usam HTTPs ou servem conteúdo misto (servir recursos como imagens via HTTP de páginas HTTPS) estão sujeitas a avisos e erros de segurança do navegador. Além disso, esses sites comprometem desnecessariamente seus usuários’ privacidade e segurança, e não são preferidas por algoritmos de mecanismo de pesquisa. Portanto, os sites HTTP e de conteúdo misto podem esperar Mais avisos e erros do navegador, Trust do usuário inferior e SEO mais pobre do que se tivessem habilitado https.

    Como sei se um site usa https?

    Barra de endereço

    Um URL HTTPS começa com https: // em vez de http: // . Os navegadores da web modernos também indicam que um usuário está visitando um site HTTPS seguro, exibindo um símbolo fechado de cadeado à esquerda do URL:

    Nos navegadores modernos como Chrome, Firefox e Safari, os usuários podem Clique no bloqueio Para ver se um site HTTPS’S Certificado Digital inclui a identificação de informações sobre seu proprietário.

    Como faço para que HTTPS no meu site?

    Para proteger um site voltado para o público com HTTPS, é necessário instalar um certificado SSL/TLS assinado por uma autoridade de certificação publicamente confiável (CA) em seu servidor da Web. Ssl.com’S KnowledgeBase inclui muitos guias úteis e instruções para configurar uma ampla variedade de plataformas de servidores da web para oferecer suporte a HTTPS.

    Para guias mais gerais para a configuração e solução de problemas do servidor HTTP, leia as melhores práticas do SSL/TLS para 2020 e solucionando problemas de erros e avisos do navegador SSL/TLS.

    Obrigado por visitar SSL.com! Se você tiver alguma dúvida sobre o pedido e a instalação de certificados SSL/TLS, entre em contato com nossa equipe de suporte 24/7 por e -mail em [email protected], por telefone em 1-877-SSL-Seguro, ou simplesmente clicando no link de bate-papo no canto inferior direito desta página da web.

    HTTPS usa TLS?

    О эээ сйранibus

    Ы з ззарегиgléria. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот. Почpels эээ моогitu произойth?

    Эта страница отображается в тех случаях, когда автоматическими системами Google регистрируются исходящие из вашей сети запросы, которые нарушают Условия использования. Ponto. Ээth момо номттаая и оозз илэз и ээ и эз и эз и з и ззз и зз и ээз и ээз иth ээ эth ээзз эth эзз иthлз ио и зз и иth эз иээ эээо иth эз эээ ээо ээоо иth иэзз эth эзт эth эз ио эээ иth эз иэз иthлзз иоз ил иээ иээо иэээ иээо иth ио иээ эth иэ иээ эth иэ иээ эth ио иэ ээог seguir.

    Ит и и и и и и и и и чззжfia м ирржжжfia м иржжжжfia м мжжжжжж<ь м м иржжжfia. não. Если вы используете общий доступ в Интернет, проблема может быть с компьютером с таким же IP-адресом, как у вас. Орратитеitivamente к с о и и с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с а с с а с а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а &rdquo;. ПодробнÉ.

    Проверка по слову может также появляться, если вы вводите сложные запросы, обычно распространяемые автоматизированными системами, или же вводите запросы очень часто.

    O que é um certificado TLS/SSL e como funciona?

    Sempre que você envia ou recebe informações na Internet, ela passa por uma rede de vários computadores para chegar ao destino. Historicamente, qualquer um desses computadores poderia ler seus dados, porque eles não foram criptografados.

    Muitos desses dados são bastante sensíveis – e valiosos para hackers. Ele pode incluir comunicações privadas que não são criptografadas de ponta a ponta (nova janela), informações financeiras e, para aplicativos da web que não&rsquo;t Utilize o Protocolo Seguro Remoto Seguro (New Window), até credenciais de login.

    Para proteger dados confidenciais, os especialistas em segurança desenvolveram um novo protocolo padrão para enviar e receber tráfego da Internet: TLS da camada de transporte (TLS). Isso foi precedido pela camada de soquetes seguros (SSL), mas isso agora foi amplamente substituído pelo TLS.

    Neste artigo, nós&rsquo;Cubra os conceitos básicos por trás dos certificados TLS e TLS. Você também pode pular para as diferentes seções:

    1. O que é TLS?
    2. O que é um certificado TLS?
    3. Como funciona um certificado TLS?
    4. Quais são as fraquezas de um certificado TLS?
    5. Por que autoridades de certificado de confiança?
    6. Precauções de segurança extras tomadas pelo Proton Mail

    O que é TLS?

    Antes de nos aprofundarmos no que é um certificado TLS ou como ele funciona, você deve entender um pouco da tecnologia subjacente.

    A segurança da camada de transporte é um protocolo que estabelece uma sessão criptografada entre dois computadores na Internet. Ele verifica a identidade do servidor e impede que os hackers interceptem todos os dados.

    O TLS (e seu antecessor SSL) permite que os usuários transmitam dados confidenciais com segurança ao usar o protocolo HTTPS (nova janela) . Em outras palavras, HTTPS é HTTP em camadas em cima do TLS. Essa tecnologia é ideal para aplicações como bancos, autenticação de informações, troca de email e qualquer outro procedimento que exija um nível mais alto de privacidade e segurança. O TLS ajuda a fornecer uma camada aprimorada de proteção criptografando os dados legíveis, dificultando a obtenção de informações privadas.

    Imagem mostrando como uma sessão TLS é formada

    Essa estrutura fornece privacidade entre os diferentes pontos de extremidade da transmissão de dados e garante os dados&rsquo;s Integridade. Ele também usa certificados digitais para ajudar a verificar a autenticidade dos servidores. Esses certificados são comumente chamados de certificados TLS.

    A autenticação desses certificados acontece usando a criptografia pública. Isso é baseado em pares -chave que consistem em uma chave pública e uma chave privada. A descriptografia dos dados criptografados só pode ocorrer quando a chave pública e a chave privada estiverem presentes. Os certificados TLS usam a autenticação de chave pública para ajudar a verificar se os dados estão sendo acessados ​​pelo destinatário pretendido.

    O que é um certificado TLS?

    Certificados digitais, também conhecidos como certificados de identidade ou certificados de chave pública, são arquivos digitais usados ​​para certificar a propriedade de uma chave pública. Os certificados TLS são um tipo de certificado digital, emitido por uma autoridade de certificado (CA). A CA assina o certificado, certificando que eles verificaram que pertence aos proprietários do nome de domínio, que é o assunto do certificado.

    Os certificados TLS geralmente contêm as seguintes informações:

    • O nome de domínio do sujeito
    • A organização do assunto
    • O nome da CA emissora
    • Nomes de domínio de sujeitos adicionais ou alternativos, incluindo subdomínios, se houver
    • Data de emissão
    • Data de validade
    • A chave pública (a chave privada, no entanto, é um segredo.)
    • A assinatura digital pela CA

    Como funciona um certificado TLS?

    Quando um usuário tenta se conectar a um servidor, o servidor envia seu certificado TLS.

    O usuário então verifica o servidor&rsquo;s certificado usando certificados CA presentes no usuário&rsquo;dispositivo s para estabelecer uma conexão segura. Este processo de verificação usa a criptografia pública, como RSA ou ECC, para provar que a CA assinou o certificado. Contanto que você confie na CA, isso demonstra que você está se comunicando com o certificado do servidor&rsquo;s Assunto (E.g., Proton Mail.com).

    Então, isso significa que é 100% seguro e à prova de idiotas? Bem, nem sempre.

    Quais são as fraquezas dos certificados TLS?

    Embora os certificados TLS sejam geralmente seguros, existem maneiras pelas quais os hackers podem atacar e potencialmente comprometer o TLS. Esses incluem:

    Envenenamento da loja de certificados

    Se um invasor infectar um computador com software malicioso, ele poderá obter acesso aos certificados digitais armazenados nesse dispositivo e inserir um certificado raiz. Isso, juntamente com a capacidade de responder fraudulentamente a esse usuário&rsquo;s Pedidos no site, permitiria que eles sexessem um site, permitindo que eles leiam todos os dados enviados a ele.

    Atacando CAS diretamente

    Para que a certificação TLS funcione, a CA deve estar segura. Qualquer violação da CA pode levar à autorização incorreta ou fraudulenta de chaves. Isso aconteceu ocasionalmente no passado, com Comodo e Diginotar (nova janela) sendo exemplos relativamente de alto nível.

    Certificados emitidos por engano

    Os usuários confiam no CAS para autenticar o servidor ao qual se conectam. No entanto, às vezes há um problema com um certificado que apresenta uma vulnerabilidade que os hackers podem explorar. Quando combinado com uma conexão insegura na Internet, um invasor pode usar um certificado emitido para comprometer sua conexão com um servidor.

    Se todos esses problemas existirem, é prudente confiar em cass cegamente? Confie, sim. Cegamente, não.

    Por que autoridades de certificado de confiança?

    Como os agentes responsáveis ​​por verificar se os dados que você recebeu vieram do servidor que você esperava e não foi adulterado no caminho, o CAS desempenha um papel importante na Internet moderna. Ao emitir milhões de certificados digitais a cada ano, eles são a espinha dorsal da comunicação segura da Internet, ajudando a criptografar bilhões de trocas de dados e transações.

    A configuração física de uma CA é conhecida como sua infraestrutura de chave pública (PKI). O PKI consiste em vários elementos operacionais, incluindo hardware, software, infraestrutura de segurança, pessoal, estruturas de políticas, sistemas de auditoria e declarações de prática, que contribuem para garantir que o processo de validação de certificado TLS seja confiável.

    O modelo de confiança do PKI conta com dois elementos principais: certificados raiz (também chamados de raízes confiáveis) e o servidor&rsquo;s certificado. Qualquer certificado emitido por uma CA será automaticamente confiável pelo seu navegador, desde que a CA&rsquo;s Certificado de raiz está instalado no armazenamento de certificados do seu dispositivo. Cada dispositivo possui um loja de certificados, que é uma coleção local de certificados raiz do CAS confiável.

    Precauções de segurança extras tomadas pelo Proton Mail

    Embora seja verdade que os métodos de criptografia baseados em CAS e TLS são relativamente seguros, lá&rsquo;é sempre escopo para melhorias.

    Aqui na Proton, entregar privacidade e segurança aprimorada é nosso objetivo principal. Usamos medidas adicionais para estabelecer conexões seguras e confiáveis. Listados abaixo estão algumas das etapas que tomamos.

    Autorização da Autoridade de Certificação DNS (CAA)

    Em 2011, quando surgiram notícias sobre certificados emitidos incorretamente, surgiram a necessidade de mecanismos de segurança aprimorados. Um dos resultados dessa necessidade é o DNS CAA, que bloqueia a emissão de certificados incorretos.

    A utilização de um registro de recursos DNS permite que os proprietários de domínio decidam quais CAS podem emitir certificados para um determinado domínio. Se existir um registro da CAA, apenas o CAS listado nesse registro pode emitir o host&rsquo;s certificado.

    Embora isso forneça alguma proteção contra o uso indevido de certificado não intencional, é muito difícil para os usuários detectar se uma CA ignora o aviso da CAA. É por isso que a transparência de certificado é necessária.

    Transparência de certificado

    Para garantir a validade dos certificados e evitar mal-intestinais, todos os CAS postam os certificados que eles geraram em servidores de logs públicos, conhecidos como logs de transparência de certificado (CT). Esses servidores enviam uma assinatura para a CA, prometendo publicar seu certificado.

    Servimos um cabeçalho de espera-CT, que diz ao navegador para exigir a presença desta assinatura. Também temos servidores de monitoramento e auditoria que verificam o log de CT para todos os certificados prometidos que devem ser publicados.

    Juntos, todas essas medidas o tornam altamente improvável para qualquer pessoa, incluindo um ator estatal, gerar um certificado TLS para Proton.eu e usá -lo para interceptar conexões sem ser detectado.

    Certificado TLS Pinning

    Certificado Pinning é um processo que vincula um serviço à sua chave pública específica. Depois que um certificado é estabelecido para um serviço específico, ele é permanentemente fixado no serviço. Se houver vários certificados válidos para um determinado serviço, os pinos serão mesclados em um pinset. Para validar um pinset, pelo menos um elemento do serviço deve corresponder aos elementos do pinset. Nós fixamos a chave pública de nossos certificados em todos os nossos aplicativos nativos.

    Nossa missão é construir uma internet mais segura e ser informado sobre como seus dados são protegidos pode capacitá -lo a tomar melhores decisões sobre os serviços que você usa. Se você tiver mais perguntas ou comentários sobre certificados TLS ou como os usamos, informe -nos nas mídias sociais no Twitter (nova janela) ou reddit (nova janela) .

    Atenciosamente,
    A equipe de correio de prótons

    Nós também fornecemos um Serviço VPN gratuito (nova janela) Para proteger sua privacidade. Proton Mail e Proton VPN (New Window) são financiados por contribuições da comunidade. Se você deseja apoiar nossos esforços de desenvolvimento, pode atualizar para um plano pago (nova janela) ou doar (nova janela) . Obrigado pelo seu apoio.

    Sinta -se à vontade para compartilhar seus comentários e perguntas conosco por meio de nossos canais oficiais de mídia social no Twitter (nova janela) e reddit (nova janela) .