Co to jest https

Aby chronić publiczną stronę internetową za pomocą HTTPS, konieczne jest zainstalowanie certyfikatu SSL/TLS podpisanego przez publicznie zaufany Urząd Świadectwa (CA) na Twoim serwerze WWW. SSL.com’S KnowledgeBase obejmuje wiele pomocnych przewodników i howor.

Streszczenie:

HTTPS to bezpieczny protokół używany do ochrony stron internetowych. Wymaga instalacji certyfikatu SSL/TLS z zaufanego CA. SSL.COM zapewnia przewodniki do konfigurowania serwerów internetowych do obsługi HTTPS.

Kluczowe punkty:

1. Bezpieczeństwo warstwy transportowej (TLS): TLS zapewnia bezpieczeństwo komunikacji między hostami. Zapewnia uczciwość, uwierzytelnianie i poufność. Jest powszechnie używany w przeglądarkach internetowych, ale może być używany z dowolnym protokołem korzystającym z TCP.

2. TLS vs SSL: SSL jest poprzednikiem protokołu TLS. Niektóre terminy, takie jak certyfikaty SSL, są używane zamiennie. Ważne jest, aby używać TLS zamiast niepewnego protokołu SSL.

3. Zastosowanie portu: Niektóre aplikacje używają jednego portu zarówno dla sesji niezaszyfrowanych, jak i szyfrowanych. Aby przełączyć się z niezaszyfrowany na zaszyfrowany, używany jest starttls. Termin SSL może być używany, gdy pojedynczy port bezpośrednio używa protokołu TLS.

4. SSL/TLS w Wireshark: Wireshark ma w pełni funkcjonalny Dessector TLS, który obsługuje deszyfrowanie, jeśli zapewnione są odpowiednie sekrety. Dessector został przemianowany z SSL na TLS w Wirreshark 3.0.

5. TLS deszyfrowanie: Wireshark obsługuje deszyfrowanie TLS za pomocą pliku dziennika kluczy lub klucza prywatnego RSA. Kluczowy plik dziennika jest zalecany, ponieważ działa we wszystkich przypadkach. Klucz prywatny RSA ma ograniczenia.

6. Ustawienia preferencji: Preferencje związane z TLS można znaleźć w menu Edytuj -> Preferencje. Godne uwagi preferencje obejmują (Pre) -Master-Secret Log Filename, List Klawisze RSA, plik debugowania przed shreed i TLS.

7. Preferencje protokołu TCP: Aby włączyć deszyfrowanie TLS, musi być włączona opcja „Zezwalaj na ponowne złożenie strumieni TCP”. Zaczynając od Wireshark 3.0, opcja „Reassemble segmenty” jest domyślnie wyłączona.

8. Okno dialogowe klawiszy RSA: Zaczynając od Wireshark 3.0, nowe okno dialogowe RSA Keys jest dostępne w edycji -> Preferencje -> Klawisze RSA. Umożliwia dodanie klawiszy PEM Format Prywatne lub PKCS#12.

Pytania:

Pytanie 1: Jaki jest cel zainstalowania certyfikatu SSL/TLS dla HTTPS?

Odpowiedź: Instalowanie certyfikatu SSL/TLS jest niezbędne do ustanowienia bezpiecznej komunikacji i ochrony strony internetowej przed nieautoryzowanym dostępem. Weryfikuje tożsamość serwera i umożliwia szyfrowanie danych wymienianych między serwerem a klientami.

Pytanie 2: Czy TL można używać z protokołami innych niż przeglądarki internetowe?

Odpowiedź: Tak, TLS może być używany z dowolnym protokołem, który wykorzystuje TCP jako warstwę transportową. Zapewnia bezpieczeństwo, integralność i uwierzytelnianie komunikacji między hostami.

Pytanie 3: Jakie są różnice między TLS i SSL?

Odpowiedź: SSL jest poprzednikiem protokołu TLS. TLS jest zalecanym protokołem, ponieważ SSL jest uważany za niepewny. Jednak terminy certyfikaty SSL i SSL są nadal używane zamiennie w niektórych przypadkach, co prowadzi do zamieszania.

Pytanie 4: Jak może odszyfrować ruch w Wireshark?

Odpowiedź: Wireshark może odszyfrować ruch TLS, jeśli zapewnione są odpowiednie sekrety. Obsługuje deszyfrowanie za pomocą pliku dziennika kluczy lub klucza prywatnego RSA. Kluczowy plik dziennika jest zalecany do odszkodowania.

Pytanie 5: Gdzie można znaleźć ustawienia preferencji deszyfrowania TLS w Wireshark?

Odpowiedź: Ustawienia preferencji deszyfrowania TLS można znaleźć w menu edycji -> preferencje. Pod drzewem protokołów wybierz TLS. Dodatkowe preferencje są dostępne w preferencjach protokołu TCP.

Pytanie 6: Jakie są ograniczenia korzystania z prywatnego klucza RSA do odszyfrowania TLS?

Odpowiedź: Metoda kluczowego kluczowego RSA dla deszyfrowania TLS ma ograniczenia. Działa tylko wtedy, gdy pakiet szyfrów wybrany przez serwer nie używa (EC) DHE, wersja protokołu to SSLV3 lub (d) TLS 1.0-1.2 (nie działa z TLS 1.3), a klucz prywatny pasuje do certyfikatu serwera. Dodatkowo nie można wznowić sesji.

Pytanie 7: W jaki sposób można włączyć deszyfrowanie TLS w Wireshark dla wszystkich przypadków?

Odpowiedź: Deszyfrowanie TLS można włączyć dla wszystkich przypadków za pomocą pliku dziennika klucza. Kluczowy plik dziennika to plik tekstowy generowany przez aplikacje takie jak Firefox, Chrome i Curl, gdy ustawiona jest zmienna środowiskowa SSLKEyLogFile. Wymaga ciągłego eksportu tajemnic z aplikacji klienta lub serwera.

Pytanie 8: Jakie są godne uwagi preferencje dotyczące deszyfrowania TLS w Wireshark?

Odpowiedź: Niektóre godne uwagi preferencje dotyczące deszyfrowania TLS w Wireshark obejmują nazwę pliku dziennika (pre)-master-secret, listę klawiszy RSA (przestarzały na korzyść okna dialogowego RSA Keys), klawisz wstępny dla PSK Suites Cipher Suites oraz plik debugowania TLS do pisania wewnętrznych szczegółów na temat procesu deszyfrowania.

Pytanie 9: Które preferencje protokołu TCP są wymagane, aby włączyć deszyfrowanie TLS w WIRSHARK?

Odpowiedź: Wymagane są dwie preferencje protokołu TCP, aby włączyć deszyfrowanie TLS w Wireshark: „Zezwalaj Subdissector na ponowne montaż strumieni TCP” (domyślnie włączone) i „Reassemble Out-Of-Ofter Segments” (domyślnie wyłączone od Wireshark 3.0).

Pytanie 10: Jaki jest cel okna dialogowego RSA Keys w Wireshark?

Odpowiedź: Okno dialogowe RSA klawisze w Wireshark umożliwia dodanie klawiszy prywatnych lub PKCS#12 do odszkodowania. Zapewnia wygodny sposób skonfigurowania prywatnych kluczy RSA do celów deszyfrowania.

Co to jest https

Aby chronić publiczną stronę internetową za pomocą HTTPS, konieczne jest zainstalowanie certyfikatu SSL/TLS podpisanego przez publicznie zaufany Urząd Świadectwa (CA) na Twoim serwerze WWW. SSL.com’S KnowledgeBase obejmuje wiele pomocnych przewodników i howor.

Bezpieczeństwo warstwy transportowej (TLS)

Transport Warstwa Security (TLS) zapewnia bezpieczeństwo w komunikacji między dwoma hostami. Zapewnia uczciwość, uwierzytelnianie i poufność. Jest używany najczęściej w przeglądarkach internetowych, ale może być używany z dowolnym protokołem, który wykorzystuje TCP jako warstwę transportową.

Secure Sockets Warstwa (SSL) jest poprzednikiem protokołu TLS. Te nazwy są często używane zamiennie, co może prowadzić do pewnego zamieszania:

• Konfiguracja, która używa Protokół SSL (SSLV2/SSLV3) jest niepewny. Protokół TLS Zamiast tego należy użyć.
• X.Czasami nazywane jest również 509 certyfikatów uwierzytelniania Certyfikaty SSL.
• Niektóre aplikacje (takie jak poczta e -mail) używają jednego portu zarówno dla sesji niezaszyfrowanych, jak i zaszyfrowanych. Zmienić z niezaszyfrowania na zaszyfrowane, (Start) TLS Jest używane. Gdy pojedynczy port bezpośrednio używa protokołu TLS, jest często określany jako SSL.
• Według historycznych powodów, oprogramowanie (w tym Wireshark) patrz SSL lub SSL/TLS, podczas gdy faktycznie oznacza protokół TLS, ponieważ jest to obecnie to, czego wszyscy używają.

Zależności protokołu

• TCP: Zazwyczaj TLS używa TCP jako protokołu transportu.

TLS rozwarstwienie w Wireshark

Dessector TLS jest w pełni funkcjonalny, a nawet obsługuje zaawansowane funkcje, takie jak odszyfrowanie TLS, jeśli zapewnione są odpowiednie sekrety (#TLS_Decryption).

Od Wireshark 3.0, Dessector TLS został przemianowany na SSL na TLS. Korzystanie z filtra wyświetlacza SSL będzie emitować ostrzeżenie.

TLS deszyfrowanie

Wireshark obsługuje deszyfrowanie TLS w razie odpowiednich tajemnic. Dwie dostępne metody to:

• Kluczowy plik dziennika za pomocą tajemnic na sesję (#USing the (Pre) -Master Secret).
• Deszyfrowanie za pomocą klucza prywatnego RSA.

Kluczowy plik dziennika to uniwersalny mechanizm, który zawsze umożliwia deszyfrowanie, nawet jeśli używana jest wymiana kluczy Diffie-Hellman (DH). Klucz prywatny RSA działa tylko w ograniczonej liczbie przypadków.

Kluczowy plik dziennika to plik tekstowy generowany przez aplikacje takie jak Firefox, Chrome i Curl, gdy ustawiona jest zmienna środowiskowa SSLKEyLogFile. Mówiąc dokładniej, ich podstawowa biblioteka (NSS, OpenSSL lub BoringsSl) zapisuje wymagane tajemnice na sesję do pliku. Ten plik można następnie skonfigurować w Wireshark (#USing the (Pre) -Master Secret).

Plik klucza prywatnego RSA może być używany tylko w następujących okolicznościach:

• Pakiet szyfrów wybrany przez serwer nie używa (EC) DHE.
• Wersja protokołu to SSLV3, (D) TLS 1.0-1.2. To robi nie Pracuj z TLS 1.3.
• Klucz prywatny pasuje do serwer certyfikat. Nie działa z klient certyfikat ani certyfikat certyfikatu (CA).
• Sesja nie została wznowiona. Uścisk dłoni musi obejmować ClientKeyExchange Wiadomość uścisku dłoni.

Kluczowy plik dziennika jest ogólnie zalecany, ponieważ działa we wszystkich przypadkach, ale wymaga ciągłej możliwości eksportowania tajemnic z aplikacji klienta lub serwera. Jedyną zaletą klucza prywatnego RSA jest to, że należy go skonfigurować tylko raz w Wireshark, aby włączyć deszyfrowanie, z zastrzeżeniem powyższych ograniczeń.

Ustawienia preferencji

Iść do Edytować -> Preferencje. Otworzyć Protokoły drzewo i wybierz Tls. Alternatywnie wybierz pakiet TLS na liście pakietów, kliknij prawym przyciskiem myszy Tls warstwa w widoku szczegółów pakietu i otwórz Preferencje protokołu menu.

Godne uwagi preferencje protokołu TLS to:

• (Pre) -master-secret log nazwa pliku (TLS.Keylog_file): Ścieżka do odczytania pliku dziennika klucza TLS dla deszyfrowania.
• Lista klawiszy RSA: Otwiera okno dialogowe, aby skonfigurować prywatne klucze RSA do odszkodowania. Przestarzały na korzyść Preferencje ->Klucze RSA dialog.
• Klucz przed rozczarowani: używany do konfigurowania klawisza deszyfrowania dla PSK Cipher apartames. Nie zwykle używane.
• Plik debugowania TLS (TLS.debug_logfile): Ścieżka do pisania wewnętrznych szczegółów na temat procesu deszyfrowania. Będzie zawierać wyniki deszyfrowania i klucze, które zostały użyte w tym procesie. Można to wykorzystać do zdiagnozowania, dlaczego deszyfrowanie zawodzi.

Wymagane są również następujące preferencje protokołu TCP, aby włączyć deszyfrowanie TLS:

• Pozwól subdissektorowi ponownie montować strumienie TCP. Domyślnie włączone.
• Ponowne montaż segmenty poza zamówieniem (od czasu WIRSHark 3.0, domyślnie wyłączone).

Zaczynając od Wireshark 3.0, nowe okno dialogowe klawiszy RSA można znaleźć w Edytować -> Preferencje -> Klucze RSA. W tym oknie dialogowym użyj Dodaj nowy plik kluczyek… przycisk, aby wybrać plik. W razie potrzeby zostaniesz poproszony o hasło. Dodaj nowy token… Przycisk może być używany do dodawania klawiszy z HSM, który może wymagać użycia Dodaj nowego dostawcę… Aby wybrać DLL/.więc plik i dodatkowa konfiguracja specyficzna dla dostawcy.

Plik klucza RSA może być albo Pem Formatuj klucz prywatny lub Keystore PKCS#12 (zazwyczaj plik z .PFX lub .rozszerzenie P12). Klucz PKCS#12 to plik binarny, ale format PEM to plik tekstowy, który wygląda tak:

-----Początek klucz prywatny ----- miovgibadanbgkqhkig9w0baqefaascbkgwggSkaageaaoiBaqdreqzlKVEAK8B5 TRCRBHSI9IYWHX8NQC8K4HEDRVN7HIBQQPP3BHUKVEKDOXPLLUC7A8H1BLR93QW . KOI8FZL+JHG+P8VTPK5ZAIYP ----- END KEY KLUCZ----- 

Przestarzałe Lista Keys RSA okno dialogowe można w pewnym momencie usunąć. Aby skonfigurować klucze, użyj Klucze RSA Zamiast tego okno dialogowe. Aby zmienić protokół odszyfrowanych danych sieciowych, kliknij prawym przyciskiem myszy pakiet TLS i użyj Dekodować as żeby zmienić Aktualny protokół dla Port TLS. adres IP I Port Pola nie są używane.

Przykładowy plik przechwytywania

• wysypisko.pcapng tlsv1.2 Capture Za pomocą 73 apartamentów szyfrowych potrzebujesz tego premiera.plik txt do odszyfrowania ruchu. (Połączone z https: // błędów.Wireshark.org/bugzilla/show_bug.CGI?ID = 9144)
• TLS12-DSB.pcapng – tls 1.2 Śledź z osadzonymi klawiszami deszyfrowania. (Dodano tutaj chwytanie testu w drzewie źródłowym Wireshark)
• https: // gitlab.com/Wireshark/Wireshark/ -/Tree/Master/Test/Captures – Pakiet testowy zawiera różne ślady TLS.

Filtr wyświetlania

Pełną listę pól filtru TLS można znaleźć w odniesieniu do filtra wyświetlania

Pokaż tylko ruch oparty na TLS:

Filtr przechwytujący

Nie można bezpośrednio filtrować protokołów TLS podczas przechwytywania. Jeśli jednak znasz użyty port TCP (patrz wyżej), możesz filtrować ten, na przykład za pomocą portu TCP 443 .

Za pomocą (przed) -master-secret

Master Secret umożliwia deszyfrowanie TLS w Wireshark i może być dostarczane za pomocą pliku dziennika kluczowego. Sekret przed mistrzem jest wynikiem wymiany kluczowej i może zostać przekonwertowany na sekret główny przez Wireshark. Ten sekret przed mistrzem można uzyskać, gdy zapewnione jest klucz prywatny RSA i jest w użyciu giełda RSA.

Instrukcje krok po kroku w celu odszyfrowania ruchu TLS z Chrome lub Firefox w Wireshark:

1. Zamknij całkowicie przeglądarkę (sprawdź menedżera zadań, aby się upewnić).
2. Ustaw zmienną środowiskową sslkeylogFile na bezwzględną ścieżkę pliku zapisywalnego.
3. Rozpocznij przeglądarkę.
4. Sprawdź, czy utworzona jest lokalizacja z kroku 2.
5. W Wireshark przejdź do Edytować ->Preferencje ->Protokoły ->Tls, i zmień (Pre) -master-secret log nazwa pliku preferencja do ścieżki od kroku 2.
6. Rozpocznij przechwytywanie Wireshark.
7. Otwórz stronę internetową, na przykład https: // www.Wireshark.org/
8. Sprawdź, czy odszyfrowane dane są widoczne. Na przykład za pomocą filtra TLS i (HTTP lub HTTP2).

Dla Okna, Zmienną środowiskową można ustawić globalnie zgodnie z opisem w tym przejściu, ale nie jest to zalecane, ponieważ łatwo jest o tym zapomnieć i może być problemem bezpieczeństwa, ponieważ umożliwia odszyfrowanie całego ruchu TLS. Lepszym sposobem ustawienia zmiennej środowiska jest za pomocą pliku wsadowego. Utwórz plik start-fx.CMD z:

@echo Off Set sslkeylogfile =%userProfile%\ Desktop \ keylogFile.TXT Start Firefox 

Dla Linux, Otwierasz terminal, a następnie uruchamiasz przeglądarkę z:

Eksportuj sslkeylogFile = $ home/Desktop/keylogfile.TXT Firefox 

Dla System operacyjny Mac, Otwierasz terminal, a następnie uruchamiasz przeglądarkę z:

Eksportuj sslkeylogFile = $ home/Desktop/keylogfile.txt otwarte -A Firefox 

Zmień ścieżkę sslkeylogfile w razie potrzeby i zastąp Firefox chromem dla Google Chrome. Ten mechanizm obecnie (2019) nie działa dla Safari, Microsoft Edge i innych od czasu ich bibliotek TLS (Microsoft Schannel/Apple Securetransport) Nie popieraj tego mechanizmu. Ten mechanizm działa również na aplikacje inne niż przeglądarki internetowe, ale zależy od biblioteki TLS używanej przez aplikację.

Notatka: Wersje Edge (wersja 79+) również powinny również działać.

Przykłady innych aplikacji:

• Aplikacje korzystające z OpenSSL mogą użyć sztuczki GDB lub LD_PRELOAL, aby wyodrębnić tajemnice. Obejmuje to Python.
  • W celu obsługi serwera Apache HTTP za pomocą tego libsslkeylog.Więc biblioteka, zobacz ten post.
  • jsslkeylog: http: // jsslkeylog.Źródło.internet/
  • Extract-TLS-Secrets: https: // github.com/neykov/extract-tls-secrets

  Przegląd obsługiwanych aplikacji i bibliotek TLS patrz także strona 19 Petera Wu SSL/TLS Decryption Sharkfest’18 Prezentacja UE.

  Osadzanie tajemnic odszyfrowania w pliku PCAPNG

  Od Wireshark 3.0 Możesz osadzić plik dziennika klucza TLS w a pcapng plik. To znacznie ułatwia rozpowszechnianie plików przechwytywania za pomocą tajemnic odszyfrowania i ułatwia przełączanie między plikami przechwytywania, ponieważ preferencje protokołu TLS nie musi być aktualizowane. Aby dodać zawartość klawiszy plików dziennika kluczy.txt do przechwytywania pliku w.PCAP i napisz wynik do Out-DSB.pcapng:

  editcap-Intche-Secrets TLS, klawisze.txt in.PCAP OUT-DSB.pcapng

  DSB Sufiks oznacza blok tajemnic deszyfrowych (DSB) i jest częścią specyfikacji PCAPNG.

  Kluczowy plik dziennika może zawierać klawisze, które nie są powiązane z plikiem przechwytywania. Aby upewnić się, że niepotrzebne klucze nie są wyciekane, możesz użyć secret.skrypt py z https: // gist.github.com/lekensteyn/f64BA6D6D2C6229D6EC444647979EA24 do filtrowania pliku dziennika klucza i dodania wymaganych tajemnic do pliku przechwytywania. Skrypt powłoki został przetestowany z Linux i macOS, ale dla wszystkich platform jest również dostępna wersja Python 3. Przykład:

  Git Clone https: // gist.github.com/lekensteyn/f64BA6D6D2C6229D6EC444647979EA24 ~/ITS ~/ITS/INTTIT-TLS-SECRETS.Keys PY.txt niektóre.PCAP 

  Zobacz też

  Niektóre inne protokoły pochodzą z TLS. To zawiera:

  • DTLS opiera się na standardzie TLS i działa na UDP jako protokół transportu.
  • Quic to protokół w opracowywaniu, który wykorzystuje TLS do jego szyfrowania, status Wireshark można śledzić na stronie https: // github.com/quicwg/base-drafts/wiki/narzędzia#Wireshark.

  Linki zewnętrzne

  • https: // en.Wikipedia.Org/Wiki/Transport_layer_Security Wikipedia Artykuł dla TLS
  • https: // sharkfesteOurope.Wireshark.org/aktywa/prezentacje16eu/07.PDFSHARKFEST’16 Prezentacja UE autorstwa Sake Blok na temat rozwiązywania problemów SSL z WIRSHARK/TSHARK (lub obejrzyj wideo prezentacji na https: // youtu.be/odady9qcnxk)
  • https: // lekensteyn.NL/Files/Wireshark-SSL-TLS-Decryption-Secrets-Sharkfest18eu.PDFSHARKFEST’18 Prezentacja UE autorstwa Petera Wu na TLS decryption (wideo na wcześniejszą rozmowę w Azji na https: // yotuu.be/bwjebwgoebg)
  • https: // lekensteyn.NL/Files/Wireshark-TLS-debugging-Sharkfest19us.PDFSHARKFEST’19 US Prezentacja Petera Wu opisująca odszyfrowanie i użycie wbudowanych tajemnic deszyfrowania (https: // youtu.be/ha4slhcef6w).
  • Jak działa SSL/TLS? – Wymiana stosu bezpieczeństwa informacji
  • Keyless SSL: Nitty Gritty Technical Detaes z dobrym wprowadzeniem w TLS
  • Polarproxy z NETRESEC to przejrzysty serwer proxy SSL/TLS stworzony dla osób udzielających incydentów i badaczy złośliwego oprogramowania, który jest zaprojektowany przede wszystkim do przechwytywania i odszyfrowania TLS szyfrowanego ruchu z złośliwego oprogramowania. Polarproxy odszyfrowa i ponowna inkryfuje ruch TLS, jednocześnie zapisując odszyfrowany ruch w pliku PCAP, który można załadować do Wireshark lub w systemie wykrywania włamań (IDS).

  Co to jest https?

  HTTPS (Protokół transferu hipertext Secure) jest bezpieczną wersją protokołu HTTP, który wykorzystuje protokół SSL/TLS do szyfrowania i uwierzytelniania. HTTPS jest określony przez RFC 2818 (maj 2000) i domyślnie używa portu 443 zamiast HTTP’S Port 80.

  Protokół HTTPS umożliwia bezpieczne przesyłanie poufnych danych, takich jak numery kart kredytowych, informacje bankowe i logowanie. Z tego powodu HTTPS jest szczególnie ważny dla zabezpieczenia działań online, takich jak zakupy, bankowość i zdalne prace. Jednak HTTPS szybko staje się standardowym protokołem dla Wszystko Witryny, niezależnie od tego, czy wymieniają poufne dane z użytkownikami.

  Czym różni się HTTPS od HTTP?

  HTTPS dodaje szyfrowanie, uwierzytelnianie, I uczciwość do protokołu HTTP:

  Szyfrowanie: Ponieważ HTTP został pierwotnie zaprojektowany jako przejrzysty protokół tekst. Uwzględniając szyfrowanie SSL/TLS, HTTPS zapobiega przechwytywaniu i odczytaniu danych przez Internet. Poprzez kryptografię klucza publicznego i uścisk dłoni SSL/TLS, zaszyfrowana sesja komunikacyjna może być bezpiecznie skonfigurowana między dwiema stronami, które nigdy nie spotkały się osobiście (e.G. serwer internetowy i przeglądarka) poprzez tworzenie wspólnego tajnego klucza.

  Uwierzytelnianie: W przeciwieństwie do HTTP, HTTPS zawiera solidne uwierzytelnianie za pośrednictwem protokołu SSL/TLS. Strona internetowa’SSL/TLS Certyfikat obejmuje klucz publiczny że przeglądarka internetowa może użyć do potwierdzenia, że ​​dokumenty wysyłane przez serwer (takie jak strony HTML) zostały cyfrowo podpisane przez osobę posiadającą odpowiednie prywatny klucz. Jeśli serwer’Świadectwo S zostało podpisane przez publicznie zaufany Urząd Świadectwa (CA), taki jak SSL.Com, przeglądarka zaakceptuje to, że wszelkie informacje identyfikacyjne zawarte w certyfikcie zostały zatwierdzone przez zaufaną stronę trzecią.

  Witryny HTTPS można również skonfigurować dla wzajemne uwierzytelnianie, w którym przeglądarka internetowa przedstawia certyfikat klienta identyfikujący użytkownika. Wzajemne uwierzytelnianie jest przydatne w sytuacjach takich jak praca zdalna, w których pożądane jest uwierzytelnienie wieloskładnikowe, zmniejszając ryzyko phishing lub innych ataków obejmujących kradzież poświadczenia. Aby uzyskać więcej informacji na temat konfigurowania certyfikatów klienta w przeglądarkach internetowych, przeczytaj to porad.

  Uczciwość: Każdy dokument (taki jak strona internetowa, obraz lub plik JavaScript) wysłany do przeglądarki przez serwer WWW HTTPS zawiera podpis cyfrowy, którego przeglądarka internetowa może użyć do ustalenia, że ​​dokument nie został zmieniony przez stronę trzecią lub w inny sposób uszkodzony podczas tranzytu podczas tranzytu. Serwer oblicza kryptograficzny skrót dokumentu’Zawartość S, zawarta w cyfrowym certyfikcie, który przeglądarka może niezależnie obliczyć, aby udowodnić, że dokument’S integralność jest nienaruszona.

  Podsumowując, te gwarancje szyfrowania, uwierzytelniania i integralności sprawiają, że HTTPS a dużo bezpieczniejszy protokół przeglądania i prowadzenia działalności w Internecie niż HTTP.

  Jakie informacje HTTPS zapewniają użytkownikom o właścicieli witryn?

  CAS Użyj trzech podstawowych metod walidacji podczas wydawania certyfikatów cyfrowych. Zastosowana metoda sprawdzania poprawności określa informacje, które zostaną zawarte na stronie internetowej’S Certyfikat SSL/TLS:

  • • Walidacja domeny (DV) Po prostu potwierdza, że ​​nazwa domeny objęta certyfikatem jest pod kontrolą podmiotu, który zażądał certyfikatu.
  • • Organizacja / indywidualna walidacja (OV / IV) Certyfikaty obejmują zweryfikowaną nazwę firmy lub innej organizacji (OV) lub indywidualnej osoby (IV).
  • • Rozszerzona walidacja (EV) Certyfikaty reprezentują najwyższy standard w zaufaniu internetowym i wymagają najwięcej wysiłku CA w celu potwierdzenia. Certyfikaty EV są wydawane tylko firmom i innym zarejestrowanym organizacjom, a nie osobom fizycznym, i zawierają zweryfikowaną nazwę tej organizacji.

  Aby uzyskać więcej informacji na temat przeglądania zawartości strony internetowej’S Cyfrowy certyfikat, przeczytaj nasz artykuł, jak mogę sprawdzić, czy witryna jest prowadzona przez legalną firmę?

  Dlaczego warto używać HTTPS?

  Istnieje wiele dobrych powodów, aby korzystać z HTTP na swojej stronie internetowej i nalegać na HTTPS podczas przeglądania, zakupów i pracy w Internecie jako użytkownik:

  Integralność i uwierzytelnianie: Dzięki szyfrowaniu i uwierzytelnianiu HTTPS chroni integralność komunikacji między witryną a użytkownikiem’przeglądarki s. Twoi użytkownicy będą wiedzieć, że dane wysyłane z twojego serwera WWW nie zostały przechwycone i/lub zmienione przez zewnętrzną stronę w tranzycie. I jeśli ty’Ve dokonała dodatkowej inwestycji w certyfikaty EV lub OV, będą oni również w stanie powiedzieć, że informacje naprawdę pochodziły z Twojej firmy lub organizacji.

  Prywatność: Oczywiście nikt nie chce, aby intruzowie zbierają swoje numery kart kredytowych i hasła podczas zakupów lub banku online, a HTTPS jest świetny do zapobiegania temu. Ale zrobiłeś to Naprawdę Chcesz, aby wszystko inne, które widzisz i robisz w Internecie, aby była otwartą książką dla każdego, kto ma ochotę na szpieg (w tym rządy, pracodawców lub kogoś, kto buduje profil, aby usunąć swoje działania online)? HTTPS odgrywa tutaj również ważną rolę.

  Doświadczenie użytkownika: Ostatnie zmiany w interfejsie użytkownika przeglądarki spowodowały, że witryny HTTP zostały oznaczone jako niepewne. Chcesz swoich klientów’ przeglądarki, aby powiedzieć im, że Twoja witryna jest “Nie zabezpieczone” lub pokaż im, jak je odwiedzą? Oczywiście nie!

  Zgodność: Obecne zmiany przeglądarki przesuwają HTTP coraz bliżej niekompatybilności. Mozilla Firefox ogłosił niedawno opcjonalny tryb tylko HTTPS, podczas gdy Google Chrome stale się porusza, aby blokować mieszaną treść (zasoby HTTP połączone ze stronami HTTPS). Patrząc razem z ostrzeżeniami przeglądarki “niepewność” W przypadku stron internetowych HTTP to’łatwo zauważyć, że pisanie jest na ścianie dla HTTP. W 2020 r. Wszystkie obecne główne przeglądarki i urządzenia mobilne obsługują HTTPS, więc wygrałeś’t stracić użytkowników, przełączając się z HTTP.

  SEO: Wyszukiwarki (w tym Google) używają HTTPS jako sygnału rankingowego podczas generowania wyników wyszukiwania. Dlatego właściciele witryn mogą uzyskać łatwy doładowanie SEO, konfigurując swoje serwery internetowe do korzystania z HTTP, a nie HTTP.

  Krótko mówiąc, nie ma już żadnych dobrych powodów, dla których witryny publiczne mogą nadal wspierać HTTP. Nawet rząd Stanów Zjednoczonych jest na pokładzie!

  Jak działa HTTPS?

  HTTPS dodaje szyfrowanie do protokołu HTTP, owijając HTTP wewnątrz protokołu SSL/TLS (dlatego SSL nazywa się protokołem tunelowym), aby wszystkie wiadomości są szyfrowane w obu kierunkach między dwoma komputerami sieciowymi (e.G. klient i serwer internetowy). Chociaż podsługa może nadal potencjalnie uzyskiwać dostęp do adresów IP, numerów portów, nazw domen, ilości wymienianych informacji i czasu trwania sesji, wszystkie rzeczywiste wymienione dane są bezpiecznie szyfrowane przez SSL/TLS, w tym::

  • • Prośba URL (Którą stronę internetową poprosiła klient)
  • • Zawartość strony internetowej
  • • Parametry zapytania
  • • Nagłówki
  • • Ciasteczka

  HTTPS używa również protokołu SSL/TLS dla uwierzytelnianie. SSL/TLS używa dokumentów cyfrowych znanych jako X.509 certyfikatów wiązać kryptograficzne Kluczowe pary do tożsamości podmiotów, takich jak strony internetowe, osoby fizyczne i firmy. Każda para kluczy zawiera prywatny klucz, który jest bezpieczny i klucz publiczny, które można szeroko rozpowszechniać. Każdy z kluczem publicznym może go użyć do:

  • Wyślij wiadomość, że tylko posiadacz klucza prywatnego może odszyfrować.
  • Potwierdź, że wiadomość została cyfrowo podpisana przez odpowiedni klucz prywatny.

  Jeśli certyfikat przedstawiony przez witrynę HTTPS został podpisany przez publicznie zaufany Urząd certyfikatu (CA), Jak na przykład SSL.com, Użytkownicy mogą być pewni, że tożsamość witryny została zatwierdzona przez zaufaną i rygorystycznie rozstrzygniętą stronę trzecią.

  Co się stanie, jeśli moja strona nie’t Użyj HTTPS?

  W 2020 r. Strony internetowe, które nie korzystają z HTTPS ani nie obsługują treści mieszanych (obsługujący zasoby takie. Ponadto te strony internetowe niepotrzebnie narażają swoich użytkowników’ prywatność i bezpieczeństwo i nie są preferowane przez algorytmy wyszukiwarki. Dlatego mogą oczekiwać witryny HTTP i mieszanych Więcej ostrzeżeń i błędów przeglądarki, niższe zaufanie użytkownika I biedniejsze SEO niż gdyby włączyli HTTPS.

  Skąd mam wiedzieć, czy strona internetowa korzysta z HTTPS?

  

  URL HTTPS zaczyna się od https: // zamiast http: // . Nowoczesne przeglądarki internetowe wskazują również, że użytkownik odwiedza bezpieczną stronę internetową HTTPS, wyświetlając symbol zamkniętego kłódki po lewej stronie URL:

  W nowoczesnych przeglądarkach, takich jak Chrome, Firefox i Safari, użytkownicy mogą Kliknij blokadę Aby sprawdzić, czy strona internetowa HTTPS’S Cyfralny certyfikat obejmuje identyfikację informacji o swoim właścicielu.

  Jak włączyć HTTPS na mojej stronie internetowej?

  Aby chronić publiczną stronę internetową za pomocą HTTPS, konieczne jest zainstalowanie certyfikatu SSL/TLS podpisanego przez publicznie zaufany Urząd Świadectwa (CA) na Twoim serwerze WWW. SSL.com’S KnowledgeBase obejmuje wiele pomocnych przewodników i howor.

  Aby uzyskać bardziej ogólne przewodniki do konfiguracji i rozwiązywania problemów serwera HTTP, przeczytaj najlepsze praktyki SSL/TLS dla 2020 roku i rozwiązywanie problemów z błędami i ostrzeżeniami przeglądarki SSL/TLS.

  Dziękuję za wizytę w SSL.com! Jeśli masz jakieś pytania dotyczące zamawiania i instalowania certyfikatów SSL/TLS, skontaktuj się z naszym zespołem wsparcia 24/7.com, telefonicznie pod numerem 1-877-SSL-secure lub po prostu klikając link do czatu w prawym dolnym rogu tej strony.

  Czy HTTP używa TLS?

  Оjed

  Ыы зарегистрир John. С помощю этой страницы ыы сожем оRipееделить, что запросы оRтравляете имено ыы, а не роvert. Почем это могло пRроизойиS?

  Эта страница отображается тех слччаях, когда автоматическими системамgz которые наршают усовия исполззования. Страница перестанеura. До этого момента для исползования слжжж Google неоtoś.

  Источником запросов может слжить ведоносное по, подкbarów. ыылку заRzy. Еarag ы исползеете общий доступ и интернет, проблема может ыть с компюююеyn с таким жж жж жесом, кк у комszczeюююе000. Обратитеunks к соем системном адинистратору. Подроlit.

  Проверка по слову может также появаятьenia, еaсли ы водите сложные ззапры, оind обычно enia оиизи инenia оtoś еами, или же водите заlektora.

  Co to jest certyfikat TLS/SSL i jak to działa?

  Za każdym razem, gdy wysyłasz lub otrzymujesz informacje w Internecie, przechodzi przez sieć wielu komputerów, aby dotrzeć do miejsca docelowego. Historycznie każdy z tych komputerów mógł odczytać Twoje dane, ponieważ nie zostało one zaszyfrowane.

  Wiele z tych danych jest dość wrażliwe – i cenne dla hakerów. Może to obejmować prywatną komunikację, które nie są zaszyfrowane (nowe okno), informacje finansowe, a także dla aplikacji internetowych, które Don’T Użyj bezpiecznego protokołu zdalnego hasła (nowe okno), a nawet logowania poświadczenia.

  Aby chronić poufne dane, eksperci ds. Bezpieczeństwa opracowali nowy standardowy protokół do wysyłania i odbierania ruchu internetowego: Transport Warstwa Security (TLS). Było to poprzedzone warstwą bezpiecznej gniazda (SSL), ale teraz zostało w dużej mierze zastąpione przez TLS.

  W tym artykule my’LL obejmuje podstawowe pojęcia stojące za certyfikatami TLS i TLS. Możesz także przejść do różnych sekcji:

  1. Co to jest TLS?
  2. Co to jest certyfikat TLS?
  3. Jak działa certyfikat TLS?
  4. Jakie są słabości certyfikatu TLS?
  5. Dlaczego władze certyfikatu zaufania?
  6. Dodatkowe środki bezpieczeństwa podjęte przez Proton Mail

  Co to jest TLS?

  Zanim zagłębimy się w to, czym jest certyfikat TLS lub jak to działa, powinieneś zrozumieć trochę podstawowej technologii.

  Transport Warstwa Security to protokół, który ustanawia zaszyfrowaną sesję między dwoma komputerami w Internecie. Weryfikuje tożsamość serwera i uniemożliwia hakerom przechwycenie wszelkich danych.

  TLS (i jego poprzednik SSL) pozwala użytkownikom bezpiecznie przesyłać poufne dane podczas korzystania z protokołu HTTPS (nowe okno) . Innymi słowy, HTTPS jest warstwowy HTTP na TLS. Ta technologia jest idealna do aplikacji takich jak bankowość, uwierzytelnianie informacji, wymiana wiadomości e -mail i wszelkie inne procedury wymagające wyższego poziomu prywatności i bezpieczeństwa. TLS pomaga zapewnić ulepszoną warstwę ochrony poprzez szyfrowanie danych czytelnych, utrudniając hakerom uzyskanie prywatnych informacji.

  

  Ta struktura zapewnia prywatność między różnymi punktami końcowymi transmisji danych i zapewnia dane’S integralność. Wykorzystuje również certyfikaty cyfrowe, aby zweryfikować autentyczność serwerów. Te certyfikaty są powszechnie określane jako certyfikaty TLS.

  Uwierzytelnianie tych certyfikatów dzieje się przy użyciu kryptografii klucza publicznego. Jest to oparte na parach kluczowych składających się z klucza publicznego i klucza prywatnego. Odszyfrowanie zaszyfrowanych danych może nastąpić tylko wtedy, gdy obecne są zarówno klucz publiczny, jak i klucz prywatny. Certyfikaty TLS Użyj uwierzytelniania klucza publicznego, aby sprawdzić, czy do zamierzonego odbiorcy uzyskują dostęp do danych.

  Co to jest certyfikat TLS?

  Certyfikaty cyfrowe, znane również jako certyfikaty tożsamości lub certyfikaty kluczy publicznych, to pliki cyfrowe używane do certyfikacji własności klucza publicznego. Certyfikaty TLS są rodzajem certyfikatu cyfrowego, wydanego przez Urząd Świadectwa (CA). CA podpisuje certyfikat, poświadczając, że sprawdzili, czy należy do właścicieli nazwy domeny, która jest przedmiotem certyfikatu.

  Certyfikaty TLS zwykle zawierają następujące informacje:

  • Nazwa domeny tematu
  • Organizacja przedmiotowa
  • Nazwa wydawania CA
  • Dodatkowe lub alternatywne nazwy domen tematycznych, w tym subdomeny, jeśli takie istnieją
  • Data wydania
  • Data wygaśnięcia
  • Klucz publiczny (klucz prywatny jest jednak tajnym.)
  • Podpis cyfrowy przez CA

  Jak działa certyfikat TLS?

  Gdy użytkownik próbuje połączyć się z serwerem, serwer wysyła im certyfikat TLS.

  Następnie użytkownik weryfikuje serwer’S Certyfikat za pomocą certyfikatów CA, które są obecne u użytkownika’urządzenie s do ustanowienia bezpiecznego połączenia. W tym procesie weryfikacji wykorzystuje kryptografię klucza publicznego, taką jak RSA lub ECC, aby udowodnić, że CA podpisał certyfikat. Tak długo, jak ufasz CA, to pokazuje, że komunikujesz się z certyfikatem serwera’S Temat (e.G., Proton Mail.com).

  Czy to oznacza, że ​​jest w 100% bezpieczny i głupi? Cóż, nie zawsze.

  Jakie są słabości certyfikatów TLS?

  Chociaż certyfikaty TLS są ogólnie bezpieczne, istnieją sposoby, w jakie hakerzy mogą atakować i potencjalnie zagrażać TLS. Obejmują one:

  Zatrucie w sklepie certyfikatów

  Jeśli atakujący zarazi komputer złośliwym oprogramowaniem, może uzyskać dostęp do certyfikatów cyfrowych przechowywanych na tym urządzeniu i wstawić certyfikat główny. To, wraz z możliwością nieuczciwego reagowania na tego użytkownika’S WSPÓLNOŚCI STRONY pozwoliłyby im podszywać się pod witrynę, umożliwiając w ten sposób odczytanie wszystkich wysłanych danych.

  Atakując bezpośrednio CAS

  Aby certyfikat TLS działał, CA musi być bezpieczne. Wszelkie naruszenie CA może prowadzić do nieprawidłowego lub fałszywego zezwolenia na klucze. Stało się to czasami w przeszłości, a Comodo i Diginotar (nowe okno) są stosunkowo głośnymi przykładami.

  Błędnie wydano certyfikaty

  Użytkownicy polegają na CAS, aby uwierzytelnić serwer, z którym się łączą. Czasami jednak pojawia się problem z certyfikatem, który przedstawia podatność, którą hakerzy mogą wykorzystać. W połączeniu z niepewnym połączeniem internetowym, atakujący mógłby użyć błędnego wydania certyfikatu, aby skompromitować połączenie z serwerem.

  Jeśli wszystkie te problemy istnieją, czy rozsądne jest zaufanie CAS ślepo? Zaufaj, tak. Ślepo, nie.

  Dlaczego władze certyfikatu zaufania?

  Jako agenci odpowiedzialni za weryfikację, że otrzymane dane pochodzą z oczekiwanego serwera i nie byli manipulowani w trasie, CAS odgrywa ważną rolę we współczesnym Internecie. Wydając miliony cyfrowych certyfikatów każdego roku, są one podstawą bezpiecznej komunikacji internetowej, pomagając zaszyfrować miliardy wymian danych i transakcji.

  Fizyczna konfiguracja CA jest znana jako jego infrastruktura klucza publicznego (PKI). PKI składa się z wielu elementów operacyjnych, w tym sprzętu, oprogramowania, infrastruktury bezpieczeństwa, personelu, ram zasad, systemów audytu i oświadczeń praktyk, z których wszystkie przyczyniają się do zapewnienia, że ​​proces walidacji certyfikatu TLS jest godny zaufania.

  Model zaufania PKI opiera się na dwóch głównych elementach: certyfikatach głównych (zwanych również zaufanymi korzeniami)’S Certyfikat. Wszelkie certyfikaty wydane przez CA zostaną automatycznie zaufane przez twoją przeglądarkę, pod warunkiem, że CA’S Certyfikat root jest zainstalowany w sklepie certyfikatów urządzenia. Każde urządzenie ma sklep z certyfikatami, który jest lokalnym zbiorem certyfikatów głównych od zaufanego CAS.

  Dodatkowe środki bezpieczeństwa podjęte przez Proton Mail

  Chociaż prawdą jest, że metody szyfrowania oparte na CAS i TLS są stosunkowo bezpieczne, tam tam’s zawsze zakres do poprawy.

  Tutaj w Proton dostarczanie zwiększonej prywatności i bezpieczeństwa jest naszym głównym celem. Używamy dodatkowych środków, aby ustanowić bezpieczne i godne zaufania połączenia. Poniżej wymieniono niektóre z podjętych kroków.

  Autoryzacja Urzędu Świadectwa DNS (CAA)

  W 2011 roku, kiedy pojawiły się wiadomości dotyczące niewłaściwie wydanych certyfikatów, pojawiła się potrzeba ulepszonych mechanizmów bezpieczeństwa. Jednym z wyników tej potrzeby jest DNS CAA, który blokuje emisję nieprawidłowych certyfikatów.

  Wykorzystanie rekordu zasobów DNS pozwala właścicielom domeny zdecydować, które CAS mogą wydawać certyfikaty dla danej domeny. Jeśli istnieje rekord CAA, tylko CAS wymieniony w tym zapisie może wydać gospodarza’S Certyfikat.

  Chociaż zapewnia to pewną ochronę przed niewłaściwym niewłaściwym certyfikatem, użytkownikom bardzo trudno jest wykryć, jeśli CA ignoruje doradztwo CAA. Dlatego konieczna jest przejrzystość certyfikatu.

  Przejrzystość certyfikatu

  Aby zapewnić ważność certyfikatów i zapobiec błędom błędów, wszystkie CAS wysyłają certyfikaty wygenerowane na publicznych serwerach dziennika, znane jako dzienniki przejrzystości certyfikatu (CT). Serwery te wysyłają podpis do CA, obiecując opublikować swój certyfikat.

  Podajemy nagłówek oczekiwany-CT, który mówi przeglądarce, aby wymagało obecności tego podpisu. Mamy również serwery monitorowania i kontroli, które sprawdzają dziennik CT dla wszystkich obiecanych certyfikatów, które mają zostać opublikowane.

  Razem wszystkie te środki sprawiają, że jest to bardzo nieprawdopodobne dla każdego, w tym aktora państwowego, aby wygenerować certyfikat TLS dla protonu.ja i użyj go do przechwytywania połączeń bez wykrycia.

  Przypinanie certyfikatu TLS

  Przypinanie certyfikatów to proces, który łączy usługę z ich konkretnym kluczem publicznym. Po ustanowieniu certyfikatu dla konkretnej usługi jest on na stałe przypięty do usługi. Jeśli istnieje wiele ważnych certyfikatów dla danej usługi, piny są scalone w pinset. Aby potwierdzić pinset, co najmniej jeden element usługi musi pasować do elementów w Pinset. Przypinamy klucz publiczny naszych certyfikatów we wszystkich naszych natywnych aplikacjach.

  Naszą misją jest zbudowanie bezpieczniejszego Internetu, a poinformowanie o tym, w jaki sposób Twoje dane są chronione, może umożliwić podejmowanie lepszych decyzji dotyczących używanych usług. Jeśli masz jakieś dalsze pytania lub komentarze na temat certyfikatów TLS lub tego, jak z nich korzystamy, daj nam znać w mediach społecznościowych na Twitterze (nowe okno) lub Reddit (nowe okno) .

  Z wyrazami szacunku,
  Zespół Proton Mail

  Zapewniamy również Darmowa usługa VPN (nowe okno) Aby chronić swoją prywatność. Proton Mail i Proton VPN (nowe okno) są finansowane z wkładów społecznościowych. Jeśli chcesz wesprzeć nasze wysiłki rozwojowe, możesz uaktualnić do Płatny plan (nowe okno) Lub podarować (nowe okno) . Dziękuję za Twoje wsparcie.

  Podziel się z nami swoją opinią i pytaniami za pośrednictwem naszych oficjalnych kanałów mediów społecznościowych na Twitterze (nowe okno) i Reddit (nowe okno) .