Streszczenie:

Szyfrowanie SSL/TLS służy do ochrony danych wymienianych między dwoma węzłami przez Internet lub sieć komputerową. Zapewnia poufność i integralność danych, stosując zarówno asymetryczne, jak i symetryczne szyfrowanie. Proces uścisku dłoni SSL/TLS ustanawia bezpieczną sesję między klientem a serwerem, umożliwiając im bezpieczną wymianę danych. Jednak SSL/TLS nie ukrywa źródłowych i docelowych adresów IP, ale szyfruje treść komunikacji.

1. Jak działa szyfrowanie SSL/TLS?

Szyfrowanie SSL/TLS wykorzystuje kombinację asymetrycznego i symetrycznego szyfrowania. Zaczyna się od klienta skontaktowania się z serwerem za pomocą bezpiecznego adresu URL (HTTPS). Serwer wysyła swój certyfikat i klucz publiczny do klienta, który jest następnie weryfikowany przez zaufany organ certyfikacyjny root. Klient i serwer negocjują najsilniejsze szyfrowanie, jakie mogą obsługiwać i wymieniać klucz sesji. Ten klucz sesji jest używany do szyfrowania i odszyfrowywania danych przesyłanych między klientem a serwerem.

2. W jaki sposób HTTPS/SSL jest w stanie ukryć stronę docelową?

HTTPS/SSL nie ukrywa strony docelowej przed potencjalnymi atakującymi. Gdy klient ustanowi standardowe połączenie SSL, atakujący, który może wąchać ruch, będzie mógł zobaczyć połączenie z komputera klienta do serwera docelowego i określić adres IP serwera. Jednak SSL/TLS koncentruje się na zabezpieczeniu przesyłania danych, a nie na ukryciu miejsca docelowego.

3. Jaka jest różnica między bezpieczeństwem a prywatnością w SSL/TLS?

SSL/TLS zapewnia bezpieczeństwo danych wymienianych między klientem a serwerem poprzez szyfrowanie treści, chroniąc ją przed wąchaniem i manipulacją. Nie zapewnia jednak pełnej prywatności. Metadane, takie jak źródłowe i docelowe adresy IP, nazwa hosta, rozmiar ładunku i czas nie są szyfrowane i mogą być używane do zbudowania profilu przeglądania użytkownika. Aby uzyskać lepszą prywatność, SSL/TLS można łączyć z narzędziami takimi jak Tor, ale nawet to nie może zagwarantować pełnej prywatności.

4. Czy SSL/TLS ukrywa nazwę podłączonej strony internetowej?

Domyślnie SSL/TLS ukrywa nazwę podłączonej strony internetowej. Faza dłoni SSL zawiera rozszerzenie o nazwie „Wskazanie nazwy serwera” (SNI), które ujawnia podłączoną nazwę witryny w PlainText. Jednak ta funkcja została wprowadzona dopiero kilka lat po zadaniu pytania, więc w tym czasie odpowiedź była poprawna.

5. Czy SSL/TLS może być odszyfrowane przez atakującego człowieka?

Samo szyfrowanie SSL/TLS nie może być odszyfrowane przez atakującego Man-in-the-Middle (MITM). Jednak atak MITM polega na tym, że atakujący grał w miejscu docelowym dla klienta i gra klienta dla serwera, używając różnych klawiszy i różnych sesji SSL/TLS. Atak ten jest niezależny od deszyfrowania SSL i wiąże się raczej w personifika.

6. Czy SSL/TLS ukrywa źródło i docelowe adresy IP?

SSL/TLS nie ukrywa źródła i docelowych adresów IP. Adresy IP muszą być ważne dla działającego połączenia TCP. Podczas gdy SSL/TLS szyfruje treść komunikacji, adresy IP pozostają widoczne.

7. Czy istnieją jakieś technologie, które zwiększają prywatność dostarczaną przez SSL/TLS?

Istnieją technologie, takie jak zaszyfrowana SNI (wskazanie nazwy serwera) i szyfrowane cześć, które zwiększają prywatność dostarczaną przez SSL/TLS. Jednak technologie te nie są powszechnie przyjmowane i nie są powszechne w większości przeglądarków lub serwerów.

8. Czy SSL/TLS może zagwarantować pełną prywatność?

Nie, SSL/TLS nie może zagwarantować pełnej prywatności. Podczas gdy szyfruje zawartość komunikacji, inne metadane, takie jak adresy IP, rozmiar ładunku i czas, mogą być nadal widoczne, umożliwiając tworzenie profili przeglądania i potencjalne naruszenia prywatności.

9. Co dzieje się z kluczemi szyfrowania po opuszczeniu strony internetowej?

Klawisze szyfrowania używane podczas sesji są odrzucane, gdy użytkownik opuści stronę internetową. Gdy użytkownik ponownie pojawia się na stronie, nastąpi nowy uścisk dłoni i generowanie nowego zestawu kluczy, aby ponownie ustanowić bezpieczną sesję.

10. Jak właściciele witryn mogą wdrożyć szyfrowanie SSL/TLS?

Właściciele witryn muszą mieć certyfikat SSL/TLS dla swojej nazwy serwera WWW/domeny, aby używać szyfrowania SSL/TLS. Po zainstalowaniu certyfikat umożliwia klientowi i serwerowi negocjowanie poziomu szyfrowania podczas procesu uścisku dłoni.

W jaki sposób HTTPS/SSL jest w stanie ukryć stronę docelową, z którą się łączy

Jeśli chcesz ukryć swoje połączenie, użyj Tor, jak wspomniał Madhatter. Wszyscy do (i w tym) Węzło wejściowe TOR mogą wiedzieć, że używasz Tor, ale nie to, z czym się łączysz. Wszyscy po (w tym) węzeł wyjściowy TOR będzie wiedział, że użytkownik TOR podłączony do twojego serwera, ale nie kto.

Co to jest szyfrowanie SSL/TLS?

SSL (Secure Sockets Layer) Szyfrowanie i jego bardziej nowoczesne i bezpieczne wymianę, szyfrowanie TLS (bezpieczeństwo warstwy transportowej), chronią dane wysyłane przez Internet lub sieć komputerową. To uniemożliwia atakującym (i dostawcom usług internetowych) przeglądania lub manipulacji danymi wymienianymi między dwoma węzłami – typowo użytkownikiem’S. przeglądarka internetowa i serwer Web/App. Większość właścicieli i operatorów witryn ma obowiązek wdrażania SSL/TLS w celu ochrony wymiany poufnych danych, takich jak hasła, informacje o płatnościach i inne dane osobowe uważane za prywatne.

Jak działa szyfrowanie SSL/TLS?

SSL/TLS wykorzystuje zarówno asymetryczne, jak i symetryczne szyfrowanie w celu ochrony poufności i integralności danych-trans. Asymetryczne szyfrowanie służy do ustanowienia bezpiecznej sesji między klientem a serwerem, a szyfrowanie symetryczne służy do wymiany danych w zabezpieczonej sesji.

Witryna musi mieć certyfikat SSL/TLS dla nazwy serwera WWW/domeny, aby używać szyfrowania SSL/TLS. Po zainstalowaniu certyfikat umożliwia klientowi i serwerowi bezpieczne negocjowanie poziomu szyfrowania w następujących krokach:

  1. Klient kontaktuje się z serwerem za pomocą bezpiecznego adresu URL (HTTPS…).
  2. Serwer wysyła klientowi certyfikat i klucz publiczny.
  3. Klient weryfikuje to z zaufanym organem certyfikacyjnym, aby zapewnić legalny certyfikat.
  4. Klient i serwer negocjują najsilniejszy rodzaj szyfrowania, który każdy może obsługiwać.
  5. Klient szyfruje klucz sesji (tajny) z serwerem’s Key Public i wysyła go z powrotem na serwer.
  6. Serwer odszyfiera komunikację klienta z kluczowym kluczem, a sesja jest ustalona.
  7. Klucz sesji (Symmetryczne szyfrowanie) jest teraz używany do szyfrowania i odszyfrowania danych przesyłanych między klientem a serwerem.

Zarówno klient, jak i serwer używają teraz HTTPS (SSL/TLS + HTTP) do swojej komunikacji. Przeglądarki internetowe potwierdzają to za pomocą ikony blokady na pasku adresu przeglądarki. Funkcje HTTPS nad portem 443.

Po opuszczeniu strony internetowej klucze są odrzucane. Podczas następnej wizyty negocjowany jest nowa uścisk dłoni i generowany jest nowy zestaw kluczy.

W jaki sposób HTTPS/SSL jest w stanie ukryć stronę docelową, z którą się łączy?

Rozumiem, w jaki sposób można utworzyć bezpieczne połączenie za pomocą uścisku dłoni, ale w jaki sposób może zainicjować bezpieczne połączenie bez uprzedniego wysyłania niezachapionego żądania, ujawniając w ten sposób stronę docelową (ale nie dane wysyłane lub otrzymane z/do docelowego. ) do potencjalnego napastnika „człowieka w środku”. A może go nie ukrywa?

Daniel Valland

zapytał 7 lutego 2015 o 20:19

Daniel Valland Daniel Valland

235 2 2 Srebrne odznaki 6 6 Brązowe odznaki

Zasadniczo nie jest. Ze standardowym połączeniem SSL, atakujący, który może wąchać ruch, będzie mógł zobaczyć połączenie z komputera klienta do serwera docelowego, a z tego będzie mógł wiedzieć, z jakim adresem IP serwera jest podłączony.

7 lutego 2015 o 20:22

3 Answers 3

Nie myl bezpieczeństwa z prywatnością.

Zadanie SSL/TLS to bezpieczeństwo, a nie prywatność. Oznacza to, że same dane są szyfrowane, ale meta dane, takie jak źródło i docelowe IP, nazwa hosta (z SNI używaną przez wszystkie nowoczesne przeglądarki), rozmiar ładunku i czas itp. Wszystkie te można użyć do tworzenia profilu przeglądania, który obejmuje witryny, które odwiedzasz, a czasem nawet, które odwiedzasz na stronie (na podstawie rozmiaru czasu i rozmiaru ładunku). Ale SSL/TLS zapewnia, że ​​treść niepubliczne (jak pliki cookie, dane z formularzy itp.) Jest chronione przed wąchaniem i manipulacją.

Jeśli chcesz lepszej prywatności, musisz połączyć SSL/TLS z czymś takim jak Tor, ale nawet to nie może zagwarantować pełnej prywatności.

odpowiedział 7 lutego 2015 o 20:49

Steffen Ullrich Steffen Ullrich

193k 29 29 złote odznaki 386 386 Srebrne odznaki 439 439 brązowe odznaki

Zaszyfrowane sNI i szyfrowane hello to coś, choć wcale nie są powszechne. Możesz sprawdzić, czy jesteś skonfigurowany, aby go używać tutaj. Poszukaj SNI = szyfrowane .

5 kwietnia o 20:23

@9072997: Masz rację – ale: Pierwsza wersja wersji ESNI pochodzi z 2018 roku i mniej więcej w tym czasie wsparcie eksperymentalne zostało dodane do przeglądarków. Pytanie tutaj i odpowiedź pochodzą z 2015 roku, ja.mi. 3 lata wcześniej. Więc w momencie zadania pytania, ta odpowiedź tutaj była właściwa.

5 kwietnia o 20:30

SSL/TLS nie ukrywa źródła i docelowych adresów IP. Jest to niemożliwe (przynajmniej z rozwiązaniem czysto SSL/TLS), ponieważ adresy SRC/DST muszą być prawidłowe dla działającego połączenia TCP.

nazwa podłączonej strony internetowej, jest domyślnie ukryty – A przynajmniej było to do ostatnich lat.

Od tego czasu istnieje rozszerzenie TLS o nazwie „Wskazanie nazwy serwera”, które podaje podłączoną nazwę witryny niezaszyfrowany, Jednak w fazie uścisku dłoni.

Man-in-the-The-Middle Site to inna rzecz. Dzięki MITM atakujący może grać w miejscu docelowym dla klienta i odtwarzać klienta dla serwera, używając różnych klawiszy i różnych sesji SSL/TTLS. Ale nie ma to nic wspólnego z odszyfrowaniem SSL.

odpowiedział 7 lutego 2015 o 20:41

2978 6 6 Złote odznaki 26 26 Srebrne odznaki 33 33 brązowe odznaki

Jak wspomniano drugi, początkowe połączenie jest niezabezpieczone i zawiera przynajmniej adres IP (choć coraz bardziej nazwa serwera również dzięki SNI). Serwer docelowy odpowiada certyfikatem klucza publicznego i negocjuje sesję SSL/TLS.

Kluczem do uniknięcia człowieka w środkowych atakach jest certyfikat i fakt, że został zatwierdzony przez organ certyfikat.

Załóżmy, że masz haker przechwytujący komunikację między klientem a serwerem. Klient poprosił o bezpieczne połączenie ze stroną internetową https: // www.przykład.com (na przykład). Haker może wysłać żądanie na prawdziwą stronę internetową i odpowiedzi na przekaźniki. Haker będzie również w stanie przeczytać pierwszą odpowiedź z powrotem z serwera do klienta, ponieważ jest to zwykły tekst. Nie może jednak odczytać następnej wiadomości z klienta na serwer, ponieważ jest szyfrowany z kluczem publicznym witryny, a więc można go odszyfrować tylko za pomocą klucza prywatnego (którego haker nie ma). Ponieważ te kolejne wiadomości są używane do negocjacji klucza do użycia dla faktycznego połączenia SSL/TLS, haker jest zasadniczo zablokowany po tej pierwszej wiadomości.

Alternatywnie, zamiast działać jak przekaźnik prosty, haker może podać fałszywy certyfikat (do którego zna klucz prywatny) dla połączenia klienta, a następnie może skonfigurować własne połączenie hakerów i przekazywać wiadomości między dwoma. Jednak w tym scenariuszu, chyba że udało im się zagrozić jednym z głównych emitentów certyfikatów, którą automatycznie akceptuje przeglądarka klienta, byłby duży czerwony kłódka z informacją, że certyfikat, który haker wysłał do klienta, jest albo 1), a nie 2), a nie dla tej strony internetowej, nie dla tej strony internetowej.

Czy SSL szyfruje IP [zamknięty]

Trudno powiedzieć, o co się tutaj pytano. To pytanie jest niejednoznaczne, niejasne, niekompletne, zbyt szerokie lub retoryczne i nie można na nią rozsądnie odpowiedzieć w obecnej formie. Aby uzyskać pomoc w wyjaśnieniu tego pytania, aby można było je ponownie otworzyć, odwiedź centrum pomocy.

Zamknięty 10 lat temu .

Buduję serwer osobisty. Chcę mieć dostęp do tego serwera z dowolnego miejsca i nie chcę, aby ten serwer został zablokowany. Rozumiem, że HTTPS szyfruje mój ruch, ale słyszałem też, że nie całkowicie go szyfrowuje. Słyszałem, że jeśli wejdziesz na stronę internetową z domeną, wyszukiwanie DNS jest wykonywane bez szyfrowania, a zatem dostawcy usług internetowych może dowiedzieć się, która domena jest na moim osobistym serwerze (i czym jest IP). Ale co, jeśli uzyskam dostęp do mojego serwera z adresu IP? Pytanie: Jeśli uzyskam dostęp do serwera, idąc pod jego adres IP i używam HTTPS (więc adres URL byłby coś w rodzaju https: // ###.###.###.###/), czy to możliwe ktokolwiek (w tym dostawców usług internetowych i ludzi „za tym samym routerem co ja”), aby znaleźć adres IP serwera, do którego uzyskuł dostęp? Jeśli tak, czy powinienem użyć SSL1/SSL2/SSL3, czy też powinienem użyć TLS1/TLS1.1/tls1.2 Czy to nie ma znaczenia? Nawiasem mówiąc, certyfikat serwera zostanie podpisany przez siebie, a ten serwer będzie dostępny tylko w porcie 443 (HTTPS).

zapytał 13 sierpnia 2012 o 16:05

Jamescostian Jamescostian

45 1 1 Srebrna odznaka 3 3 brązowe odznaki

en.Wikipedia.org/wiki/OSI_Model Zwróć uwagę na względne pozycje IP, TCP i SSL. Jeśli myślisz w kategoriach kopert, najgłębszą kopertą jest SSL. Poza tym jest TCP, który określi takie rzeczy, jak numer portu, numer sekwencji itp. Najbardziej zewnętrzna jest koperta IP, która będzie miała adres IP. Zauważ, że TCP i IP nie można zaszyfrować, w przeciwnym razie koperta zawierająca ładunek SSL nie zostanie dostarczony. Nie dostaniemy tutaj proxy i VPN.

13 sierpnia 2012 o 18:05

Prosta analogia. Jak firma telefoniczna byłaby w stanie podłączyć od Ciebie połączenie, jeśli zakodowałeś numer telefonu z wymyślonym przez ciebie losowym systemem kodowania?

13 sierpnia 2012 o 19:59

3 Answers 3

Odpowiedź: Tak. Twoja przeglądarka nadal niezwłocznie angażuje się w trójstronną uścisk dłoni TCP z serwerem pod adresem ###.###.###.###, a twój ISP może to zobaczyć. Po skonfigurowaniu połączenia przeglądarka będzie miał uścisk dłoni SSL z serwerem, a twój dostawca usług internetowych może to zobaczyć. Po wynegocjowaniu klawiszy sesji Twoja przeglądarka będzie nadal wymieniać pakiety kruche SSL z serwerem, a Twój dostawca usług internetowych może je zobaczyć. Nie widzi, co się w nich jest, ale adres źródłowy i docelowy to – i muszą pozostać – niezaszyfrowane.

Jeśli chcesz przeglądać to prywatnie, spójrz na Privoxy + Tor.

odpowiedział 13 sierpnia 2012 o 16:07

79.4K 20 20 Złote odznaki 183 183 Srebrne odznaki 231 231 Brązowe odznaki

Oba ujawniają adres IP, dopóki nie trafisz do serwera proxy lub węzła Tor.

11 sierpnia 2013 o 7:36

To prawda, ale nie ujawniają adresu IP serwera, z którego żądasz treści, Właśnie o co OP poprosił o ochronę.

24 sierpnia 2013 o 5:57

Tak, jest to całkowicie możliwe i w rzeczywistości wymagane, aby każdy ruch w celu dotarcia do serwera.

odpowiedział 13 sierpnia 2012 o 16:07

115k 20 20 złotych odznak 211 211 Srebrne odznaki 294 294 Brązowe odznaki

„Szyfruj IP” to technicznie nonsens. Strumień HTTPS TCP skłonny SSL jest nadal strumieniem TCP, a połączenia nie można wykonać bez adresów IP. Wszyscy W pozycji obserwowania ruchu może łatwo zarejestrować IP źródłowy, port źródłowy, IP docelowy, port docelowy i bajty wysyłane w każdym kierunku. Co jest zalogowane i na ile długo zależy od tego, kto obserwuje i czy są zagrożone, czy działają pod subpeona.

Zakładając, że łączysz się z punktem dostępu Wi-Fi, który z kolei jest podłączony do usługodawcy internetowego, który kieruje ruch przez kręgosłup do dostawcy usług internetowych, który zapewnia wirtualny lub zlokalizowany host, sprowadza się to do:

  • Twój router Wi -Fi (i wszyscy również do niego przywiązani) może zobaczyć:
    • Twój adres MAC, który identyfikuje Twój fizyczny sprzęt wyjątkowo.
    • IP, port, port i ile z nim wymieniłeś.
    • Publiczne IP twojego routera. Jeśli jest to połączenie mieszkalne w USA, prawdopodobnie rejestrują publiczne IP i posiadacz konta i utrzymują te rekordy przez 6 miesięcy.
    • IP, port, port i ile z nim wymieniłeś.
    • Publiczne IP, porto IP Twojego routera i ile ruchu wymieniłeś z serwerem.

    Jeśli chcesz ukryć swoje połączenie, użyj Tor, jak wspomniał Madhatter. Wszyscy do (i w tym) Węzło wejściowe TOR mogą wiedzieć, że używasz Tor, ale nie to, z czym się łączysz. Wszyscy po (w tym) węzeł wyjściowy TOR będzie wiedział, że użytkownik TOR podłączony do twojego serwera, ale nie kto.

    W normalnych okolicznościach istnieje pewne niebezpieczeństwo w naruszeniu logowania lub modyfikowania zawartości sesji, ale jest to w większości ograniczone za pomocą SSL.

    Przegląd protokołu TLS VPN

    Bezpieczeństwo warstwy transportowej (TLS) to Protokół oparty na przeglądarce który szyfruje dane przechodzące między stronami internetowymi i serwerami. Jeśli chcesz bezpiecznie przeglądać sieć, tworzysz bezpieczną stronę internetową eCommerce lub używać przeglądarki internetowej w celu zdalnego dostępu do sieci firmy, szyfrowanie TLS może pomóc.

    Wielu dostawców VPN obejmuje tunelowanie TLS w swoich usługach. Ta forma ochrony VPN wykorzystuje szyfrowanie TLS do zablokowania danych ruchu użytkowników przeglądarki. Może również zabezpieczyć portale internetowe między pracownikami domowymi a sieciami lokalnymi.

    W tym artykule glosariuszu przyjrzy się pracy TLS VPN i czy TLS zapewnia wystarczającą ochronę w dzisiejszym środowisku bezpieczeństwa cybernetycznego.

    Co to jest TLS VPN?

    TLS to protokół VPN, który Zastąpił istniejący protokół warstwy Secure Sockets (SSL) w 1999 roku. SSL był pierwszym protokołem bezpieczeństwa, który zablokował ruch internetowy w warstwie transportowej modelu sieciowego OSI (warstwa 4). Jednak hakerzy wkrótce znaleźli sposoby na naruszenie szyfrowania danych SSL. To samo jeszcze nie stało się z protokołem TLS.

    TLS osiągnął teraz wersję 1.3. Podobnie jak SSL, działa w warstwie transportowej. To sprawia, że ​​jest to przydatne do ochrony danych ruchu przesyłanych przez przeglądarki internetowe, aplikacje głosowe-IP, klientów e-mail i aplikacje do przesyłania wiadomości.

    Połączenie uwierzytelniania danych i szyfrowania sprawia, że ​​TLS dobrze pasuje do usług VPN, które chronią dane warstwy 4.

    Schemat, jak działa protokół TLS VPN

    Wirtualna sieć prywatna (VPN) to usługa, która Tworzy wirtualną sieć na dodatek fizycznych przepływów danych. Pakiety danych przechodzą przez szyfrowane tunele Te owijają ładowność w niezniszczalnym kodzie. Serwery również anonimowe tożsamości użytkownika, Przypisanie nowych adresów IP do każdego pakietu. To pozwala użytkownikom zmienić ich cyfrową lokalizację i uniknąć nadzoru lub cyberprzestępców.

    TLS VPN są zwykle bez klientów. Nie ma potrzeby oddzielnego oprogramowania do ustanowienia połączeń i kontroli dostępu. Ten styl VPN działa również z HTTP, pozwalając mu bezproblemowo pracować z większości nowoczesnych stron internetowych. Działa w tle, dodając kolejną barierę cyberbezpieczeństwa dla użytkowników internetowych.

    Jak działa bezpieczeństwo warstwy transportowej (TLS) Tunelowanie VPN?

    TLS VPNS chroni dane, tworząc Tunele VPN. Te tunele są połączeniami między dwoma zdefiniowanymi urządzeniami, które szyfrują dane i uwierzytelniają transfery do Zapewnij integralność danych. Typy VPN tworzą tunele na różne sposoby, a zastosowana technika jest następująca:

    1. Połączenie

    Po pierwsze, protokół TLS musi nawiązać połączenie poprzez negocjacje w apartamencie szyfrowym. To informuje klient i serwer, że protokół TLS zostanie wykorzystany w przesyłaniu danych. Przeglądarki mogą złożyć bezpośrednie żądanie lub po prostu otworzyć port używany przez TLS. To jest ogólnie port 443.

    2. TLS uścisk dłoni

    Drugim etapem procesu jest TLS uścisk dłoni. Obejmuje to wymianę kluczy między klientem VPN a serwerem VPN za pomocą asymetrycznej infrastruktury klucza publicznego (PKI). Key Exchange pozwala urządzeniom stworzyć sekret główny, który jest unikalny dla każdego transferu. Ten główny sekret stanowi podstawę kodu MAC, który uwierzytelnia cały proces. PKI tworzy również klawisze sesji używane w kryptografii symetrycznej do danych skrótu, gdy przechodzi między dwoma urządzeniami.

    3. Rekord TLS

    Kiedy TLS uścisk dłoni stworzył klucze szyfrowania, Rekord TLS stosuje szyfrowanie i bezpiecznie wysyła dane za pośrednictwem tunelu TLS. Zapis dzieli ładunek na pakiety i używa certyfikatów cyfrowych do uwierzytelnienia każdego pakietu na obu końcach transferu. Zapis TLS stosuje silne szyfrowanie do każdego pakietu i przetwarza transfer za pomocą protokołu kontroli transportu (TCP).

    Ten proces ma zastosowanie End-to-End Szyfrowanie (E2EE). Dane w formularzu skrótu są nieczytelne dla osób z zewnątrz podczas tranzytu. Tunel VPN zapewnia, że ​​nawet jeśli wrażliwe informacje zostaną przechwycone, atakujący nie będą mogli z niego korzystać. Jedyne słabe punkty znajdują się na obu końcach transferu, gdzie dane są szyfrowane lub odszyfrowane.

    Jednocześnie serwer VPN anonimowo informuje informacje o adresie IP. Dane wysyłane przez Internet nie będą bezpośrednio powiązane z urządzeniem użytkownika. Dobry VPN powinien nawet ukryć zaangażowane strony internetowe. Zamiast tego obserwatorzy zewnętrzni widzą anonimowe pakiety danych i mogą bardzo niewiele nauczyć się o zachowaniu online użytkownika.

    Plusy i wady protokołu szyfrowania TLS

    Żadna metoda przesyłania danych nie jest bezbłędna. Użytkownicy muszą zrównoważyć czynniki, takie jak siła szyfrowania, stabilność, szybkość i kompatybilność. Ale gdzie stoi w tym względzie bezpieczeństwo warstw transportowych? Wiele korzyści TLS sprawia, że ​​jest to realna opcja VPN, ale są też pewne wady, które użytkownicy muszą wiedzieć.

    Profesjonaliści

    Dobrze odpowiednie do aplikacji internetowych. Jedną z największych zalet TLS jest to, że działa z przeglądarką i portalem internetowym. Wszyscy użytkownicy potrzebują klienta opartego na przeglądarce, a klienci są często zintegrowani z przeglądarkami, takimi jak Firefox lub Chrome. TLS obsługuje szyfrowanie większości stron internetowych, a także korzysta z protokołu HTTPS, który rzadko jest blokowany na publicznym Wi -Fi.

    Gronkowe kontrole dostępu. Administratorzy mogą użyć protokołu TLS do ustawienia drobnoziarnistych kontroli dostępu na bramie internetowej. Zespoły bezpieczeństwa mogą tworzyć zasady bezpieczeństwa określające, które strony internetowe do filtrowania i aplikacje internetowe dostępne dla każdego użytkownika. Kontrola dostępu może być dostosowana do każdego użytkownika, każdej aplikacji, a nawet obiektów internetowych. Trudniej jest to osiągnąć dzięki alternatywnym stylom VPN.

    Bardziej wydajne zarządzanie serwerami. Kontrola dostępu za pośrednictwem TLS ma również korzyści z wydajności. Na przykład menedżerowie sieci mogą ustawić jednolite zasady dostępu dla każdej aplikacji w bramie internetowej. W przypadku innych stylów VPN menedżerowie mogą potrzebować tworzenia zasad dostępu dla każdego użytkownika na poziomie systemu operacyjnego. TLS może również zabezpieczyć bramy do usług SaaS – usprawnianie wykorzystania zasobów na serwerach aplikacji.

    Dostęp bez klienta. SSL/TLS VPN są wbudowane w przeglądarki internetowe i aplikacje internetowe. Użytkownicy nie muszą kupować, instalować i konfigurować osobnych klientów VPN. Wszelkie transfery za pośrednictwem sieci są zabezpieczone za pośrednictwem szyfrowania, a użytkownicy mogą łatwo uzyskać dostęp do potrzebnych usług. W przypadku IPSec administratorzy muszą tworzyć zasady dla każdego połączenia. Tak nie jest w przypadku TLS.

    Silne bezpieczeństwo. TLS 1.2 jest klasyfikowane jako bardzo bezpieczne przez organ nadzoru branżowego i ma niewiele znanych luk w zabezpieczeniach. AES 256-bitowe prywatne osłony szyfrowania klucza przeciwko kradzieży danych, podczas gdy certyfikacja zapewnia wodoszczelne uwierzytelnianie. Rezultatem jest zaszyfrowany link, który zapewnia, że ​​dane dotrze do miejsca docelowego bez przechwytywania.

    Cons

    TLS zabezpiecza tylko zasoby internetowe. Jedną z największych wad TLS jest to, że jest on ograniczony do kontekstów internetowych. W przeciwieństwie do IPSec, TLS nie zapewnia dokładnej ochrony obwodu sieciowego poza tym kontekstem. W sytuacjach z różnorodnym miksem aplikacji luki bezpieczeństwa mogą narażać dane na ryzyko. Użytkownicy mogą instalować agentów stacjonarnych w celu pokrycia określonych aplikacji, ale zwiększa to koszty ogólne konserwacji. Nie wszystkie aplikacje są kompatybilne z unsigned Java, co może również stanowić problemy z kompatybilnością.

    Użytkownicy mogą doświadczyć problemów z prędkością połączenia. Po angażowaniu TLS w przeglądarce internetowej VPN będzie wymagać żądań dostępu za każdym razem, gdy klikniesz link i zmienisz witryny. To rozpoczyna proces uścisku dłoni i szyfrowania, dodając opóźnienia. Nowe techniki, takie jak TLS False Start i TLS Session mają skrócony czas dostępu, ale jeśli potrzebujesz wysokiej wydajności VPN, IPSec może być preferowany.

    Wdrożenie może być złożone. Podczas gdy używanie TLS jako VPN jest proste, konfigurowanie ochrony VPN może być trudne. Tworzenie certyfikatów TLS jest złożonym procesem i ma wysokie koszty z góry. Właściciele witryn muszą również upewnić się, że wszystkie podmioty i aplikacje internetowe są skonfigurowane dla TLS Security.

    Podatność na ataki DDOS. Ataki odmowy usług może powodować problemy z protokołem TLS. Atakujący mogą montować powodzie TCP, które renderują tabele sesji i mogą powodować przestoje witryny lub sieci.

    Historia protokołów SSL i TLS VPN

    Historia warstwy bezpiecznych gniazd sięga narodzin sieci World Wide Web. Firma przeglądarki Netscape wprowadziła SSL w 1994 roku jako sposób na zabezpieczenie ruchu internetowego za pośrednictwem zaszyfrowanego linku. SSL 2.0 następuje w 1995 r. I SSL 3.0 w 1996 r.

    Niestety, SSL okazał się narażony na ataki man-in-the middle, takie jak pudel i utonąć. W 2011 r. Internetowa grupa zadaniowa ds. Inżynierii przestała SSL 2.0 i SSL 3.0 został przestarzały w 2015 roku. Oba są teraz uważane za prawie całkowicie niebezpieczne przez rząd i ekspertów od branży USA.

    TLS przybył w 1999 r. W miarę wzrostu obaw bezpieczeństwa związanych z SSL. TLS 1.1 pojawił się w 2006 roku, a TLS 1.2 w 2008 r., Przed TLS 1.3 zadebiutowane w 2018 roku. Przestarzałe protokoły i szyfry zostały usunięte na każdym etapie, podczas gdy programiści usprawnili procedurę uścisku dłoni. Rezultatem jest przyjazny dla sieci protokół transferu, który zapewnia bezpieczeństwo danych i prywatność, jednocześnie dążąc do maksymalnej prędkości.

    Są SSL i tls takie same?

    Podczas gdy SSL i TLS mają to samo drzewo genealogiczne, zdecydowanie nie są takie same. Najważniejszą różnicą jest skuteczność. SSL został usunięty jako zalecany protokół transferu, podczas gdy TLS nadal poprawia się i znajduje nowe zastosowania. Ale istnieją inne różnice, które sprawiają, że TLS jest lepszy:

    Zgodność. Wiele przeglądarek i aplikacji nie ma teraz obsługi SSL 3.0. TLS jest powszechnie rozpoznawany i używany do zabezpieczenia treści internetowych. Certyfikacja TLS jest nawet używana przez Algorytm wyszukiwania Google jako pozytywny wskaźnik podczas rankingu stron internetowych.

    Klucze szyfrowania. SSL obsługiwał bardzo niewiele formatów kluczowych szyfrowania. To zmieniło się wraz z TLS. Użytkownicy mogą wybierać spośród wielu różnych kluczowych formatów, zapewniając większą elastyczność i interoperacyjność. SSL używał również szyfrowania kodu uwierzytelniania wiadomości (MAC). TLS używa silniejszego szyfrowania kodu uwierzytelniania wiadomości opartej na skrócie (HMAC).

    OpenVpn. OpenVPN stał się standardowym fundamentem dla VPN na całym świecie, ale nie działa z SSL. Z drugiej strony użytkownicy mogą łączyć OpenVPN z TLS, aby tworzyć internetowe konfiguracje prywatności.

    Należy zauważyć, że termin „certyfikaty SSL” jest nadal powszechny. Ale te certyfikaty są nie na podstawie szyfrowania SSL. Prawie wszystkie używają TLS. Nazwa „SSL” została po prostu zachowana z powodu znajomości.

    SSL/TLS VPN najczęstsze przypadki użycia

    SSL/TLS to podstawa świata cyberbezpieczeństwa. Prawdopodobnie użyłeś go dzisiaj podczas surfowania po sieci, nie zdając sobie z tego sprawy. Istnieje wiele potencjalnych przypadków użycia bezpieczeństwa TLS, w tym:

    Dostęp do zdalnego VPN

    Firmy mogą chcieć zapewnić zdalnym użytkownikom bezpieczny dostęp do scentralizowanych zasobów. W takim przypadku przydatna może być internetowa wirtualna prywatna sieć. Pracownicy mogą uzyskać dostęp do bezpiecznych połączeń za pośrednictwem standardowych przeglądarek. VPN działa na prawie każdym urządzeniu i systemie operacyjnym, a ochrona śledzi użytkowników na całym świecie.

    Korzystanie z publicznego Wi -Fi

    Czasami musimy pracować zdalnie w sieciach publicznych. Zasięg VPN jest niezbędny, ponieważ publiczne sieci Wi-Fi są niezwykle podatne na cybernetyczne ataki człowieka. Dzięki VPN opartego na TLS przeglądanie użytkowników pozostanie prywatne, blokując potencjalnych atakujących.

    Łączenie się z zaporami ogniowymi

    TLS mogą łatwo przemierzać routery i zapory ogniowe. Port 443 jest otwarty na prawie wszystkich standardowych zaporach ogniowych, umożliwiając zaszyfrowany ruch VPN przejście przez niezakłócone. Tak nie jest w przypadku VPN na podstawie danych UDP, takich jak IPSec.

    TLS – Silne szyfrowanie internetowe dla użytkowników biznesowych

    Bezpieczeństwo warstwy transportowej zapewnia niemal niezniszczalne szyfrowanie i niezawodne uwierzytelnianie użytkowników internetowych. Dzięki TLS VPN użytkownicy mogą uzyskać dostęp do stron internetowych i wymieniać informacje poufne z minimalnym ryzykiem utraty danych. Firmy mogą tworzyć bezpieczne bramy do aplikacji internetowych, w tym narzędzia SaaS.

    TLS ma kilka słabości. TLS VPN mogą nie obejmować każdej aplikacji używanej w sieci korporacyjnej. IPSEC może pokonać TLS pod względem prędkości, a także jest bardziej odporny na zagrożenia, takie jak ataki DDOS. Ale TLS pozostaje wiodącą opcją bezpieczeństwa do zabezpieczenia ruchu warstwy 4.