Emuārs

Pilnīga rokasgrāmata iesācējiem par SSL šifrēšanu

HTTPS attēls
Sekot līdzi uzlaušanai, pikšķerēšanai, ļaunprātīgai programmatūrai, vīrusiem un visiem citiem netīriem darījumiem tīmeklī ir liels bizness. The kiberdrošības nozare tiek prognozēts, ka līdz 2020. gadam tas sasniegs 170 miljardus ASV dolāru. Pieaugums ir gandrīz nemainīgs ar kibernoziegumu pieaugumu, nozare pati par sevi tas ir atbildīgs parzaudējumsgadā aptuveni 450 miljardi dolāru. Kā vidusmēra interneta lietotājs un ikdienišķa pārlūkprogramma saglabā drošību starp ' cauruļu sērija ”? Viena efektīva metode ir gan izprast, gan aktīvi izmantot vietnes ar Secure Socket Layer (SSL) šifrēšanu.



SSL mazāk nekā 100 vārdos

Secure Socket Layer šifrēšana ir augsta līmeņa šifrēšanas standarts, kas izmanto asimetriskas un simetriskas atslēgas algoritmu kombināciju. Tas nozīmē, ka, izņemot asimetrisko publisko atslēgu, izmantotās kriptogrāfiskās atslēgas ir unikālas katru reizi, kad tiek izveidots savienojums starp divām mašīnām. SSL sertifikāti izmanto asimetrisku publisko atslēgu (vietnes serveri) un privāto atslēgu (lietotāja pārlūkprogrammu), kas darbojas kopā, lai autentificētu datus un tos aizsargātu. Kad ir izveidots sākotnējais “rokasspiediens”, SSL savieno abas mašīnas ar šifru, kas pastāvīgi šifrē un uzrauga datu pārsūtīšanu, pārbaudot, vai dati ir gan droši, gan nemainīgi.

Īss ievads par šifrēšanu (drošības zaļumiem)

Ja esat vairāk profesionāls, nekautrējieties turpināt darbu. Tomēr, ja visas šīs runas par SSL un tīkla drošību jums šķiet pārsteidzīgas, sadalīsim dažus no tā, par ko mēs runājam, lai jūs justos mazāk apjukuši.



Visa informācija ir dati

Tas ir kaut kas, ko jūs, iespējams, jau zināt. Visvienkāršākajā līmenī viss, ko sūtāt un saņemat tiešsaistē, būtībā ir kodēti dati. Pat tos vārdus, kurus lasāt lapā, jūsu pārlūkprogramma pārtulko lasāmā, vizuāli pievilcīgākā formātā. Jūs patiesībā nevēlaties mēģināt izlasīt, kā šie dati izskatās, jo jūs tos uztvertu tikai kā burtu un ciparu kopumu, kuriem nav jēgas, ja tie nav iztulkoti.

Piemēram, šeit ir momentuzņēmums no Maiami Universitāte par to, kā e-pasta adrese varētu izskatīties tīrā datu formā:



U Maiami SSL kods

Diez vai jūs varētu saprast datus to pārsūtīšanas vidū. Bet jūsu pārlūkprogramma pārvērš šos datus lasāmā formā — šajā gadījumā kā e-pasta adrese.

Datu paketes

Lielākoties visi datori runā vienās valodās. Tātad, kad divi datori savienojas viens ar otru, izmantojot tīklu un sāk sūtīt datus iepriekš minētajā kodētajā valodā vai vienā no daudzām citām koda valodām, tie pēc saņemšanas var tulkot šo valodu lietotājam lasāmākā formātā. Tomēr visi šie dati nenāk kā viena nepārtraukta straume, bet tiek sadalīti mazākās paketēs, kas tiek ātri nosūtītas. Datu paketes parasti pastāv šādā formā:

  • Virsrakstssatur informāciju, piemēram, sūtītāja IP un saņēmēja IP adreses, tīkla protokola numuru un citu noderīgu informāciju
  • Krava, kas ir faktiskā datu pakete, kas jāsaņem un jātulko
  • Treileris, kas norāda, ka pakete ir beigusies, un palīdz izlabot kļūdas, kas varētu būt radušās nosūtīšanas procesā

Lielākajai daļai tīklu faktiski būs ierobežojums, cik daudz datu var saturēt katra pakete. Tas nozīmē, ka kravnesības apjoms var atšķirties, kas arī ietekmēs datu nosūtīšanas laiku. Tā kā datus var pārtvert vai nozagt ceļā, ja kādam ir dators, kas var tulkot pakešu datus (gandrīz jebkuram), dati pirms to nosūtīšanas ir jāšifrē un pēc to saņemšanas jāatšifrē.

Datu šifrēšana

Tā kā jebkurš dators var tulkot datus, kas nosūtīti pa tīkliem, un neaizsargāto tīklu ievainojamības dēļ pastāv šifrēšana, lai nodrošinātu, ka datu paketes nav faktiski iespējams tulkot. Lūk, kā šī šifrēšana darbojas.

Visa šifrēšana ir iegūta no kriptogrāfija , pētījums par ziņojumu sūtīšanu kodētos ziņojumos. Kriptogrāfija ir plaši izmantota daudzās vēstures daļās pēdējo desmitgažu laikā, jo īpaši Otrajā pasaules karā, kad gan sabiedrotie, gan ass lielvaras pastiprināja savus centienus nosūtīt un kodēt ziņojumus publiskajā ēterā.

Mūsdienās kriptogrāfiju biežāk izmanto, izmantojot tīkla šifrēšanu. Ar šifrēšanu dati ir izkropļots pirms iziešanas caur tīklu un saņēmējai pusei. Ikvienam, kas ielūkojas, kādreiz tulkojamie dati vienkārši izskatītos kā muļķības.

Kriptogrāfiskās jaucējfunkcijas

Tātad, kā tas notiek, ka dati tiek kodēti? Sarežģīti algoritmi, kas darbojas, izmantojot kriptogrāfijas jaucējfunkcijas. Šīs funkcijas būtībā ņem jebkādus jebkura izmēra datus un pārvērš tos iepriekš noteikta izmēra kodētā funkcijā. Šeit ir piemērs tam, kā tas varētu izskatīties:

Jaucējfunkcijas

Dati tiek ievadīti jaucējfunkcijā, kas pēc tam tos pārvērš bitu virknē, kā parādīts iepriekš. Kā redzat, katra dažādā ievade tiek pārvērsta tāda paša izmēra bitu virknē neatkarīgi no ievades datiem. Tas ir paredzēts, lai padarītu rupja spēka uzbrukumus (tādus, kuros kāds mēģina uzminēt kodētos datus, mēģinot uzminēt visus iespējamos risinājumus) padarīt grūtākus. SSL un citu mūsdienu šifrēšanas standartu gadījumā brutālā spēka izmantošana nav iespējama lielo iespēju daudzuma dēļ. Kas mūs noved pie nākamās tēmas.

Šifrēšanas bitu lielums

Kad dati tiek šifrēti, iepriekš noteiktais bitu virknes lielums ir vissvarīgākais faktors, lai novērstu brutāla spēka uzbrukumus. Jo garāks ir bitu virknes izmērs, jo grūtāk kļūst uzminēt visas iespējamās virknes atšifrēšanas kombinācijas. Kopumā apkopotos datus sauc par “ taustiņu ”, un šīs atslēgas spēks irdaļējimēra, cik bitu tas satur.

Tātad, kāpēc gan neizveidot atslēgu, kurā ir, teiksim, miljons bitu? Atbilde ir apstrādes jauda un laiks. Jo lielāka ir bitu atslēga, jo vairāk laika un apstrādes jaudas ir nepieciešams datoram, lai faktiski efektīvi atšifrētu ziņojumu saņēmējā pusē. SSL faktiski izmanto dažādus atslēgu izmērus dažādiem mērķiem un atkarībā no tā, cik atjaunināta ir pati iekārta.

Sākotnējiem rokasspiedieniem (tas ir, lai apstiprinātu, ka saņēmēja iekārta ir pareizais adresāts), daudz lielāks 2048 bitu RSA atslēga tiek izmantots. Dati šajā atslēgā ir mazi, bet tiek izmantoti tikai, lai pārbaudītu šo datu apmaiņu. Kad sistēmas ir viena otru verificējušas, SSL pāriet uz 128, 192 vai 256 bitu atslēgām.

Šifrēšanas bitu atslēgas lielums
Vai taustiņu izmēriem ir nozīme? Protams. Jo lielāks atslēgas izmērs, jo vairāk potenciālo kombināciju. Neskatoties uz to, pat mazāko 128 bitu atslēgas izmēru ir neticami grūti izjaukt ar brutālu spēku uzbrukumu, ņemot vērā lielo iespējamo kombināciju skaitu. Ar pašreizējo skaitļošanas jaudu būtu iespējams uzlauzt 128 bitu atslēgu, taču tas var aizņemt miljonu gadu. Tas nozīmē, ka šobrīd lielākās bažas skaitļošanas jomā ir tas, kā kvantu skaitļošana ļaus viegli uzlauzt SSL atslēgas, tādējādi prasot paplašināt atslēgu izmērus. Taču šī tehnoloģija drīzumā nebūs plaši pieejama.

Šifrēšana īsumā

Apkopojot visu, šifrēšana veic visas tālāk norādītās darbības.

  • Dati tiek kodēti, pirms tie tiek nosūtīti tīklā
  • Bloķē šos datus ar gandrīz nesalaužamu (pagaidām) jaukšanas algoritmu
  • Pārvadā šos datus droši, novēršot slaucīšanu
  • Ļauj tikai saņemt datus aizsargātai pusei un atšifrēt to saņemšanas brīdī

Kādas ir SSL priekšrocības?

SSL šifrēšanai ir 2 galvenās priekšrocības:

  • Tas nodrošina datu pārsūtīšanu starp jūsu datoru un vietnes serveriem, izmantojot spēcīgu šifrēšanu
  • Tas nodrošina pārbaudi, vai vietnei ir gan atjaunināts, gan autentificēts drošības sertifikāts.

Datu drošība ir ārkārtīgi svarīga, jo īpaši vietnēm, kurās tiek apkopota kredītkaršu un bankas informācija vai paroles un lietotājvārdi. Visām vietnēm, kas veic kādu no šīm darbībām, ir jābūt SSL šifrēšanai. Pretējā gadījumā vietne tiek atstāta atvērta hakeru uzbrukumiem, kuru laikā dati var tikt nozagti ceļā.

Verifikācija ir ārkārtīgi svarīga SSL sertifikātiem. Ir garš uzņēmumu saraksts, kas nodrošina SSL sertifikāciju, un tas ne vienmēr ir lēts vai vienkāršs. Vietnēs, kas piesakās augstas garantijas SSL sertifikācijai, ir jānorāda:

Šis process maksā arī vietņu īpašniekiem. Tāpēc pikšķerēšanas vietnes nekad neizmantos īpaši drošus SSL sertifikātus. Viņi nekad nevarētu iziet pārbaudi, un lielākā daļa nodarbojas ar naudas zagšanu, nevis izmaksāšanu citiem uzņēmumiem.

Maz ticams, ka sertifikācijas iestādes uzņēmumi izsniegs augstas garantijas SSL sertifikātus vietnei, kurai nav labas reputācijas. Lielākā daļa CA uzņēmumu ir labi zināmi nosaukumi. Sarakstā ietilpst:

  • Symantec
  • Ej tēti
  • DigiCert
  • Trustwave
  • GlobalSign
  • StartCom
  • SwissSign
  • Tīkla risinājumi
  • Thawte
  • ar
  • Šifrēsim
  • GeoTrust
  • Uztic
  • Ērti

Lielākoties CA vienības parasti ir tīmekļa mitinātāji un kiberdrošības uzņēmumi.

Kā noteikt, vai vietne izmanto SSL

Patiesībā ir diezgan viegli noteikt, vai vietne izmanto SSL šifrēšanu. Kad esat izveidojis savienojumu ar vietni, sākotnējais rokasspiediens starp pārlūkprogrammu un serveri nodrošinās pārbaudi, vai vietne izmanto SSL šifrēšanu. Tas tiek parādīts divos veidos:

  • Vietnes adrese tiek rādīta kā HTTPS vietne (drošs hiperteksta pārsūtīšanas protokols)
  • Slēdzenes simbols parādās tieši pa kreisi vai pa labi no HTTPS

Turklāt dažās vietnēs uzņēmuma nosaukums var tikt parādīts ar slēdzenes simbolu. Vietnēs, kurās ir iegādāti augstākā līmeņa paplašinātās validācijas SSL sertifikāti, blakus adreses joslai ir redzams uzņēmuma nosaukums.

Lūk, kā tas viss izskatās.

Vietne Stack Exchange daudzās savās lapās neizmanto SSL šifrēšanu. Tādējādi vietnes adresē netiek parādīts HTTPS vai bloķēšanas simbols:

StackExchange Nav SSL
Noklikšķinot uz “i”, tiks atklāts, ka vietne patiešām nav droša:

StackExchange Nav SSL

Tikmēr Google dokumentiem ir SSL šifrēšana, bet ne augstākajā līmenī:
Google dokumentu SSL

Lai gan amerikāņu bankas Capital One vietnē tiek izmantota paplašinātā verifikācija ar visiem papildinājumiem:
Capital One SSL

Kad SSL ir svarīgs un kad tas nav svarīgs

Viens jautājums, kas jums varētu rasties, ir tas, vai SSL šifrēšana vienmēr ir nepieciešama. Skaidri sakot, atbilde ir. SSL šifrēšana ne vienmēr ir nepieciešama. Tomēr tās tīmekļa vietnes, kasdarītizmantošanai ir dažādas vajadzības, kurāmveidsSSL šifrēšanu, ko viņi dara vai kam vajadzētu būt.

Pieturoties pie piemēriem no iepriekšējās sadaļas, StackExchange tā navnepieciešamsSSL šifrēšana visās tās vietnes daļās. Patiešām, vietnei faktiski ir SSL šifrēšana, bet tikai tur, kur tas faktiski ir nepieciešams. Ja izveidojat kontu un piesakāties vietnē, skatiet, kas notiek:

Stachexchange ssl

Tas ir tāpēc, ka jebkura vietne, kurā jums ir jāizveido konts un jāpiesakās savā serverīvajadzētuir SSL šifrēšana, vismaz visvienkāršākajā līmenī. SSL šifrēšana palīdzēs novērst to, ka kāds nozags jūsu konta pieteikšanās informāciju, kad šie dati tiek pārsūtīti starp jūsu datoru un vietnes serveri.

Vispārīgi runājot, jo svarīgāki ir dati, kas tiek pārsūtīti starp jums un vietnes serveri, jo augstākam pārliecības līmenim ir jābūt vietnei. Tāpēc bankai, piemēram, Capital One, ir paplašināta pārbaude, savukārt vietnei, piemēram, StackExchange, ir organizācijas verifikācijas sertifikāts.

Tīmekļa vietnes, kurās netiek apkopota nekāda informācija vai nepieciešama pieteikšanās, lai piekļūtu vietnes daļām, noteikti varētu izmantot SSL šifrēšanu, taču tas nav pilnībā nepieciešams. Tas nozīmē, ka vienmēr ir bažas par to, vai vietne ir uz augšu un uz augšu, vai arī tā ir viltota pikšķerēšanas vietne, kas izveidota datu zagšanai.

Tā kā SSL sertifikātu iegūšanai nepieciešama intensīva pārbaude, pikšķerēšanas vietnēm nebūs visaugstākā šifrēšanas līmeņa, taču tām joprojām var būt HTTPS adrese vai pat bloķēšanas simbols. Tomēr viņiem nekad nebūs zaļās joslas ar uzņēmuma nosaukumu, jo tas tiek piešķirts tikai vietnēm ar augstas garantijas sertifikātiem. Turklāt dažām vietnēm var būt beidzies derīguma termiņš vai SSL sertifikāti nav verificēti. Jūs varat redzēt, kā tas izskatās, dodoties uz badssl.com , vienkārša, izglītojoša vietne, kas sniedz pārliecinošus piemērus visu veidu SSL sertifikātu novirzēm.

Piemēram, vietne ar atsauktu SSL sertifikātu var tikt parādīta pārlūka Chrome sesijā, piemēram:

Slikts SSL

Kopumā vietne to nedaranepieciešamsSSL šifrēšana, taču, ja dodaties uz vietni, par kuru neesat pārliecināts, vislabāk ir izvairīties no pieteikšanās izveides šajā vietnē, kamēr neesat to pilnībā pārbaudījis.

Saistīts: Rokasgrāmata SSL atšifrēšanai, izmantojot Wireshark

Dažādi SSL veidi

Tā kā SSL ir šifrēšanas un verifikācijas veids, ir dažādi veidi. Katrs veids apkalpo nedaudz atšķirīgu mērķi. Tomēr ir svarīgi atzīmēt, ka dažāda veida SSL sertifikāti nenozīmē, ka vietne nodrošinavairākvaimazākdrošību. Sertifikātu veidi norāda, cik uzticama ir vietne, jo šo dažādo veidu iegūšanai ir nepieciešams atšķirīgs validācijas līmenis.

Domēna apstiprināti sertifikāti

DV sertifikāti ir lētākie pieejamie SSL sertifikāti. Šie sertifikāti palīdz tikai pārbaudīt domēna vārdu reģistru ar sertifikātu. Šo sertifikātu iegūšanas prasības parasti ir zemas, kas nozīmē, ka daudzas pikšķerēšanas vietnes tos var iegūt diezgan vienkārši. Šiem sertifikātiem nav nepieciešamas stingrākas pagātnes un apstiprināšanas pārbaudes, kas nepieciešamas citiem sertifikācijas līmeņiem.

Tādējādi daudzas sertifikācijas iestādes entītijas faktiski nepiedāvā šo sertifikātu, jo lielākā daļa uzskata, ka tas ir pārāk zems drošības līmenis un lielākoties nav drošs. Šajās vietnēs joprojām būs redzams bloķēšanas simbols, taču tās joprojām rada zināmu risku. Pārbaudot vietnes sertifikāta informāciju, tas jūs informēs tikai par domēna nosaukumu un CA.

Šis sertifikāta veids ir izplatīts vietnēm, kurām ir ļoti ierobežotas drošības problēmas. Anime vietne MyAnimeList.net ir viena no šādām vietnēm. Šeit ir informācija par sertifikātu:

MAL ssl

Faktiski dažas vietnes daļas nav drošas, kā rezultātā mana tīmekļa pārlūkprogramma bloķēja šīs daļas:

MAL SSL bloks

Lai gan DV sertifikāti var būt noderīgi, tādās vietnēs, kurās tie parasti tiek izmantoti, nav atļauti atsevišķu lietotāju konti, tāpēc netiek apkopoti lietotājvārdi un paroles.

Organizācijas apstiprinātie sertifikāti

Šo SSL sertifikātu iegūšanai ir nepieciešams stingrāks validācijas process, un tāpēc tie ir arī dārgāki. Atšķirībā no DV sertifikātiem, OV sertifikāti atbilst Pieprasījuma komentāriem (RFC) standartiem, ko noteikusi Interneta inženierijas darba grupa (IETF) un Internet Society (ISOC). Vietnēm ir jāapmainās ar validācijas informāciju, un CA var tieši sazināties ar uzņēmumu, lai pārbaudītu informāciju.

Pārbaudot sertifikāta informāciju, redzēsit vietnes nosaukumu un to, kas to ir verificējis. Tomēr jūs nesaņemsit informāciju par īpašnieku.

Wikipedia ir tādas vietnes piemērs, kurā tiek izmantots OV sertifikāts:

Wikipedia SSL

Pagarināts validācijas sertifikāts

EV sertifikāts ir augstākais līmenis, kas sniedz vislielāko pārliecību un apstiprinājumu. EV sertifikāta saņemšanai nepieciešamais process ir gan apjomīgs, gan dārgs. Tikai vietnes ar EV sertifikātu saņems zaļās joslas apstiprinājumu pēc savas vietnes nosaukuma arī jūsu tīmekļa pārlūkprogrammā. Diemžēl ne visas tīmekļa pārlūkprogrammas var parādīt EV zaļo joslu. Tas ir pieejams tikai šādām pārlūkprogrammām:

Google Chrome, Internet Explorer 7.0+, Firefox 3+, Safari 3.2+, Opera 9.5+

Vecākās pārlūkprogrammās tas netiks rādīts. Tomēr tas nenozīmē, ka tā tur nav. Tas vienkārši nozīmē, ka tiem, kas izmanto vecākas pārlūkprogrammas, iespējams, būs jāpārbauda sertifikāta informācija, lai pārbaudītu validācijas līmeni.

Detalizētākas informācijas iegūšana par Capital One atklāj faktu, ka vietne patiešām izmanto EV SSL sertifikātu:

Capital One SSL

EV sertifikāti līdz šim ir visuzticamākie un drošākie, taču ne pilnīgi nepieciešami katrai vietnei. Lielākā daļa vietņu faktiski var iztikt ar DV vai OV. Tomēr, ja vietne apkopo informāciju no jums, jums nevajadzētu tai uzticēties, ja vien tai nav OV sertifikāta vai augstāka līmeņa.

Tomēr dažas vietnes, veicot maksājumus, jūs novirzīs uz ārēju vietni. Šīs vietnes var izmantot ārējos pakalpojumus savai maksājumu sistēmai, piemēram, PayPal, kam ir augstas garantijas EV sertifikācija. Tādā veidā viņiem nav jāiegādājas savs EV, tā vietā jāpaļaujas uz ārējiem pakalpojumiem, lai nodrošinātu šo drošības un pārliecības līmeni.

Problēmas ar DV un OV sertifikātiem

Lai gan daudzas CA nepiedāvā DV sertifikātus, dažas to piedāvā. Tā kā CA sertifikātiem nav nepieciešamas papildu pagātnes pārbaudes un apstiprināšana, daži pikšķerēšanas vietņu īpašnieki ir iegādājušies šos sertifikātus, lai spēlētu sistēmu. Diemžēl nav tieša veida, kā atšķirt DV un OV tīmekļa vietnes, faktiski neapskatot sertifikāta informāciju. Tāpēc daudzas vietnes izmanto EV (augstas garantijas) sertifikātus. Tāpat kā OV sertifikātiem, tiem ir nepieciešama plašāka validācija, taču tiem ir arī zaļā josla, kas norāda uzņēmuma nosaukumu, kā arī slēdzenes simbols un sniegts plašs validācijas informācijas apjoms.

Lielākajai daļai pārlūkprogrammu sertifikātu var pārbaudīt, noklikšķinot uz slēdzenes simbola, noklikšķinot uz “Papildinformācija” un pēc tam uz “Skatīt sertifikātu”.

SSL sertifikāts

Tas parādīs detalizētu informāciju par šīs vietnes sertifikātu:
steka apmaiņa ssl

Šeit mēs redzam, ka Stack Exchange patiešām izmanto DigiCert izsniegto High Assurance EV sertifikātu. Mēs varam uzticēties viņu vietnei, un mums nav jāuztraucas par pieteikšanos tajā, izmantojot drošu paroli.

Vai ir kādas SSL alternatīvas?

Lai gan SSL patērē lielu daļu visas drošās interneta trafika, šai šifrēšanas metodei ir dažas ievērojamas alternatīvas.

Transporta ligzdas slānis

TLS jeb Transport Socket Layer ir SSL pēctecis. Patiešām, daudzos gadījumos tas, kas tiek saukts par SSL sertifikātu, patiesībā var būt TLS sertifikāts. Tas nav nejauši. TLS, jaunāks standarts, lielā mērā balstās uz SSL, ar pietiekami mazām izmaiņām, lai daudzi cilvēki, pat tie, kas ir tieši šajā nozarē, joprojām atsauktos uz TLS un SSL kopā (parasti ar apzīmējumu “SSL/TLS”). Galvenās atšķirības starp SSL un TLS ir atjaunināti šifri un labāka TLS drošība, tāpēc tas ir aizstājis SSL. Tomēr lielākā daļa cilvēku joprojām atsaucas uz TLS kā SSL, ņemot vērā, ka abi protokoli ir ļoti līdzīgi. Tā kā abi izmanto vienus un tos pašus sertifikātus, pāreja lielākajai daļai vietņu bija diezgan vienkārša.

Secure Shell

Secure Shell (SSH) ir tieši konkurētspējīga ar SSL un daudzējādā ziņā tikpat droša. Tomēr SSH visvairāk atšķiras divos veidos. Pirmkārt, SSH būtībā var iegūt bez maksas. Atšķirībā no SSL, SSH neizmanto sertifikācijas iestādes, lai pārbaudītu un veiktu autentifikāciju. Turklāt atšķirībā no SSL SSH izmanto arī dažādus utilītus, kas darbojas ar šifrēšanu. Tas var ietvert tīkla iekārtu attālo darbību un pieteikšanās prasību izveidi, izmantojot drošu tīklu. SSH ir populārāks tīkla administratoru vidū. Iemesls, kāpēc SSH ir mazāk drošs nekā SSL/TLS, ir tas, ka atšķirībā no SSL atslēgu pārvaldībai ir maz pārraudzības. Tas nozīmē, ka šifrēšanas atslēgas var pazust, nozagt vai nepareizi izmantot, tādējādi apgrūtinot īpašumtiesību pārbaudi.

IPSec

Interneta protokola drošība izmanto atšķirīgu pieeju tīkla drošībai un šifrēšanai. Lai gan SSL/TLS darbojas lietojumprogrammu līmenī, IPSec tika izstrādāts tā, lai šifrētu punktu uz punktu visam tīklam. Tādējādi IPSec darbojas citā tīkla protokola slānī (SSL darbojas 1. slānī, HTTP, savukārt IPSec darbojas 3. slānī, IP). Tas nodrošina IPSec holistiskāku pieeju tīkla drošībai. IPsec ir arī vairāk paredzēts pastāvīgiem savienojumiem starp divām mašīnām, savukārt SSL ir paredzēts nepastāvīgām sesijām.

IPSec sākotnēji bija paredzēts IPv6, jo tas nodrošina tīkla drošību IP līmenī. Patiešām, IPsec sākotnēji tika izstrādāts kā IPv6 tīkla drošības metode. Tomēr lielākais IPSec trūkums ir tas, ka tas nenodrošina individualizētāku autentifikāciju. Kad kāds ir ieguvis piekļuvi tīklam, kas nodrošināts ar IPSec, viņš var brīvi piekļūt jebkuram tīklam; kamēr nav izveidota cita autentifikācija, piekļuvei nav ierobežojumu.

Turklāt IPSec nav izņēmums attiecībā uz attālo piekļuvi. Tas ir vairāk paredzēts tiešajiem savienojumiem starp tīkliem, piemēram, lielam uzņēmumam, kas izveido drošus savienojumus ar saviem serveriem visās uzņēmuma atrašanās vietās. Lai attāliem lietotājiem varētu izveidot savienojumu (piemēram, darbiniekiem, kuri vēlas strādāt no mājām vai ceļojuma laikā), nepieciešama lielāka apkope, vienlaikus nepieciešamas atsevišķas lietojumprogrammas.

SSL paplašinājumi un VPN risinājumi

Tā kā SSL galvenokārt ir uz lietojumprogrammām balstīts šifrēšanas standarts, ir izstrādāti risinājumi, lai nodrošinātu, ka SSL var lietot arī dažādos veidos.

OpenSSL VPN

OpenSSL ir atvērtā koda SSL versija, kas tiek izmantota daudzās lietojumprogrammās, kas nav pārlūkprogrammas. Ievērības cienīgs ir tas, ka tā ir galvenā drošības metode, ko izmanto VPN, kas darbojas, izmantojot OpenVPN platformu. OpenSSL ir tieši tā, kā izklausās: atvērtā koda SSL versija, ko var brīvi izmantot un spēlēt. Tāpat kā ar daudzām atvērtā koda iniciatīvām, OpenSSL ir ļoti atkarīga no kopienas, kas to izmanto, lai saglabātu jaunāko informāciju. Tas ir radījis zināmu neapmierinātību, jo OpenSSL nesniedz tik lielu pārliecību kā pārlūkprogrammā balstīts SSL sertifikāts, kas iegādāts, izmantojot sertifikācijas iestādi. Tika atrastas ievērojamas ievainojamības, taču arī OpenSSL tiek bieži atjaunināts, lai novērstu šīs ievainojamības.

Šai programmai ir vairākas dakšas, tostarp Google BoringSSL . Pozitīvi ir tas, ka OpenSSL rīkkopa ļauj pastāvīgi uzlabot, ņemot vērā to, ka tas ir atvērts avots.

Droša pārlūkošana, izmantojot HTTPS visur

HTTPS visur

Bezmaksas produkts no Electronic Frontier Foundation, HTTPS Everywhere ir pārlūkprogrammas Chrome, Firefox un Opera paplašinājums, kas liek jūsu pārlūkprogrammai, kad iespējams, izvēlēties HTTPS lapas. HTTPS Visur darbojas arī, palīdzot aizsargāt jūsu datus, kamēr esat izveidojis savienojumu ar vietni, kas dažās, bet ne visās lapās izmanto HTTPS. Kamēr vietneatbalstaHTTPS, HTTPS visur var pārvērst lapas par HTTPS un šifrēt datus. Tomēr, kā norādīts EZF FAQ lapā, vietnes, kurās ir saites uz apšaubāmām trešo pušu saitēm, piemēram, attēliem, nevar pilnībā aizsargāt HTTPS.

Varat arī iestatīt HTTPS Visur, lai bloķētu nedrošas saites un pikšķerēšanas vietnes. Tas ir īpašs drošības līdzeklis, kas palīdz novērst interneta lietotāju nejaušu uzkļūšanu pikšķerēšanas vietnēs.
' HTTPS ” autors Kristians Kolens, licencēts saskaņā ar CC BY 2.0

^