SSL Nedir ve Niçin Dikkat Etmelisiniz?

İçindekiler:

Anonim

HTTP'den HTTPS'ye geçiş hakkında önceki bir raporda, Tek Soket Katmanı (SSL) üzerine kısaca değinildi. Kısacası, güvenli bir şekilde çevrimiçi olarak çalışmak için SSL ve halefi Transport Layer Security (TLS) gerekmektedir.

Bu makalede, “SSL nedir” sorusunun yanıtlanmasına ve ayrıca SSL / TLS'nin hassas bilgilerinizi nasıl koruduğuna daha yakından bakalım.

SSL / TLS'yi Neden Önemsemelisiniz?

Bununla birlikte “Nasıl” bölümüne girmeden önce, ilk önce SSL / TLS'yi kullanmak istediğiniz “Neden” konusuna bir göz atalım.

$config[code] not found

Bu günlerde veri güvenliği altındır. Kimliğini çalmış olan herkes size bunu söyleyebilir. Bilgilerinizi güvende tutmanın anahtarı, kimsenin göremediği, güvenli bir yere koymaktır.

Maalesef, bu çevrimiçi olarak mümkün değil. Çevrimiçi bilgi aktarırken, her zaman Hem sizin hem de müşterinizin kaybettiği süreçteki verileri kontrol eder.

Müşteriniz, tarayıcınızın çalıştığı cihazı güvence altına alırken ve Web sunucunuzu da güvenceye alırken, çevrimiçi dünyanın boruları her iki elinizin dışında.

Kablo şirketi, telefon şirketi veya devlet tarafından işletilen bir deniz altı kablosu olsun, müşterilerinizin verileri çevrimiçi olarak bir başkasının elinden geçer ve bu nedenle SSL / TLS kullanılarak şifrelenmesi gerekir.

Çevrimiçi güvenliğini sağlamak için SSL / TLS'yi kullanabileceğiniz bilgi türlerine bazı örnekler:

  • Kredi kartı işlemleri
  • Web sitesi girişleri
  • Özel ve kişisel bilgilerin ileri geri iletilmesi
  • E-postanızı meraklılardan korumak.

Evet, çevrimiçi iş yapıyorsanız, devam eden başarınız için SSL / TLS çok önemlidir. Niye ya? Çünkü:

  • Müşterileriniz çevrimiçi ortamda sizinle iş yaptıklarında veya sizinle iş yapamadıklarında kendilerini güvende hissetmeye ihtiyaç duyarlar; ve
  • Sizinle paylaşmayı seçtikleri hassas bilgileri korumak için müşterinize karşı sorumluluğunuz vardır.

Ardından, SSL / TLS'nin nasıl çalıştığına bir göz atalım.

Genel, Genel ve Oturum Anahtarları,…

Hassas verilerinizi çevrimiçi olarak iletmek için SSL / TLS kullandığınızda, tarayıcınız ve bağladığınız güvenli Web sunucusu güvenli bir bağlantı kurmak için iki ayrı anahtar kullanmak üzere bağlanır: ortak ve özel bir anahtar. Bağlantı kurulduktan sonra, üçüncü bir anahtar türü olan oturum anahtarı, ileri ve geri iletilen bilgileri şifrelemek ve şifresini çözmek için kullanılır.

$config[code] not found

İşte nasıl çalışıyor:

  1. Güvenli bir bağlantıya (örneğin, amazon.com) bağlandığınızda, “el sıkışma” işlemi başlar:
    1. İlk olarak, sunucu tarayıcınıza SSL / TLS sertifikasını ve ortak anahtarını iletecektir;
    2. Tarayıcınız, sertifikanın güvenilir bir kaynak tarafından verilip verilmediği ve sertifikanın süresinin dolmadığı gibi faktörleri kullanarak güvenip güvenmeyeceğini görmek için sunucunun sertifikasını kontrol eder.
    3. SSL / TLS'ye güvenilebilirse, tarayıcınız kullanıma hazır olduğunu bildirmek üzere sunucuya geri bildirim gönderir. Bu mesaj, sunucunun genel anahtarı kullanılarak şifrelenir ve yalnızca sunucunun özel anahtarı kullanılarak şifrelenir. Bu onaylamaya dahil etmek, tarayıcınızın genel anahtarıdır.
      1. Sunucuya güvenilemiyorsa, tarayıcınızda bir uyarı göreceksiniz. Uyarıyı her zaman görmezden gelebilirsiniz, ancak bu akıllıca değildir.
    4. Sunucu daha sonra oturum anahtarını oluşturur. Tarayıcınıza göndermeden önce, genel anahtarınızı kullanarak mesajı şifreler, böylece yalnızca özel anahtarını kullanarak tarayıcınız şifresini çözebilir.
  2. El sıkışma bittiğine ve her iki taraflının oturum anahtarını güvenli bir şekilde aldığına göre, tarayıcınız ve sunucunuz güvenli bir bağlantı paylaşıyor. Hem tarayıcınız hem de sunucunuz, hassas verileri çevrimiçi olarak ileri geri gönderilirken şifrelemek ve şifresini çözmek için oturum anahtarını kullanır.
    1. Oturum bittiğinde, oturum anahtarı atılır. Bir saat sonra bağlansanız bile, bu işlemi baştan başlayarak yeni bir oturum anahtarı ile sonuçlanacak.

Boyut Önemlidir

Her üç anahtar türü de uzun sayı dizilerinden oluşur. Dize ne kadar uzun olursa, şifreleme o kadar güvenli olur. Aşağı tarafta, daha uzun bir dize verilerin şifrelenmesi ve şifresinin çözülmesi için daha fazla zaman alır ve hem sunucunun hem de tarayıcınızın kaynaklarına daha fazla zorlama getirir.

Bu yüzden oturum anahtarları var. Bir oturum anahtarı hem genel hem de özel anahtarlardan çok daha kısadır. Sonuç: çok daha hızlı şifreleme ve şifre çözme ama daha az güvenlik.

Bekle - daha az güvenlik? Fena değil mi? Pek sayılmaz.

Oturum anahtarları yalnızca silinmeden önce kısa bir süre için bulunur. Diğer iki tür anahtar kadar uzun olmadıkları sürece, tarayıcınız ile güvenli sunucu arasındaki bağlantının var olduğu kısa süre içinde bilgisayar korsanlığını engelleyecek kadar güvenlidirler.

Şifreleme Algoritmaları

Hem genel hem de özel anahtarlar, üç şifreleme algoritmasından biri kullanılarak oluşturulur.

Burada çok derinleşmeyeceğiz, şifreleme algoritmalarını tamamen anlamak için kelimenin tam anlamıyla bir matematik derecesine (belki birkaç tane) ihtiyacınız var, ancak kendi web sitenizin kullanacağı türü seçmek için zamanı geldiğinde temel bilgileri bilmek kullanışlıdır.

Üç birincil algoritma:

  • RSA - yaratıcıları adını aldı (Ron) R,ivest, Adi SHamir ve Leonard birdlema), RSA 1977'den bu yana olmuştur. RSA, bir dizi hesaplamada iki rasgele asal sayı kullanarak anahtarlar oluşturur. Daha fazla bilgi edin…
  • Dijital İmza Algoritması (DSA) - Ulusal Güvenlik Ajansı (NSA) tarafından oluşturulan DSA, bir dizi hesaplamada “crptographic hash fonksiyonu” kullanan iki aşamalı bir işlem kullanarak anahtarlar yaratır. Daha fazla bilgi edin…
  • Eliptik Eğri Kriptografisi (AET) - EEC, karmaşık bir hesaplama serisinde “eliptik eğrilerin cebirsel yapısını” kullanarak anahtarlar oluşturur. Daha fazla bilgi edin…
$config[code] not found

Hangi Şifreleme Algoritmasını Seçmelisiniz?

Matematik bir yana, kullanılacak en iyi şifreleme algoritması hangisi?

Şu anda, ECC en üste çıkıyor gibi görünüyor. Matematik sayesinde, ECC algoritmasıyla oluşturulan anahtarlar daha kısa, aynı zamanda daha uzun anahtarlar kadar güvenli. Evet, ECC “boyut sorunları” kuralını ihlal ediyor, bu da cep telefonunuz veya tabletiniz gibi daha az güçlü cihazlarla güvenli bağlantı için idealdir.

En iyi yaklaşım, sunucunuzun her üç algoritma türünü de kabul edebileceği ve üzerine atılan her şeyi işleyebildiği karma bir uygulama olabilir. Bu yaklaşımın iki dezavantajı şunlar olabilir:

  1. Sunucu, yalnızca ECC'nin aksine RSA, DSA ve ECC'yi idare eden daha fazla kaynak kullanır; ve
  2. SSL / TLS sertifika sağlayıcınız sizden daha fazlasını talep edebilir. Bununla birlikte, etrafa bakın, üçünü de kullanmak için ekstra ücret almayan çok güvenilir sağlayıcılar var.

Neden TLS'ye hala SSL deniyor?

Bu yazının başında belirttiğimiz gibi, TLS SSL'nin halefidir. SSL hala kullanımda iken, TLS daha rafine bir çözümdür ve SSL'yi rahatsız eden pek çok güvenlik deliğini kapatır.

Çoğu barındırma şirketi ve SSL / TLS sertifika sağlayıcıları hala "TLS Sertifikası" yerine "SSL sertifikası" terimini kullanmaktadır.

Ancak, daha iyi barındırma ve sertifika sağlayıcılar gerçekten de TLS sertifikalarını kullanıyorlar - yalnızca adını değiştirmek istemiyorlardı, çünkü müşterilerinin kafasını karıştıracak.

Sonuç

Tek Yuva Katmanı (SSL) ve halefi Transport Layer Security (TLS) güvenli bir şekilde çevrimiçi olarak çalışması için gereklidir. SSL / TLS, "Anahtarlar" olarak adlandırılan uzun sayı dizelerini kullanarak, hem sizin hem de müşterinizin bilgilerinin gönderilmeden önce şifrelendiği ve geldiğinde şifresini çözen bağlantılar sağlar.

Alt satır: Çevrimiçi iş yapıyorsanız, hem sizi hem de müşterilerinizi korurken güven oluşturduğu için SSL / TLS devam eden başarınız için çok önemlidir.

Shutterstock ile Güvenlik Fotoğrafı

Daha fazla: Nedir 5 Yorumlar ▼