Vad är SSL och varför ska du bry dig?

Innehållsförteckning:

Anonim

I en tidigare rapport om att byta från HTTP till HTTPS berörde den kortfattat SSL (Single Socket Layer). Kort sagt, SSL och dess efterträdare, Transport Layer Security (TLS), behövs för att fungera säkert på nätet.

I den här artikeln ska vi titta närmare på att svara på frågan "Vad är SSL" och hur SSL / TLS skyddar din känsliga information.

Varför ska du bry dig om SSL / TLS?

Innan du går in i "Hur", men låt oss ta en titt på "Varför" skulle du vilja använda SSL / TLS i första hand.

$config[code] not found

Idag är datasäkerheten gyllene. Den som har fått sin identitet stulen skulle kunna berätta för det. Nyckeln till att hålla din information säker är att kasta bort den i någonstans säker där ingen annan kan se den.

Tyvärr är det inte möjligt online. När du överför information online finns det alltid Några punkter i processen där både dig och din kund förlorar kontrollen av data.

Du ser, medan din kund kan säkra den enhet som din webbläsare kör och du kan säkra din webbserver, är ledningarna i onlinevärlden av båda händerna.

Oavsett om det är kabelföretaget, telefonselskapet eller en regeringsdriven undervattenkabel, kommer dina kunders data att passera någon annans händer online och det är därför som det måste krypteras med SSL / TLS.

Här är några exempel på vilka typer av information du kan använda SSL / TLS för att säkra online:

  • Kreditkortstransaktioner
  • Webbplatsinloggningar
  • Skickar privat och personlig information fram och tillbaka
  • Säkra din email från snoopers.

Ja, om du gör affärer online är SSL / TLS avgörande för din fortsatta framgång. Varför? Därför att:

  • Dina kunder måste känna sig säkra när de gör affärer med dig online eller de kommer inte att göra affärer med dig. och
  • Du har ett ansvar för din kund för att skydda den känsliga informationen de har valt att dela med dig.

Låt oss sedan titta på hur SSL / TLS fungerar.

Offentliga, offentliga och sessionstangenter är det, du … Key

När du använder SSL / TLS för att överföra dina känsliga data online, förbinder din webbläsare och den säkrade webbservern att använda två separata nycklar för att skapa en säker anslutning: en offentlig och en privat nyckel. När anslutningen är på plats används en tredje typ av nyckel, sessionsnyckeln, för att kryptera och dekryptera informationen som skickas fram och tillbaka.

$config[code] not found

Så här fungerar det:

  1. När du ansluter till en säker sever (t.ex. amazon.com) börjar "handskakning" processen:
    1. Först kommer servern att skicka din webbläsare, det är SSL / TLS-certifikat såväl som det är den offentliga nyckeln;
    2. Din webbläsare kommer då att kontrollera serverns certifikat för att se om det kan lita på det med hjälp av faktorer som om certifikatet utfärdades av en tillförlitlig källa och om certifikatet inte har löpt ut.
    3. Om SSL / TLS kan lita på kommer din webbläsare att skicka en bekräftelse tillbaka till servern så att den vet att den är klar att gå. Det meddelandet krypteras med serverns offentliga nyckel och kan bara dekrypteras med serverns privata nyckel. Inkluderat i den bekräftelsen är din webbläsares allmänna nyckel.
      1. Om servern inte kan lita på ser du en varning i din webbläsare. Du kan alltid ignorera varningen, men det är inte klokt.
    4. Servern skapar sedan sessionstangenten. Innan du skickar den till webbläsaren krypterar du meddelandet med din offentliga nyckel, så att endast din webbläsare, med den privata nyckeln, kan dekryptera den.
  2. Nu när handslaget är slut och båda partierna säkert har tagit emot sessionen, delar din webbläsare och servern en säker anslutning. Både din webbläsare och servern använder sessionsnyckeln för att kryptera och dekryptera känsliga data eftersom den skickas fram och tillbaka över nätet.
    1. När sessionen är över, kasseras sessionsnyckeln. Även om du ansluter en timme senare måste du springa igenom den här processen från början som kommer att resultera i en ny sessionsnyckel.

Storlek spelar roll

Alla tre typer av nycklar består av långa strängar av siffror. Ju längre strängen desto säkrare krypteringen. På nedsidan tar en längre sträng mer tid att kryptera och dekryptera data och lägger större belastning på både serverns och webbläsarens resurser.

Därför finns sessionsnycklar. En sessionsnyckel är mycket kortare än både de offentliga och privata nycklarna. Resultatet: mycket snabbare kryptering och dekryptering men mindre säkerhet.

Vänta - mindre säkerhet? Är inte så illa? Inte riktigt.

Sessionstangenterna finns bara en kort stund innan de tas bort. Och medan de inte är lika långa som de andra två typerna av nycklar, är de tillräckligt säkra för att förhindra hackning under den korta tiden som kopplingen mellan din webbläsare och den säkra servern existerar.

Krypteringsalgoritmer

Både de offentliga och privata nycklarna skapas med en av tre krypteringsalgoritmer.

Vi kommer inte att bli för djupt här, du behöver bokstavligen en matteexamen (kanske flera) för att förstå krypteringsalgoritmer helt, men det är praktiskt att veta grunderna när det är dags att välja vilken typ som din egen hemsida använder.

De tre primära algoritmerna är:

  • RSA - namngiven efter dess skapare (Ron Rivest, adi Shamir och Leonard endlema), RSA har funnits sedan 1977. RSA skapar nycklar genom att använda två slumpmässiga primtal i en serie beräkningar. Läs mer …
  • Digital signaturalgoritm (DSA) - skapad av National Security Agency (NSA) skapar DSA nycklar med en tvåstegsprocess som använder en "crptographic hash-funktion" i en serie beräkningar. Läs mer …
  • Elliptisk kurvkryptografi (EEG) - EEG skapar nycklar som använder "algebraisk struktur av elliptiska kurvor" i en komplex serie beräkningar. Läs mer …
$config[code] not found

Vilken krypteringsalgoritm borde du välja?

Matematik åt sidan, vilken är den bästa krypteringsalgoritmen att använda?

För närvarande verkar ECC komma in på toppen. Tack vare matematiken är nycklarna som skapas med ECC-algoritmen kortare samtidigt som de är lika säkra som mycket längre nycklar. Ja, ECC bryter regeln "size matters" vilket gör den idealisk för säker anslutning på mindre kraftfulla enheter, till exempel din mobiltelefon eller surfplatta.

Det bästa sättet kan vara en hybrid, där din server kan acceptera alla tre typer av algoritmer så att det kan hantera allt som kastas på det. De två nackdelarna med detta tillvägagångssätt kan vara:

  1. Servern använder mer resurser som hanterar RSA, DSA och ECC i motsats till endast ECC; och
  2. Din SSL / TLS certifikatleverantör kan debitera dig mer. Titta emellertid, det finns mycket betalningsbara leverantörer som inte tar ut extra för att använda alla tre.

Varför är TLS fortfarande kallad SSL?

Som vi nämnde längst upp i det här inlägget är TLS efterföljare av SSL. Medan SSL fortfarande används, är TLS en mer förfinad lösning och pluggar många av säkerhetshålen som plågade SSL.

De flesta hostingföretag och SSL / TLS-certifikatleverantörer använder fortfarande termen "SSL-certifikat" istället för "TLS-certifikat".

Det är dock klart att de bättre värd- och certifikatleverantörerna faktiskt använder TLS-certifikat - de ville bara inte byta namn eftersom det skulle förvirra sina kunder.

Slutsats

Single Socket Layer (SSL), och dess efterträdare, Transport Layer Security (TLS), behövs för att fungera säkert online. SSL / TLS använder långa strängar av nummer som heter "Keys", där både din och din kunds information krypteras innan den skickas och dekrypteras när den kommer.

Nedre raden: Om du gör affärer online, är SSL / TLS avgörande för din fortsatta framgång eftersom den bygger förtroende samtidigt som du skyddar både dig och dina kunder.

Säkerhetsfoto via Shutterstock

Mer i: Vad är 5 kommentarer ▼