Что такое TLS?
Ознакомьтесь с основами протоколов безопасности на транспортном уровне (TLS) и узнайте, как они могут помочь вашей организации.
Что такое TLS?
TLS расшифровывается как Transport Layer Security (безопасность на транспортном уровне). Если вкратце, то это криптографический протокол, который поддерживает конфиденциальность и целостность данных для веб-коммуникаций, таких как просмотр веб-страниц, веб-почта и видеоконференции. Проще говоря, он использует алгоритмы шифрования, чтобы снизить риск перехвата хакерами подключений между онлайн-устройствами и приложениями.
Протокол безопасности TLS получил свое название от модели взаимодействия открытых систем (OSI). Модель OSI представляет собой концептуальную схему работы сетевых связей, которые разбиваются на семь уровней. TLS в основном работает на транспортном уровне, обеспечивая безопасную связь между двумя конечными точками. Тем не менее он также защищает протоколы прикладного уровня, такие как HTTP (протокол передачи гипертекста) для просмотра веб-страниц и SMTP (простой протокол передачи почты) для электронной почты, помимо прочих.
В целом протокол TLS имеет три основные функции:
- Шифрование. Шифрование TLS скрывает конфиденциальные данные во время их передачи, защищая от несанкционированного доступа. Другими словами, протокол TLS устанавливает безопасное подключение, позволяя двум или более сторонам безопасно обмениваться информацией.
- Аутентификация. Он также гарантирует, что все стороны, участвующие в транзакции, являются теми, за кого они себя выдают. Например, в случае просмотра веб-страниц он подтверждает подлинность веб-сайта или веб-сервера для браузера.
- Целостность. TLS проверяет, что данные не были подделаны или изменены третьими сторонами и что вся информация достигает предназначенного места назначения.
Что такое SSL?
SSL расшифровывается как Secure Socket Layer (уровень защищенных сокетов). Это предшественник TLS. Как и TLS, это протокол интернет-безопасности, который аутентифицирует веб-сайты и обеспечивает безопасную связь посредством зашифрованного подключения.
Компания по компьютерным услугам под названием Netscape разработала первоначальный протокол SSL в 1995 году. Тем не менее она так и не выпустила эту версию для общественности из-за вопиющих недостатков безопасности. После двух последующих версий в 1999 году Инженерный совет Интернета (IETF) предложил первый протокол TLS.
IETF изначально разработал TLS 1.0 как SSL 3.1. Несмотря на то что компания провела ребрендинг, чтобы избежать проблем с Netscape, многие в отрасли продолжают именовать TLS прежним названием. Можно даже встретить их сочетание, например, при упоминании шифрования TLS/SSL.
В чем разница между TLS и SSL?
Несмотря на то что их путают, эти два протокола имеют несколько существенных отличий.
- Наборы шифров. Протокол TLS предлагает более широкий спектр наборов шифров по сравнению с протоколом SSL. Если вкратце, то набор шифров — это набор алгоритмов, который используется для обеспечения защищенного обмена данными. Обладая большей гибкостью, TLS позволяет пользователям выбирать набор, который наилучшим образом соответствует их требованиям и предпочтениям в области безопасности.
- Безопасность. Шифрование TLS намного сильнее, чем шифрование SSL, причем каждая его версия лучше предыдущей. Например, в TLS 1.3 удалены старые криптографические алгоритмы и небезопасные функции и впервые представлена совершенная прямая секретность. По сути, совершенная прямая секретность — это свойство криптографических систем, при котором каждый ключ сеанса уникален и его получают независимо. Это гарантирует то, что компрометация одного ключа не поставит под угрозу прошлые или будущие коммуникации.
- Совместимость. TLS разработан таким образом, чтобы быть обратно совместимым с SSL. Благодаря этому системы, в которых используются более старые версии SSL, могут взаимодействовать с системами, в которых используются более новые протоколы TLS.
В действительности все версии протокола SSL уже давно устарели, то есть они больше не обеспечивают надлежащую защиту. Напротив, TLS сейчас является протоколом шифрования в интернете, используемым по умолчанию. Собственно, Национальный институт стандартов и технологий (NIST) требует, чтобы все TLS-серверы и TLS-клиенты государственных органов поддерживали TLS 1.2, и рекомендует им внедрить TLS 1.3 в ближайшем будущем.
Зачем использовать протокол TLS?
Шифрование TLS в первую очередь предназначено для защиты веб-приложений и веб-сайтов от утечек данных и других атак. Если протокол TLS не используется, неизвестные третьи стороны могут легко перехватывать и считывать конфиденциальные данные, такие как учетные данные для входа в систему, данные кредитной карты и личная информация. Поддержка TLS в клиентских и веб-приложениях гарантирует, что передаваемые между ними данные шифруются с помощью безопасных алгоритмов и не могут быть прочитаны неавторизованными пользователями.
Преимущества протокола TLS
TLS — это важный актив для многочисленных случаев использования, некоторые из которых перечислены ниже.
- Повышение уровня безопасности. Зашифрованное TLS-подключение может предотвратить подслушивание, подделку или перехват конфиденциальных данных хакерами.
- Улучшение аутентификации. Протокол TLS предоставляет механизмы для проверки идентификационных данных клиента и сервера, участвующих в транзакции. Это помогает предотвратить атаки через посредника, обеспечивая связь клиента с подлинным сервером и наоборот.
- Укрепление доверия клиентов. Использование TLS-подключения дает пользователям уверенность в том, что их сеанс просмотра веб-страниц полностью защищен и конфиденциален. Благодаря этому клиенты могут смело делиться личной информацией или платежными реквизитами при открытии нового счета или совершении онлайн-покупки.
- Повышение эффективности поисковой оптимизации (SEO). Компания Google использует в алгоритмах своей поисковой системы фактор безопасности веб-сайтов. В свою очередь, протоколы TLS не только защищают пользователей, но и повышают видимость вашей компании на странице результатов.
Как работает шифрование TLS?
Протокол TLS устанавливает безопасное подключение между клиентским устройством, таким как компьютер или мобильный телефон, и веб-сервером. Перед шифрованием сеанса он сначала проверяет подлинность подключения. Другими словами, он гарантирует, что веб-сервер является подлинным, а не поддельным, и что он не пытается украсть конфиденциальные данные.
Этот процесс (называемый «протоколом рукопожатия TLS») начинается, когда клиент отправляет первоначальное сообщение на целевой сервер. Сервер отвечает информацией, подтверждающей его подлинность. Сразу после проверки обеих сторон они обмениваются ключами. Если вкратце, то при этом устанавливается зашифрованное TLS-подключение, обеспечивающее защищенный обмен данными между ними.
Все это было бы невозможно без трех основных компонентов: криптографии, цифровых сертификатов и инфраструктуры открытых ключей (PKI). Давайте рассмотрим каждый из них отдельно.
Криптография. Симметричное и асимметричное шифрование
Простыми словами, криптография — это искусство защиты обмена данными и обеспечения их нечитаемости для третьих сторон. Шифрование — важнейший аспект этого процесса, в рамках которого используется криптографический алгоритм для преобразования данных открытого текста в зашифрованный текст, чтобы скрыть информацию.
В криптографии также используются цифровые активы, называемые «ключами», которые представляют собой нечто вроде секретных инструментов для шифрования и расшифровки сообщений. Открытый ключ известен всем и используется для шифрования данных, в то время как закрытый ключ известен только одной стороне и отвечает за расшифровку.
Протокол TLS использует два разных метода шифрования на основе ключей:
- симметричное шифрование, также называемое симметричной криптографией, которое предполагает использование одного и того же ключа как для шифрования, так и для расшифровки данных;
- асимметричное шифрование, которое предполагает использование как открытого, так и закрытого ключа. Для расшифровки зашифрованных данных требуются оба ключа.
Хотя симметричное шифрование зачастую более эффективно, доверять только одному ключу рискованно. Преимущество асимметричного шифрования заключается в том, что оно предусматривает установление математической связи между двумя ключами, в результате чего злоумышленникам становится сложнее взломать код.
Цифровые сертификаты
Цифровой сертификат — это электронный файл, удостоверяющий право собственности на открытый ключ. Существует множество различных типов цифровых сертификатов для разных вариантов использования, например для подписания кода, документов, сообщений электронной почты и многого другого.
Веб-браузеры используют сертификат TLS для идентификации и установления безопасного подключения между клиентом и сервером. Каждый из них уникальным образом связан с конкретным доменом или объектом, выступая в качестве типа цифровой идентификационной карты. Поэтому сертификат TLS можно рассматривать как механизм аутентификации.
Когда клиент инициирует подключение к серверу, сервер отправляет свой цифровой сертификат, который содержит такие сведения:
- имя домена и его владелец;
- используемая версия TLS;
- дата выдачи и истечения срока действия сертификата;
- открытый ключ;
- центр сертификации (CA), выпустивший сертификат, и цифровая подпись.
После проверки обе стороны создают общий секретный ключ. Затем этот ключ используется для вычисления кода аутентификации сообщения (MAC) для каждого сообщения, которым обмениваются во время «рукопожатия». Сравнивая коды MAC, клиент и сервер подтверждают, что сообщения не были изменены при передаче, что еще больше укрепляет процесс аутентификации.
Инфраструктура открытых ключей (PKI)
Инфраструктура открытых ключей относится к ролям, политикам, технологиям и процедурам для создания, хранения, распространения, отзыва цифровых сертификатов и управления ими. Проще говоря, PKI — это система, которая связывает открытые ключи с их соответствующими идентификационными данными, будь то данные человека, домена или организации.
Важно отметить, что организации могут получить сертификат TLS только от признанного центра сертификации (CA), такого как компания Entrust. CA — это доверенные организации, ответственные за проверку идентификационных данных запрашивающего лица, выдачу цифровых сертификатов и цифровое подписание с использованием своих закрытых ключей.
Эта цифровая подпись служит криптографическим доказательством подлинности и целостности. Кроме того, она позволяет получателям, таким как веб-браузеры, проверять действительность сертификата путем расшифровки подписи с помощью открытого ключа CA, который широко распространен и предварительно установлен в доверенных корневых хранилищах.
Этапы протокола рукопожатия TLS
Рукопожатия TLS — это серия сообщений, которыми обмениваются клиент и сервер. Точные этапы этого процесса различаются в зависимости от используемого криптографического алгоритма и того, какие наборы шифров поддерживает каждая сторона. Тем не менее, независимо от этих факторов, асимметричное шифрование используют все рукопожатия TLS, а симметричную криптографию — не все. Другими словами, они не всегда используют закрытый ключ для создания ключа сеанса.
Как правило, большинство рукопожатий проходят следующие основные этапы:
- Клиентское устройство отправляет на веб-сервер приветственное сообщение, включающее информацию о том, какой протокол TLS и набор шифров оно поддерживает.
- Сервер отвечает приветственным сообщением. Оно включает в себя соответствующий сертификат TLS, который содержит его открытый ключ.
- Клиент проверяет сертификат TLS сервера в центре сертификации, который его выдал, чтобы удостовериться в его подлинности. В ходе такой проверки подтверждается, что сервер является таким, за которого он себя выдает, и что им управляет реальный владелец домена.
- После проверки клиент создает зашифрованный открытым ключом из сертификата сервера секретный ключ, также известный как ключ сеанса.
- Веб-сервер расшифровывает ключ сеанса с помощью собственного закрытого ключа.
- Наконец, после обмена ключами обе стороны получают безопасное подключение.
Как протокол TLS влияет на производительность веб-приложений?
Новейшие версии протокола TLS практически не влияют на работу веб-приложений. Хотя протокол рукопожатия TLS может казаться трудоемким и сложным, на самом деле процедура выполняется в течение нескольких секунд.
Для обеспечения бесперебойной работы некоторые технологии, такие как фальстарт TLS, уменьшают задержку. Это позволяет серверу и клиенту передавать данные до завершения рукопожатия. Другие варианты, такие как возобновление сеанса TLS, позволяют сторонам использовать сокращенное рукопожатие, если они уже общались ранее.
Что такое управление сертификатами?
Управление сертификатами — это процесс создания, хранения, защиты, передачи, использования и отзыва цифровых сертификатов. Он включает в себя все политики, технологии и процедуры, необходимые для управления жизненным циклом цифровых сертификатов.
Почему этот процесс важен? Потому что он гарантирует постоянную безопасность криптографических активов. Неправильные методы управления сертификатами, например использование просроченных или скомпрометированных сертификатов, могут привести к утечкам данных, атакам через посредника и сбоям в обслуживании.
К счастью, компания Entrust может помочь вам полностью упростить этот процесс. Наши решения включают в себя комплексную платформу Entrust Certificate Services для управления всеми вашими цифровыми сертификатами. Благодаря ей контроль становится простым и интуитивно понятным, поскольку она позволяет управлять всем жизненным циклом нескольких CA на одной информационной панели.
Как получить сертификат TLS
Получение сертификата TLS — это простой процесс. Как только вы определитесь с типом сертификата, который вам нужен, вам просто необходимо отправить запрос на подписание сертификата в авторизованный CA.
В Entrust мы предоставляем гибкий и удобный доступ к широкому спектру сертификатов TLS/SSL, так что вы можете выбрать наилучшее решение для своей организации. Мы являемся одним из основателей Совета безопасности центров сертификации и Форума центров сертификации и разработчиков браузеров, а это значит, что мы находимся в авангарде отрасли криптографии.