TLS: Różnice pomiędzy wersjami
m (cleanup bibliografii i rotten links) |
m (cleanup bibliografii i rotten links) |
||
Linia 35: | Linia 35: | ||
* Fabiański B.(2013), [https://yadda.icm.edu.pl/yadda/element/bwmeta1.element.baztech-f1b6ba7e-4d66-4c7c-9d9a-5fbc81dcdcdf/c/Fabianski.pdf ''Embedded system of critical information management''] Electrical Engineering Vol.2013 Nr.76 | * Fabiański B.(2013), [https://yadda.icm.edu.pl/yadda/element/bwmeta1.element.baztech-f1b6ba7e-4d66-4c7c-9d9a-5fbc81dcdcdf/c/Fabianski.pdf ''Embedded system of critical information management''] Electrical Engineering Vol.2013 Nr.76 | ||
* Feldy M. (2012), ''Sklepy internetowe: Jak złapać w sieci e-konsumentki i e-konsumentów'', Wolters Kluwer, Warszawa | * Feldy M. (2012), ''Sklepy internetowe: Jak złapać w sieci e-konsumentki i e-konsumentów'', Wolters Kluwer, Warszawa | ||
* Lemay L. Tyler D.(2001), ''HTML4 - Vademecum Profesjonalisty | * Lemay L., Tyler D. (2001), ''HTML4 - Vademecum Profesjonalisty'', Helion, Gliwice | ||
* Pietor K. (red.) (2014), ''E-commerce manager, profesjonalista w e-handlu'', Wydawnictwo Fundacja Polak 2.0, Warszawa | * Pietor K. (red.) (2014), ''E-commerce manager, profesjonalista w e-handlu'', Wydawnictwo Fundacja Polak 2.0, Warszawa | ||
* Siergiejczyk M., Korczak D. (2014), ''[https://www.infona.pl/resource/bwmeta1.element.baztech-d2b91ab7-b5d7-4467-9285-02eddf9d8647/content/partDownload/05251c98-37e7-37ad-a16c-e49ae9a60590 Wybrane zagadnienia bezpieczeństwa transmisji informacji w systemach ITS]'', Technika, Nr 5 | * Siergiejczyk M., Korczak D. (2014), ''[https://www.infona.pl/resource/bwmeta1.element.baztech-d2b91ab7-b5d7-4467-9285-02eddf9d8647/content/partDownload/05251c98-37e7-37ad-a16c-e49ae9a60590 Wybrane zagadnienia bezpieczeństwa transmisji informacji w systemach ITS]'', Technika, Nr 5 |
Wersja z 20:13, 17 gru 2023
TLS (ang. Transport Layer Security) - jest to rozwinięcie internetowego protokołu SSL (ang. Secure Socket Layer) zaprojektowanego przez firmę Netscape. Zadaniem SSL jest zapewnienie poufności oraz integralności danych przesyłanych przez Internet. SSL umożliwia autoryzację serwera oraz szyfrowanie połączenia pomiędzy przeglądarką a serwerem, dzięki czemu przesyłane informacje są tajne. Protokół ten używa szyfrowania asymetrycznego oraz certyfikatów X.509. Jest to protokół uniwersalny, który można stosować do zabezpieczenia protokołów warstwy aplikacji, np.: http, FTP, Telnet itp.
TL;DR
TLS to rozwinięcie protokołu SSL, które zapewnia poufność i integralność przesyłanych danych przez Internet. SSL używa szyfrowania asymetrycznego i certyfikatów X.509. Protokół SSL został stworzony w 1994 roku, a w 1999 roku opublikowano protokół TLS 1.0. SSL i TLS obsługują najpopularniejsze przeglądarki internetowe. Szyfrowanie kluczem publicznym i certyfikaty cyfrowe są używane w SSL do zapewnienia bezpiecznego połączenia. Istnieją trzy rodzaje certyfikatów SSL: DV, OV i EV.
Historia
Protokół SSL został stworzony w 1994 roku przez firmę Netscape Communications Corporation w celu bezpiecznej transmisji zaszyfrowanych strumieni danych. W rok później powstała wersja v3, która znacząco poprawiła poziom bezpieczeństwa w porównaniu z poprzednikiem. W 1996 roku Internet Engineering Task Force (IETF) powołało grupę roboczą pod nazwą TLS (Transport Layer Security), która ma za zadanie rozwijać protokół SSL. W 1999 roku opublikowała ona protokół TLS 1.0. Jest on głównie zorientowany na uwierzytelnianie serwera, ale przewiduje również możliwość autoryzacji klienta. Prowadzone są prace nad wersją 1.1. W chwili obecnej najpopularniejszym standardem jest SSL w wersji 3.0. Protokół SSL oraz TLS obsługują wszystkie najpopularniejsze przeglądarki internetowe, takie jak: Mozilla Firefox, Opera czy też Internet Explorer.
Jak działa SSL
SSL został stworzony w oparciu o podstawowe zasady kryptografii - szyfrowanie za pomocą klucza publicznego oraz certyfikaty cyfrowe, które pozwalają stwierdzić czy serwer jest rzeczywiście tym komputerem, za który się podaje. Obecnie powszechne są w użyciu klucze 128 bitowe, co oznacza, że komputer mogący analizować milion kluczy na sekundę, potrzebowałby lat aby znaleźć właściwą kombinację (dla porównania nasz wszechświat istnieje od lat) (Lemay, 2001, s. 849). Klucze 256 bitowe są już w ofercie niektórych serwisów (Siergiejczyk M. 2014 s. 120) Stany Zjednoczone Ameryki przez laa forsowały aby nie używać kluczy większych niż 40 bitów, tak aby agencje bezpieczeństwa które korzystają odpowiednio dużą mocą obliczeniową mogły z łatwością łamać zabezpieczenia. Obecnie całość działana linii klient-serwer, pozwalając na nawiązanie bezpiecznego połączenia z użyciem certyfikatów.
Szyfrowanie kluczem publicznym polega na tym, że każda strona zaangażowana w transakcje przesyłania danych posiada dwa klucze: publiczny oraz prywatny. Klucz publiczny, jak sama nazwa wskazuje, jest powszechnie dostępny, natomiast klucz prywatny przechowywany jest lokalnie w ścisłej tajemnicy. Informacje zaszyfrowane kluczem publicznym mogą zostać odszyfrowane tylko kluczem prywatnym (dzięki temu mamy pewność że informacje odczyta tylko i wyłącznie adresat), natomiast informacje zaszyfrowane kluczem prywatnym mogą zostać odszyfrowane za pomocą klucza publicznego (informacje będzie mógł odczytać każdy posiadacz klucza publicznego i będzie mógł stwierdzić, że dane informacje pochodzą od określonej osoby, ponieważ nikt inny nie dysponuje takim kluczem prywatnym i nie mógłby ich wygenerować).
Podstawowy problem dotyczący techniki klucza publicznego w sieci Internet polega na tym, że trudno jest stwierdzić, czy klucz publiczny przesyłany wraz z wiadomością jest rzeczywiście kluczem publicznym osoby wysyłającej informacje. W tym momencie na scenę wkraczają cyfrowe certyfikaty.
Cyfrowe certyfikaty to nic innego, jak klucz publiczny jakiejś firmy czy też osoby, zaszyfrowany za pomocą klucza prywatnego zaufanej organizacji, zajmującej się wydawaniem owych certyfikatów, w protokole SSL zwanej CA (ang. Certificate Authority). Jest to centralna, godna zaufania instytucja, powołana specjalnie do tworzenia i rozprowadzania cyfrowych certyfikatów (Lemay, 2001, s. 850).
Dzięki certyfikatowi przedsiębiorcy zapewniają poufność danych osobowych i płatniczych wprowadzanych przez swoich klientów, tym samym zyskując w ich oczach wiarygodność. Szyfrowane połączenie pomaga również podnieść pozycję Twojej strony w rankingu wyszukiwania Google.
Rodzaje certyfikatów SSL
- DV (Domain Validation) - jest to najprostsza wersja certyfikatu SSL. Zabezpiecza ona transmisje danych w obrębie domeny oraz potwierdza jej autentyczność. Stosowana jest przez proste strony internetowe, niewielkie sklepy czy też fora. Zalecana do użycia przy wykorzystaniu szablonów blogowych takich jak Wordpress gdzie dostęp do domeny zyskujemy logując się w panelu administratora.
- OV (Organization Validation) - Sugerowana do portali które wymagają dużą ilość informacji podczas rejestracji, takich jak adres, numer telefonu czy numer PESEL. Jest odpowiedni dla dużych sklepów internetowych, serwisów hotelowych czy też stron samorządowych.
- EV (Extended Validation) - Certyfikaty te zabezpieczają domenę, właściciela oraz wyświetlają zielony pasek startu. Używany jest do stron wrażliwych takich jak bankowość internetowa, czy strony posiadające delikatne informacje (Siergiejczyk M. 2014 s. 121)
TLS — artykuły polecane |
Darknet — ASP.NET — Firewall — Komunikator internetowy — Phishing — FTP — Spoofing — Zarządzanie treścią — JavaScript |
Bibliografia
- Bickerton P., Bickerton M., Pardesi U.(2006), Marketing w internecie. Jak najlepiej wykorzystać sieć w sprzedaży produktów i usług Gdańskie Wydawnictwo Psychologiczne, Gdańsk
- Czyż A.(2007), Hakowanie SSL hakin9 8/2007(28), Warszawa 2007
- Fabiański B.(2013), Embedded system of critical information management Electrical Engineering Vol.2013 Nr.76
- Feldy M. (2012), Sklepy internetowe: Jak złapać w sieci e-konsumentki i e-konsumentów, Wolters Kluwer, Warszawa
- Lemay L., Tyler D. (2001), HTML4 - Vademecum Profesjonalisty, Helion, Gliwice
- Pietor K. (red.) (2014), E-commerce manager, profesjonalista w e-handlu, Wydawnictwo Fundacja Polak 2.0, Warszawa
- Siergiejczyk M., Korczak D. (2014), Wybrane zagadnienia bezpieczeństwa transmisji informacji w systemach ITS, Technika, Nr 5
- Szewczyk M. (2014), Wybrane analizy pracy struktur teletransmisyjnych i teleinformatycznych w elektroenergetyce, Przegląd elektrotechniczny, Nr 3
Autor: Bartłomiej Maruszak, Paulina Tkaczyk