TLS protokol. Uvjerite se da su ssl i tls protokoli omogućeni

Opis

TLS omogućava klijent-server aplikacijama da komuniciraju preko mreže na način koji sprečava prisluškivanje i neovlašćeni pristup.

Budući da se većina komunikacijskih protokola može koristiti sa ili bez TLS-a (ili SSL-a), prilikom uspostavljanja veze, morate eksplicitno reći poslužitelju da li klijent želi instalirati TLS. To se može postići bilo korištenjem jedinstvenog broja porta na kojem se veza uvijek uspostavlja pomoću TLS-a (kao što je port 443 za HTTPS), ili korištenjem proizvoljnog porta i posebne naredbe serveru sa strane klijenta za prebacivanje veze na TLS koristeći protokol posebnih mehanizama (kao što je STARTTLS za protokole e-pošte). Kada se klijent i server slažu da koriste TLS, moraju uspostaviti sigurnu vezu. Ovo se radi pomoću procedure rukovanja. Secure Socket Layers). Tokom ovog procesa, klijent i server se dogovaraju o različitim parametrima potrebnim za uspostavljanje sigurne veze.

Postoje i varijante napada zasnovane direktno na softverskoj implementaciji protokola, a ne na njegovom algoritmu.

Detaljno o TLS proceduri rukovanja

Prema TLS protokolu, aplikacije razmjenjuju zapise koji inkapsuliraju (čuvaju u sebi) informacije koje se moraju prenijeti. Svaki od unosa može biti komprimiran, podstavljen, šifriran ili identificiran pomoću MAC-a (Message Authentication Code) ovisno o trenutnom stanju veze (stanje protokola). Svaki TLS unos sadrži sljedeća polja: tip sadržaja (definira tip sadržaja unosa), polje koje pokazuje dužinu paketa i polje koje označava verziju TLS protokola.

Kada je veza prvi put uspostavljena, interakcija se događa pomoću TLS protokola rukovanja, tip sadržajašto je 22.

Jednostavno rukovanje u TLS-u

1. Faza pregovora:
   • Klijent šalje poruku ClientHello
   • Server odgovara porukom ServerHello
   • Server šalje poruku Certifikat
   • Server šalje poruku ServerHelloDone
   • Klijent odgovara porukom ClientKeyExchange, koji sadrži javni ključ PreMasterSecret(Ovaj PreMasterSecret je šifriran korištenjem javnog ključa certifikata servera.) ili ništa (opet ovisi o algoritmu šifriranja);
   • PreMasterSecret
2. Klijent šalje poruku ChangeCipherSpec
   • Klijent šalje poruku Završeno
3. Server šalje ChangeCipherSpec

Rukovanje s autentifikacijom klijenta

Ovaj primjer demonstrira potpunu provjeru autentičnosti klijenta (pored provjere autentičnosti poslužitelja kao u prethodnom primjeru) razmjenom certifikata između poslužitelja i klijenta.

1. Faza pregovora:
   • Klijent šalje poruku ClientHello, koji označava najnoviju verziju podržanog TLS protokola, nasumični broj i listu podržanih metoda šifriranja i kompresije prikladnih za rad s TLS-om;
   • Server odgovara porukom ServerHello, koji sadrži: verziju protokola koju je izabrao server, slučajni broj koji je poslao klijent, odgovarajući algoritam za šifrovanje i kompresiju sa liste koju je dostavio klijent;
   • Server šalje poruku Certifikat, koji sadrži digitalni certifikat servera (ovisno o algoritmu šifriranja, ovaj korak se može preskočiti);
   • Server šalje poruku CertificateRequest, koji sadrži zahtjev klijentskog certifikata za međusobnu autentifikaciju;
   • [Nedostaje tačka za dobijanje i provjeru klijentskog certifikata] ;
   • Server šalje poruku ServerHelloDone, identifikujući kraj rukovanja;
   • Klijent odgovara porukom ClientKeyExchange, koji sadrži javni ključ PreMasterSecret ili ništa (opet ovisno o algoritmu šifriranja);
   • Klijent i server koji koriste ključ PreMasterSecret i nasumično generiranih brojeva, izračunava se zajednički tajni ključ. Sve ostale informacije o ključu će biti izvedene iz zajedničkog tajnog ključa (i nasumičnih vrijednosti koje generira klijent i server);
2. Klijent šalje poruku ChangeCipherSpec, što ukazuje da će sve naknadne informacije biti šifrirane korištenjem algoritma uspostavljenog tokom procesa rukovanja, korištenjem zajedničkog tajnog ključa. Ovo su poruke na nivou zapisa i stoga su tipa 20, a ne 22;
   • Klijent šalje poruku Završeno, koji sadrži hash i MAC generiran iz prethodnih poruka rukovanja;
   • Server pokušava dešifrirati poruku Završeno i provjeriti hash i MAC. Ako proces dešifriranja ili verifikacije ne uspije, rukovanje se smatra neuspjelim i veza mora biti prekinuta.
3. Server šalje ChangeCipherSpec i šifrovana poruka Završeno, a klijent takođe vrši dešifrovanje i verifikaciju.

Od ovog trenutka potvrda komunikacije se smatra završenom, protokol je uspostavljen. Sav naredni sadržaj paketa dolazi sa tipom 23, a svi podaci će biti šifrirani.

Nastavak TLS veze

Algoritmi asimetrične enkripcije koji se koriste za generiranje ključa sesije obično su skupi u smislu računarske snage. Kako bi se izbjeglo njihovo ponavljanje kada se veza nastavi, TLS kreira posebnu prečicu tokom rukovanja koja se koristi za nastavak veze. U ovom slučaju, tokom normalne potvrde komunikacije, klijent dodaje poruku ClientHello ID prethodne sesije id sesije. Klijent vezuje ID id sesije sa IP adresom servera i TCP portom tako da prilikom povezivanja na server možete koristiti sve parametre prethodne veze. Server odgovara ID-u prethodne sesije id sesije sa parametrima veze, kao što su korišteni algoritam šifriranja i glavna tajna. Obje strane moraju imati istu glavnu tajnu, inače se veza neće uspostaviti. Ovo sprečava upotrebu id sesije kriptoanalitičara da dobije neovlašteni pristup. Nasumični nizovi brojeva u porukama ClientHello I ServerHello omogućavaju vam da jamčite da će se generirani ključ sesije razlikovati od ključa sesije tokom prethodne veze. RFC ovu vrstu rukovanja naziva skraćeno.

1. Faza pregovora:
   • Klijent šalje poruku ClientHello, koji označava najnoviju verziju podržanog TLS protokola, nasumični broj i listu podržanih metoda šifriranja i kompresije prikladnih za rad s TLS-om; Prethodni identifikator veze se također dodaje poruci. id sesije.
   • Server odgovara porukom ServerHello, koji sadrži: verziju protokola koju je izabrao server, slučajni broj koji je poslao klijent, odgovarajući algoritam za šifrovanje i kompresiju sa liste koju je dostavio klijent. Ako server prepozna ID sesije id sesije ServerHello isti identifikator id sesije. Ovo je signal klijentu da se može koristiti nastavak prethodne sesije. Ako server ne prepozna ID sesije id sesije, zatim dodaje poruci ServerHello umjesto toga drugo značenje id sesije. Za klijenta to znači da se obnovljena veza ne može koristiti. Dakle, server i klijent moraju imati istu glavnu tajnu i nasumične brojeve da bi generisali ključ sesije;
2. Klijent šalje poruku ChangeCipherSpec, što označava da će sve naknadne informacije biti šifrirane zajedničkim tajnim ključem uspostavljenim tokom procesa rukovanja. Ovo su poruke na nivou zapisa i stoga su tipa 20, a ne 22;
3. Klijent šalje poruku ChangeCipherSpec, što ukazuje da će sve naknadne informacije biti šifrirane korištenjem algoritma uspostavljenog tokom procesa rukovanja, korištenjem zajedničkog tajnog ključa. Ovo su poruke na nivou zapisa i stoga su tipa 20, a ne 22;
   • Klijent šalje poruku Završeno, koji sadrži hash i MAC generiran iz prethodnih poruka rukovanja;
   • Server pokušava dešifrirati poruku Završeno i provjeriti hash i MAC. Ako proces dešifriranja ili verifikacije ne uspije, rukovanje se smatra neuspjelim i veza mora biti prekinuta;
4. Server šalje ChangeCipherSpec i šifrovana poruka Završeno, a klijent takođe vrši dešifrovanje i verifikaciju.

Od ovog trenutka potvrda komunikacije se smatra završenom, protokol je uspostavljen. Sav naredni sadržaj paketa dolazi sa tipom 23, a svi podaci će biti šifrirani.

Pored prednosti performansi, algoritam obnavljanja veze može se koristiti za implementaciju jedinstvene prijave, jer je zagarantovano da su originalnu sesiju i svaku nastavljenu sesiju pokrenuo isti klijent (RFC 5077). Ovo je posebno važno za implementaciju FTP-a preko TLS/SSL-a, koji bi inače bio ranjiv na napad čovjeka u sredini u kojem bi napadač mogao presresti sadržaj podataka kada se uspostavi ponovno povezivanje.

Algoritmi koji se koriste u TLS-u

Sljedeći algoritmi su dostupni u ovoj trenutnoj verziji protokola:

• Za razmjenu ključeva i provjeru njihove autentičnosti koriste se kombinacije algoritama: RSA (asimetrična šifra), Diffie-Hellman (sigurna razmjena ključeva), DSA (algoritam digitalnog potpisa) i algoritami Fortezza tehnologije;
• Za simetrično šifrovanje: RC2, RC4, IDEA, DES, Triple DES ili AES;

Algoritmi se mogu dopuniti ovisno o verziji protokola.

Poređenje sa analozima

Jedna od aplikacija TLS veze je povezivanje hostova u virtuelnu privatnu mrežu. Pored TLS-a, može se koristiti i skup IPSec protokola i SSH veza. Svaki od ovih pristupa implementaciji virtuelne privatne mreže ima svoje prednosti i nedostatke. .

1. TLS/SSL
   • Prednosti:
     • Nevidljiv za protokole višeg nivoa;
     • Popularna upotreba u internet konekcijama i aplikacijama za e-trgovinu;
     • Nedostatak trajne veze između servera i klijenta;
     • TCP/IP kao što su e-pošta, alati za programiranje itd.
   • Nedostaci:
     • UDP i ICMP;
     • Potreba za praćenjem statusa veze;
     • Postoje dodatni softverski zahtjevi za TLS podršku.
2. IPsec
   • Prednosti:
     • Sigurnost i pouzdanost zaštite podataka protokola je testirana i dokazana otkako je protokol usvojen kao Internet standard;
     • Radite u gornjem sloju mrežnog protokola i šifrirajte podatke iznad sloja mrežnog protokola.
   • Nedostaci:
     • Složenost implementacije;
     • Dodatni zahtjevi za mrežnu opremu (ruteri, itd.);
     • Postoji mnogo različitih implementacija koje nisu uvijek u ispravnoj interakciji jedna s drugom.
3. SSH
   • Prednosti:
     • Omogućava vam da kreirate tunel za aplikacije koje koriste TCP/IP, kao što su e-pošta, alati za programiranje itd.;
     • Sigurnosni sloj je nevidljiv za korisnika.
   • Nedostaci:
     • Teško se koristi na mrežama sa velikim brojem gateway-a, kao što su ruteri ili zaštitni zidovi;
     • Nemogućnost korištenja sa UDP i ICMP protokolima.

vidi takođe

Linkovi

1. T. Dierks, E. Rescorla Protokol sigurnosti transportnog sloja (TLS), verzija 1.2 (avgust 2008). Arhivirano iz originala 9. februara 2012.
2. SSL Protokol: Verzija 3.0 Netscapeov konačni SSL 3.0 nacrt (18. novembar 1996.)
3. "SSL/TLS u detaljima". Microsoft TechNet. Ažurirano 31. jula 2003.
4. Dan Goodin . The Register(19. septembar 2011.). Arhivirano
5. Eric Rescorla Razumijevanje TLS napada ponovnog pregovaranja. Educated Guesswork(5. novembar 2009.). Arhivirano iz originala 9. februara 2012. Pristupljeno 7. decembra 2011.
6. McMillan, Robert. Security Pro kaže da novi SSL napad može pogoditi mnoge stranice, PC World(20. novembar 2009.). Pristupljeno 7. decembra 2011.
7. SSL_CTX_set_options SECURE_RENEGOTIATION . OpenSSL Docs(25. februar 2010.). Arhivirano iz originala 9. februara 2012. Pristupljeno 7. decembra 2010.
8. Objavljen GnuTLS 2.10.0. Napomene o izdanju GnuTLS-a(25. jun 2010.). Arhivirano iz originala 9. februara 2012. Pristupljeno 7. decembra 2011.
9. Napomene o izdanju NSS 3.12.6. Napomene o izdanju NSS-a(3. mart 2010.). Pristupljeno 24. jula 2011.
10. Razno IE SSL ranjivost. Educated Guesswork(10. avgust 2002.).

Dobar dan, dragi pretplatnici, siguran sam da je velika većina vas čula riječi kao što su sigurnosni ili enkripcijski certifikat, ili SSL certifikat, a siguran sam da većina vas i zna njihovu svrhu. Ako ne, onda ću vam reći o tome ću vam vrlo detaljno ispričati na ličnim primjerima, sve je kako treba, nakon toga ćete suptilnije razumjeti sve sigurnosne granice koje nam pružaju SSL certifikati, bez njih je sada nemoguće zamisliti moderni IT svijet , sa svojim bankovnim transferima, smime e-poštom ili online trgovinama.

Šta su SSL i TLS

Secure Socket Layer ili ssl je tehnologija dizajnirana da učini pristup web stranicama pouzdanijim i sigurnijim. Certifikat za šifriranje vam omogućava da pouzdano zaštitite promet koji se prenosi između pretraživača korisnika i web resursa (servera) kojem pretraživač pristupa, a sve se to događa pomoću https protokola. Sve je to učinjeno nakon što je brzi razvoj interneta doveo do ogromnog broja stranica i resursa koji zahtijevaju od korisnika da unese lične, lične podatke:

• Lozinke
• Brojevi kreditnih kartica
• Prepiska

Upravo su ti podaci plijen za hakere, koliko se već velikih slučajeva dogodilo s krađom ličnih podataka i koliko će ih još biti, ssl certifikat za šifriranje je dizajniran da to svede na minimum. SSL tehnologiju je razvio Netscape Communications; kasnije je uveo Transport Layer Security, ili jednostavnije TLS, protokol baziran na SSL 3.0 specifikaciji. I Secure Socket Layer i Transport Layer Security su dizajnirani da obezbede prenos podataka između dva čvora preko Interneta.

SSL i TLS nemaju suštinske razlike u svom radu, čak se mogu koristiti na istom serveru u isto vrijeme, to se radi isključivo iz razloga osiguranja rada novih uređaja i pretraživača, kao i zastarjelih, gdje transportni sloj Sigurnost nije podržana.

Ako pogledamo moderni Internet, TLS se koristi kao sigurnosni certifikat i enkripcija servera, samo ovo znajte

Na primjer, otvorite web stranicu Yandexa, ja to radim u Google Chromeu, postoji ikona katanca pored adresne trake, kliknite na nju. Ovdje će biti napisano da je konekcija na web stranicu sigurna i možete kliknuti za više detalja.

odmah vidimo ikonu bezbedne TLS veze, kao što sam rekao, većina internet resursa je zasnovana na ovoj tehnologiji. Pogledajmo sam certifikat; da biste to učinili, kliknite Prikaži certifikat.

U polju informacija o certifikatu vidimo njegovu svrhu:

1. Pruža identifikaciju sa udaljenog računara
2. Potvrđuje identitet vašeg računara na udaljenom računaru
3. 1.2.616.1.113527.2.5.1.10.2

Uvijek morate znati istoriju, kako sertifikat za šifrovanje evoluirao i sa kojim verzijama je izašao. Poznavajući ovo i princip rada, lakše će se naći rješenja za probleme.

• SSL 1.0 > ova verzija nikada nije stigla do ljudi, razlozi su možda bili u tome što je pronađena njena ranjivost
• SSL 2.0 > ova verzija ssl certifikata predstavljena je 1995. godine, na prijelazu milenijuma, imala je i gomilu sigurnosnih rupa koje su potaknule kompaniju Netscape Communications za rad na trećoj verziji certifikata za šifriranje
• SSL 3.0 > zamijenio je SSL 2.0 1996. godine. Ovo čudo je počelo da se razvija i 1999. godine velike kompanije Master Card i Visa kupile su komercijalnu licencu za njegovo korišćenje. TLS 1.0 pojavio se od verzije 3.0
• TLS 1.0 > 99, puštena je nadogradnja za SSL 3.0 pod nazivom TLS 1.0, prolazi još sedam godina, internet se razvija i hakeri ne miruju, izlazi sljedeća verzija.
• Njegova početna tačka je TLS 1.1 > 04.2006, ispravljeno je nekoliko kritičnih grešaka u procesuiranju i uvedena zaštita od napada, gdje je napravljen način spajanja blokova šifrovanog teksta
• TLS 1.2 > pojavio se u avgustu 2008
• TLS 1.3 > dolazi krajem 2016

Kako TLS i SSL rade

Hajde da shvatimo kako funkcionišu SSL i TLS protokoli. Počnimo sa osnovama, svi mrežni uređaji imaju jasno definisan algoritam za međusobnu komunikaciju, zove se OSI, koji je izrezan na 7 slojeva. Ima transportni sloj odgovoran za isporuku podataka, ali pošto je OSI model svojevrsna utopija, sada sve radi po pojednostavljenom TCP/IP modelu, koji se sastoji od 4 sloja. TCP/IP stog je sada standard za prenos podataka u računarskim mrežama i uključuje veliki broj vama poznatih protokola na nivou aplikacije:

Lista se može nastaviti jako dugo, ima više od 200 stavki. Ispod je dijagram mrežnih slojeva.

Pa, evo dijagrama SSL/TLS steka, radi jasnoće.

Sada je sve isto u jednostavnim terminima, jer ne razumiju svi ove sheme i princip rada ssl i tls nije jasan. Kada otvorite, na primjer, stranicu mog bloga, pristupate joj koristeći http aplikacijski protokol; kada joj pristupite, server vas vidi i prenosi podatke na vaš računar. Ako zamislite ovo shematski, onda će to biti obična lutka, protokol http aplikacije postavljen je na tcp-ip stek.

Kada bi stranica imala certifikat za TLS enkripciju, onda bi lutka protokola bila složenija i izgledala bi ovako. Ovdje je aplikacioni protokol http smješten u SSL/TLS, koji je zauzvrat smješten u TCP/IP stog. Sve je isto, ali već šifrovano, a ako haker presretne ove podatke na putu njihovog prenosa, dobiće samo digitalno smeće, ali samo mašina koja je uspostavila vezu sa sajtom može dešifrovati podatke.

Koraci za uspostavljanje SSL/TLS veze

Evo još jedne lijepe i vizualne sheme za stvaranje sigurnog kanala.

Uspostavljanje SSL/TLS veze na nivou mrežnog paketa

Na ilustraciji, crne strelice pokazuju poruke koje se šalju u čistom tekstu, plave su poruke potpisane javnim ključem, a zelene su poruke poslane pomoću masovne enkripcije podataka i MAC-a koji su strane dogovorile tokom procesa pregovora. .

Pa, detaljno o svakoj fazi razmjene mrežnih poruka SSL/TLS protokola.

• 1.ClientHello> Paket ClientHello daje ponudu sa listom podržanih verzija protokola, podržanim paketima šifri prema željenom redosledu i listom kompresijskih algoritama (obično NULL). Od klijenta dolazi i nasumična vrijednost od 32 bajta, njen sadržaj označava trenutnu vremensku oznaku, kasnije će se koristiti za simetrični ključ i identifikator sesije, koji će imati vrijednost nula, pod uslovom da nije bilo prethodnih sesija.
• 2. ServerHello> ServerHello paket koji šalje server, ova poruka sadrži odabranu opciju za algoritam šifriranja i kompresije. Tu će biti i nasumična vrijednost od 32 bajta (trenutna vremenska oznaka), također se koristi za simetrične ključeve. Ako je ID trenutne sesije u ServerHello nula, kreirat će i vratiti ID sesije. Ako je ClientHello poruka predložila identifikator prethodne sesije, poznat ovom serveru, tada će se protokol rukovanja izvršiti prema pojednostavljenoj šemi. Ako klijent ponudi identifikator sesije nepoznat serveru, server vraća novi identifikator sesije i protokol rukovanja se izvodi prema punoj šemi.
• 3.Certifikat (3)> u ovom paketu, server šalje svoj javni ključ (X.509 certifikat) klijentu, on odgovara algoritmu za razmjenu ključeva u odabranom paketu šifri. Općenito, možete reći u protokolu, zatražiti javni ključ u DNS-u, zapis tipa KEY/TLSA RR. Kao što sam gore napisao, poruka će biti šifrirana ovim ključem.
• 4. ServerHelloDone > Server kaže da je sesija normalno uspostavljena.
• 5.ClientKeyExchange> Sljedeći korak je da klijent pošalje pre-master ključ koristeći nasumične brojeve (ili trenutne vremenske oznake) između servera i klijenta. Ovaj ključ (pre-master ključ) je šifriran javnim ključem servera. Ovu poruku može dešifrirati samo server koristeći privatni ključ. Sada oba učesnika izračunavaju zajednički tajni glavni ključ iz pre-master ključa.
• 6. ChangeCipherSpec - klijent> značenje paketa je da naznači da će sada sav promet koji dolazi od klijenta biti šifriran korištenjem odabranog algoritma za enkripciju masovnih podataka i sadržavat će MAC izračunat korištenjem odabranog algoritma.
• 7. Završeno - klijent> Ova poruka sadrži sve poruke poslane i primljene tokom protokola rukovanja osim poruke Završeno. Šifruje se pomoću algoritma za enkripciju masovnih podataka i hešira koristeći MAC algoritam koji su dogovorile strane. Ako server može dešifrirati i provjeriti ovu poruku (koja sadrži sve prethodne poruke) koristeći ključ sesije koji je samostalno izračunao, tada je razgovor bio uspješan. Ako nije, u ovom trenutku server prekida sesiju i šalje poruku upozorenja s nekim (moguće nespecifičnim) informacijama o grešci
• 8. ChangeCipherSpec - server> paket kaže da će sada sav odlazni saobraćaj sa ovog servera biti šifrovan.
• 9.Završeno - server>Ova poruka sadrži sve poruke poslane i primljene tokom protokola rukovanja osim poruke Završeno
• 10. Protokol snimanja > Sada su sve poruke šifrirane sa SSL sigurnosnim certifikatom

Kako dobiti ssl sigurnosni certifikat

Hajde da sada shvatimo gde dobiti sertifikat za šifrovanje ili kako dobiti SSL bezbednosni sertifikat. Naravno, postoji nekoliko načina, plaćenih i besplatnih.

Besplatan način da dobijete tls sigurnosni certifikat

Ova metoda uključuje korištenje samopotpisanog certifikata; može se generirati na bilo kojem web serveru sa IIS ili Apache ulogom. Ako uzmemo u obzir moderan hosting, onda u kontrolnim pločama, kao što su:

• Directadmin
• ISPmanager
• Cpanel

To je tamo standardna funkcionalnost. Najveća prednost samopotpisanih certifikata za enkripciju je što su besplatni i ima dosta nedostataka, pošto niko osim vas ne vjeruje ovom certifikatu, vjerovatno ste vidjeli ovu sliku u pretraživačima gdje se stranica žali na sigurnosni certifikat.

Ako imate samopotpisani certifikat, koji se koristi isključivo u interne svrhe, onda je to normalno, ali za javne projekte to će biti veliki minus, jer mu niko ne vjeruje i izgubit ćete veliki broj klijenata ili korisnika koji vide greška sigurnosnog certifikata u pretraživaču, odmah će se zatvoriti.

Da vidimo kako možete dobiti SSL sigurnosni certifikat.Za to se generiše zahtjev za izdavanje certifikata, zove se CSR zahtjev (Certificate Signing Request). To se najčešće radi sa posebnom kompanijom u web formi, koja će vam postaviti nekoliko pitanja o vašoj domeni i vašoj kompaniji. Kada unesete sve, server će napraviti dva ključa, privatni (zatvoren) i javni (otvoren). Da vas podsjetim da javni ključ nije povjerljiv, pa se ubacuje u CSR zahtjev. Evo primjera zahtjeva za potpisivanje certifikata.

Svi ovi nerazumljivi podaci mogu se lako protumačiti na posebnim stranicama CSR Decoder.

Primjeri dvije CSR dekoderske stranice:

• http://www.sslshopper.com/csr-decoder.html
• http://certlogik.com/decoder/

Sastav CSR zahtjeva

• Common Name: naziv domene koji štitimo takvim certifikatom
• Organizacija: naziv organizacije
• Organizaciona jedinica: organizaciona jedinica
• Lokacija: grad u kojem se nalazi ured organizacije
• Država: regija ili država
• Država: dvoslovni kod, država ureda
• E-pošta: kontakt email tehničkog administratora ili službe podrške

Nakon što se generira zahtjev za potpisivanje certifikata, možete započeti prijavu za certifikat za šifriranje. Certifikacijsko tijelo će provjeriti sve podatke koje ste naveli u CSR zahtjevu i ako je sve u redu, dobit ćete svoj SSL sigurnosni certifikat i možete ga koristiti za https. Sada će vaš server automatski uporediti izdani certifikat sa generiranim privatnim ključem, tako da možete šifrirati promet koji povezuje klijenta sa serverom.

Šta je certifikacijski organ

Šta je CA - Certification Authority ili Certification Authority, pročitajte link s lijeve strane, tamo sam o tome detaljno pričao.

Koje podatke sadrži SSL certifikat?

Certifikat pohranjuje sljedeće informacije:

• puno (jedinstveno) ime vlasnika certifikata
• javni ključ vlasnika
• Datum izdavanja SSL certifikata
• datum isteka sertifikata
• puni (jedinstveni) naziv tijela za sertifikaciju
• digitalni potpis izdavača

Koje vrste SSL certifikata za šifriranje postoje?

Postoje tri glavne vrste sigurnosnih certifikata:

• Validacija domene - DV > Ovo je certifikat šifriranja koji samo potvrđuje naziv domene resursa
• Validacija organizacije - OV > Ovo je certifikat za šifriranje koji provjerava organizaciju i domenu
• Proširena validacija - EV > Ovo je certifikat šifriranja koji ima proširenu validaciju

Svrha validacije domene - DV

Dakle, certifikati za šifriranje koji potvrđuju samo domenu resursa su najčešći certifikati na mreži; oni se izrađuju brže i automatski. Kada trebate provjeriti takav sigurnosni certifikat, šalje se e-mail s hipervezom, klikom na koji potvrđujete izdavanje certifikata. Napominjem da će vam pismo biti poslano, ali ne i potvrđena e-pošta (e-adresa odobravatelja) navedena prilikom naručivanja certifikata za šifriranje.

approver email također ima zahtjeve, logično je da ako naručite certifikate za enkripciju za domenu, onda email adresa mora biti s njega, a ne mail ili rambler, ili mora biti naznačena u whois domene i drugom zahtjevu, e-pošta odobravaoca imena, mora biti prema ovom obrascu:

• webmaster@yourdomain
• postmaster@vaša domena
• hostmaster@yourdomain
• administrator@vaša domena
• admin@

Obično uzimam poštansko sanduče postmaster@your domain

Tls-ssl certifikat koji potvrđuje ime domene se izdaje kada CA potvrdi da kupac ima prava na ime domene; sve ostalo što se odnosi na organizaciju nije prikazano u certifikatu.

Svrha Validacija organizacije - OV

TLS-ssl certifikati za enkripciju će sadržavati naziv vaše organizacije, privatna osoba ga jednostavno ne može dobiti, poslat će se za registraciju individualnog poduzetnika. Traje od 3 do deset radnih dana, sve zavisi od sertifikacionog centra koji će ga izdati.

Svrha proširene validacije - EV

I tako, poslali ste CSR-u zahtjev za izdavanje certifikata za šifriranje za vašu organizaciju, CA počinje provjeravati da li IP rogovi i kopita zaista postoje, kao u CSR-u, i da li domen naveden u nalogu pripada njemu.

• Oni mogu pogledati da li postoji organizacija na međunarodnim žutim stranicama; za one koji ne znaju šta je to, ovo su telefonski imenici u Americi. Ne provjeravaju svi CA na ovaj način.
• Oni gledaju whois domene vaše organizacije; to rade svi tijeli za sertifikaciju; ako u whois-u nema ni riječi o vašoj organizaciji, onda će od vas tražiti pismo garancije da je domena vaša.
• Potvrda o državnoj registraciji Jedinstvenog državnog registra individualnih preduzetnika ili Jedinstvenog državnog registra pravnih lica
• Oni mogu potvrditi vaš broj telefona tako što će od vaše telefonske kompanije zatražiti račun koji uključuje broj.
• Na ovaj broj mogu pozvati i provjeriti dostupnost firme, zamolit će osobu koju je administrator naveo u nalogu da se javi na telefon, pa se uvjerite da osoba zna engleski.

Sam certifikat enkripcije proširuje Validaciju je EV, najskuplji a ispada i najkomplikovaniji, usput imaju zelenu traku, to ste sigurno vidjeli, ovo je kada na stranici u adresnoj traci posjetitelj vidi zelenu traku s nazivom organizacije. Evo primjera klijenta banke iz Sberbanke.

Najveće povjerenje imaju certifikati proširene enkripcije (extendet Validation - EV), te je logično da odmah vidite da kompanija postoji i da je ispunila stroge zahtjeve za izdavanje certifikata. SSL certifikate extendet Validatio izdaju CA samo ako su ispunjena dva zahtjeva: da organizacija posjeduje traženu domenu i da ona sama postoji u prirodi. Prilikom izdavanja EV SSL certifikata, postoje strogi propisi koji opisuju zahtjeve prije izdavanja EV certifikata

• Mora pregledati pravne, fizičke i operativne aktivnosti subjekta
• Provjera organizacije i njenih dokumenata
• Vlasništvo nad domenom, organizacija
• Provjerite da li je organizacija potpuno ovlaštena za izdavanje EV certifikata

SSL certifikati extendet Validatio se izdaju za otprilike 10-14 dana, pogodni i za neprofitne organizacije i za vladine agencije.

Vrste certifikata za SSL enkripciju

Sljedeće važno pitanje će biti koje vrste SSL - TLS certifikata za enkripciju postoje, te njihove razlike i cijene.

• Redovni SSL certifikati > ovo su najčešći certifikati, rade se automatski, za potvrdu samo domene. U prosjeku koštaju 18-22 dolara.
• SGC certifikati > su SSL - TLS certifikati s podrškom za viši nivo enkripcije. Oni su uglavnom za starije pretraživače koji podržavaju samo 40-56 bitnu enkripciju. SGC nasilno povećava nivo enkripcije na 128 bita, što je nekoliko puta više. Kako XP dostigne svoje posljednje godine, SGC certifikati za šifriranje uskoro više neće biti potrebni. Ovo čudo košta oko 300 stotina dolara godišnje.
• Zamjenski certifikati > Potrebni za poddomene vaše glavne domene. Jednostavan primer je moj blog sajt, ako kupim Wildcard, onda ga mogu staviti na sve domene 4. nivoa na svom sajtu, *.site. Cijena Wildcard certifikata za šifriranje varira ovisno o broju poddomena, od 190 dolara.
• SAN sertifikati > Recimo da imate jedan server, ali na njemu je hostovano mnogo različitih domena, možete okačiti SAN sertifikat na server i svi domeni će ga koristiti, košta od 400 dolara godišnje.
• EV sertifikati > o produženim, o svemu smo gore već govorili, koštaju od 250 dolara godišnje.
• Certifikati koji podržavaju IDN domene

lista certifikata koji imaju takvu podršku, IDN domene:

• Thawte SSL123 certifikat
• Thawte SSL web server
• Symantec Secure Site
• Thawte SGC SuperCerts
• Thawte SSL web server Wildcard
• Thawte SSL web server sa EV
• Symantec Secure Site Pro
• Symantec Secure Site sa EV
• Symantec Secure Site Pro sa EV

Korisni uslužni programi:

1. OpenSSL je najčešći uslužni program za generiranje javnog ključa (zahtjev za certifikat) i privatnog ključa.
   http://www.openssl.org/
2. CSR Decoder je uslužni program za provjeru CSR-a i podataka koje sadrži, preporučujem da ga koristite prije naručivanja certifikata.
   http://www.sslshopper.com/csr-decoder.html ili http://certlogik.com/decoder/
3. DigiCert Certificate Tester - uslužni program za provjeru valjanosti samog certifikata
   http://www.digicert.com/help/?rid=011592
   http://www.sslshopper.com/ssl-checker.html

U budućim člancima, sami ćemo konfigurirati CA i u praksi ćemo koristiti SSL/TLS certifikate za šifriranje.

SSL TLS protokol

Korisnici budžetskih organizacija, i to ne samo budžetskih, čije su aktivnosti direktno vezane za finansije, u interakciji sa finansijskim organizacijama, na primjer, Ministarstvom finansija, Trezorom itd., sve svoje poslovanje obavljaju isključivo korištenjem sigurnog SSL protokola. U osnovi, u svom radu koriste pretraživač Internet Explorer. U nekim slučajevima Mozilla Firefox.

Računarske vijesti, recenzije, rješenja problema sa računarom, kompjuterske igrice, drajveri i uređaji i drugi kompjuterski programi." title="programi, drajveri, problemi sa računarom, igrice" target="_blank">!}

SSL greška

Glavna pažnja prilikom izvođenja ovih operacija, i rada uopšte, posvećena je sistemu bezbednosti: sertifikatima, elektronskim potpisima. Za rad se koristi trenutna verzija CryptoPro softvera. U vezi problemi sa SSL i TLS protokolima, Ako SSL greška pojavio, najvjerovatnije ne postoji podrška za ovaj protokol.

TLS greška

TLS greška u mnogim slučajevima to takođe može ukazivati ​​na nedostatak podrške protokola. Ali... da vidimo šta se može učiniti u ovom slučaju.

Podrška za SSL i TLS protokol

Dakle, kada koristite Microsoft Internet Explorer za posjetu web-stranici zaštićenom SSL-om, prikazuje se naslovna traka Uvjerite se da su ssl i tls protokoli omogućeni. Prije svega, neophodno je omogućite podršku za TLS 1.0 protokol u Internet Exploreru.

Računarske vijesti, recenzije, rješenja problema sa računarom, kompjuterske igrice, drajveri i uređaji i drugi kompjuterski programi." title="programi, drajveri, problemi sa računarom, igrice" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Ako posjećujete web lokaciju koja pokreće Internet Information Services 4.0 ili noviju verziju, konfiguriranje Internet Explorera da podržava TLS 1.0 pomaže u zaštiti vaše veze. Naravno, pod uslovom da udaljeni web server koji pokušavate koristiti podržava ovaj protokol.

Da biste to učinili u meniju Servis izaberite tim Internet opcije.

Na kartici Dodatno U poglavlju Sigurnost, provjerite jesu li odabrani sljedeći potvrdni okviri:

Koristite SSL 2.0
Koristite SSL 3.0
Koristite TLS 1.0

Kliknite na dugme Prijavite se , i onda uredu . Ponovo pokrenite pretraživač .

Nakon što omogućite TLS 1.0, pokušajte ponovo posjetiti web stranicu.

Politika sigurnosti sistema

Ako se i dalje javljaju greške sa SSL i TLS Ako i dalje ne možete koristiti SSL, udaljeni web server vjerovatno ne podržava TLS 1.0. U ovom slučaju je neophodno onemogući sistemsku politiku, što zahtijeva algoritme kompatibilne sa FIPS.

Računarske vijesti, recenzije, rješenja problema sa računarom, kompjuterske igrice, drajveri i uređaji i drugi kompjuterski programi." title="programi, drajveri, problemi sa računarom, igrice" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Da biste to uradili, u Kontrolni paneli izaberite Administracija, a zatim dvaput kliknite Lokalna sigurnosna politika.

U Lokalnim sigurnosnim postavkama proširite Lokalne politike a zatim kliknite na dugme Sigurnosne postavke.

U skladu sa politikom na desnoj strani prozora, dvaput kliknite Sistemska kriptografija: koristite algoritme usklađene sa FIPS-om za šifriranje, heširanje i potpisivanje a zatim kliknite na dugme Onemogućeno .

Pažnja! Promjena stupa na snagu nakon ponovne primjene lokalne sigurnosne politike. To je uključite ga I ponovo pokrenite pretraživač .

CryptoPro TLS SSL

Ažurirajte CryptoPro

Dalje, jedna od opcija za rješavanje problema je ažuriranje CryptoPro-a, kao i postavljanje resursa. U ovom slučaju radi se s elektronskim plaćanjem. Stoga idemo u Certification Center da automatski konfigurišemo resurs. Kao resurs biramo elektronske platforme za trgovanje.

Nakon pokretanja automatskog podešavanja radnog mesta, ostaje samo sačekajte da se procedura završi, onda ponovo učitaj pretraživač. Ako trebate unijeti ili odabrati adresu resursa, odaberite onu koja vam je potrebna. Možda ćete morati ponovo pokrenuti računar kada se podešavanje završi.

Računarske vijesti, recenzije, rješenja problema sa računarom, kompjuterske igrice, drajveri i uređaji i drugi kompjuterski programi." title="programi, drajveri, problemi sa računarom, igrice" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Postavljanje SSL TLS-a

Mrežna konfiguracija

Druga opcija bi mogla biti onemogućavanje NetBIOS-a preko TCP/IP-a- nalazi se u svojstvima veze.

DLL registracija

Pokrenite komandnu liniju kao administrator i unesite komandu regsvr32 cpcng. Za 64-bitni OS, morate koristiti isti regsvr32 koji je u syswow64.

SMTP sesija između servera i klijenta nije šifrirana po defaultu. Ovo omogućava presretanje paketa i dobijanje povjerljivih informacija koje se prenose u čistom tekstu (osim ako se ne koriste druge metode šifriranja).

Korištenje TLS protokola pomoći će nam da ispravimo ovu situaciju, što će osigurati:

1. Povjerljivost (Interakcija između klijenta i servera se odvija u šifriranom
sesija);

2. Integritet (nemoguće je infiltrirati se u sesiju neprimijećeno; oštećenje podataka će biti odmah otkriveno);

3. Pouzdanost autentifikacije (Klijent i server mogu razmjenjivati ​​certifikate certificirane od strane Certification Authority (CA).

Kako TLS radi

TLS protokol šifrira samo vezu između dva hosta. Sesija koja koristi ovaj protokol se odvija na sljedeći način:

1. Klijent uspostavlja vezu sa serverom.

2. Domaćini započinju komunikaciju koristeći SMTP protokol.

3. Server, koristeći ključnu riječ STARTTLS, predlaže korištenje TLS-a unutar SMTP interakcija.

4. Ako klijent može koristiti TLS, on odgovara serveru ključnom riječi STARTTLS.

5. Javni certifikat servera se potpisuje privatnim ključem i šalje klijentu.

6. Klijent provjerava autentičnost certifikata poslužitelja provjeravajući potpis certifikacijskog tijela s javnim potpisom certifikacijskog tijela koji ima u root spremištu.

7. Klijent provjerava serverski certifikat prema nizu koji sadrži Uobičajeno ime naziv domene servera.

8. Klijent i server omogućavaju način šifriranja podataka.

9. Domaćini razmjenjuju podatke.

10. Sjednica se završava.

Počnimo kreirati certifikate za mail server server.mydomain.ru , na kojem Postfix djeluje kao MTA, a Dovecot obavlja MDA ulogu.

Kreiranje novog certifikata je jednostavno - samo pokrenite skriptu i pokrenite nekoliko naredbi.

Hajde da generišemo 2 fajla - tajni ključ servera i zahtev za potpisivanje sertifikata sa naredbom:

# openssl req -nodes -newkey rsa:2048 -keyout server.key -out server.csr

gdje je server ime servera (u ovom slučaju može biti bilo šta)

Popunite polja (pritiskom na "Enter" ostavljate zadanu vrijednost):

Ime zemlje (2 slova kod): RU
Ime države ili pokrajine (puno ime) : Orenburg
Naziv lokacije (npr. grad): Orsk
Naziv organizacije (npr. kompanija): MyCompany
Naziv organizacione jedinice (npr. sekcija): IT
Uobičajeno ime (npr. VAŠE ime): server.mydomain.ru
E-mail adresa: postmaster @mydomain.ru
Lozinka za izazov:
Neobavezno ime kompanije:

Veoma je važno naznačiti na terenu Uobičajeno ime potpuno kvalificirano ime hosta (FQDN) koje odgovara DNS zapisima tipa MX i A

Koristimo priliku da dobijemo besplatne COMODO sertifikate sa rokom važenja od 90 dana na usluzi FreeSSL.su. Ove sertifikate lako prepoznaju svi pretraživači i klijenti e-pošte.

Na glavnoj stranici popunite sva obavezna polja, u koloni “Odaberite softver za korištenje” odaberite “Ostalo”. Na terenu CSR unesite sadržaj prethodno generiranog fajla server.csr .

Nakon slanja zahtjeva i njegove potvrde, dobijamo arhivu certs.zip , koji sadrži sljedeće fajlove:

1. AddTrustExternalCARoot.crt;
2. server_mydomain_ru.crt;
3. ComodoUTNSGCCA.crt;
4. EssentialSSLCA_2.crt;
5. UTNAddTrustSGCCA.crt

Datoteka server_mydomain_ru.crt je potreban certifikat. Šta da radimo sa preostalim fajlovima? Uradimo ovo - kombinujmo njihov sadržaj u jednu datoteku ca.txt (pouzdani CA certifikat C.A. ) sljedećim redoslijedom:

1. EssentialSSLCA_2.crt
2. ComodoOUTNSGCCA.crt
3. UTNAddTrustSGCCA.crt
4. AddTrustExternalCARoot.crt

Primljena datoteka ca.txt Koristićemo dalje:

Hajde da konfigurišemo naš mail server. Da bismo to učinili, unosimo promjene u konfiguracije golubarnik I postfix .

za golubarnik:

dovecot.conf:

protokoli = pop3 imap imaps pop3s

protokol pop3 (
slušaj = *:110
ssl_listen = *:995
...........
}

protokol imap (
slušaj = *:143
ssl_listen = *:993
...........
}

disable_plaintext_auth = ne # Ne zabranjujemo prijavu na otvoren način
ssl = yes # Omogući podršku za ssl
ssl_cert_file = /etc/ssl/certs/dovecot.pem # datoteka certifikata,
# postavite dozvole za to: root:root 0444
ssl_key_file = /etc/ssl/private/dovecot.pem # ključ servera,
# preporučuje se postavljanje dozvola: root:root 0400

ssl_verify_client_cert = yes # provjerite valjanost certifikata klijenta
ssl_parameters_regenerate = 1 # regeneriraj parametre svaki sat
# (vrijednost "0" onemogućava regeneraciju)
ssl_cipher_list = ALL:!LOW:!SSLv2 # SSL šifra
verbose_ssl = yes # evidentirajte ssl greške u dnevniku

Za dobijanje ssl_cert_file morate spojiti sadržaj datoteka server_mydomain_en.crt I ca.txt , preimenujte rezultirajuću datoteku u dovecot.pem. U ulozi ssl_key_file pojavljuje se preimenovana datoteka tajnog ključa servera server.key , generirano ranije.

Za postfiks:

main.cf

Smtp_use_tls = yes # koristi TLS ako udaljeni server prijavljuje podršku za TLS
smtpd_use_tls = yes # obavještava klijente o TLS podršci
smtpd_tls_auth_only = ne # koristi SMTP autentifikaciju za više od samo TLS konekcija
smtp_tls_note_starttls_offer = da # imena servera dnevnika,
# izdavanje STARTTLS poruke za koju TLS podrška nije omogućena

smtpd_tls_CAfile = /etc/ssl/ca.txt # pouzdani certifikat
smtpd_tls_key_file = /etc/ssl/smtpd.key # privatni ključ servera
smtpd_tls_cert_file = /etc/ssl/smtpd.crt # certifikat servera

smtpd_tls_loglevel = 2 # opširnost TLS poruka aktivnosti
smtpd_tls_received_header = da # zahtijevaju zaglavlja poruke s informacijama
# o verziji protokola i algoritmu šifriranja
smtpd_tls_session_cache_timeout = 3600s # vrijeme kada se podaci keširaju
# TLS sesije se smatraju aktuelnim
tls_random_source = dev:/dev/urandom # naziv uređaja za generator pseudoslučajnih brojeva (PRNG)

Da bi Postfix prihvatio TLS veze na posebnom portu (465/SMTPS, a ne 25/SMTP), u datoteci master.cf morate dekomentirati redove:

master.cf

Smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=da
-o smtpd_sasl_auth_enable=da
-o smtpd_client_restrictions=permit_sasl_authenticated,odbiti

Ponovo pokrenite postfix i dovecot, provjerite zapise.

Ne zaboravite otvoriti potrebne portove u firewall-u: 993 (imaps), 995 (pop3s), 465 (smtps)

Naš mail server je spreman za rad TLS !

Da bi klijenti e-pošte ispravno koristili nove mogućnosti servera, morate postaviti postavke protokola na FQDN server, kao što je naveden tokom ključa i zahteva, i izaberite tip zaštite veze SSL/TLS i povezane luke.

Na kraju perioda važenja certifikata od 90 dana, morate slijediti istu proceduru koristeći istu datoteku za zahtjev server.csr , tako da morate čuvati njegovu kopiju na sigurnom mjestu. Cijeli proces ažuriranja neće trajati više od 10 minuta!

TLS je nasljednik SSL-a, protokola koji pruža pouzdanu i sigurnu vezu između čvorova na Internetu. Koristi se u razvoju različitih klijenata, uključujući pretraživače i klijent-server aplikacije. Šta je TLS u Internet Exploreru?

Malo o tehnologiji

Sva preduzeća i organizacije koje se bave finansijskim transakcijama koriste ovaj protokol za sprečavanje prisluškivanja paketa i neovlašćenog pristupa uljeza. Ova tehnologija je dizajnirana da zaštiti važne veze od napada uljeza.

U osnovi, njihove organizacije koriste ugrađeni pretraživač. U nekim slučajevima - Mozilla Firefox.

Omogućavanje ili onemogućavanje protokola

Ponekad je nemoguće pristupiti nekim stranicama jer je podrška za SSL i TLS tehnologije onemogućena. U pretraživaču se pojavljuje obavijest. Dakle, kako možete omogućiti protokole da biste nastavili uživati ​​u sigurnoj komunikaciji?
1.Otvorite Control Panel preko Start. Drugi način: otvorite Explorer i kliknite na ikonu zupčanika u gornjem desnom uglu.

2. Idite na odjeljak “Opcije pretraživača” i otvorite blok “Napredno”.

3. Označite polja pored „Koristi TLS 1.1 i TLS 1.2.“

4.Kliknite OK da sačuvate promjene. Ako želite da onemogućite protokole, što se ne preporučuje, posebno ako koristite internet bankarstvo, poništite iste stavke.

Koja je razlika između 1.0 i 1.1 i 1.2? 1.1 je samo malo poboljšana verzija TLS 1.0, koja je djelimično naslijedila njegove nedostatke. 1.2 je najsigurnija verzija protokola. S druge strane, ne mogu se otvoriti sve stranice s omogućenom verzijom ovog protokola.

Kao što znate, Skype messenger je direktno povezan sa Internet Explorerom kao Windows komponenta. Ako u postavkama nemate označen TLS protokol, mogu nastati problemi sa Skypeom. Program jednostavno neće moći da se poveže sa serverom.

Ako je podrška za TLS onemogućena u postavkama Internet Explorera, sve funkcije programa povezane s mrežom neće raditi. Štoviše, sigurnost vaših podataka ovisi o ovoj tehnologiji. Nemojte to zanemariti ako obavljate finansijske transakcije u ovom pretraživaču (kupovine u online prodavnicama, prijenos novca putem internet bankarstva ili e-novčanika, itd.).