Protokolli TLS. Sigurohuni që protokollet ssl dhe tls janë të aktivizuara

Përshkrim

TLS mundëson që aplikacionet klient-server të komunikojnë përmes rrjetit në një mënyrë që parandalon përgjimin dhe aksesin e paautorizuar.

Meqenëse shumica e protokolleve të komunikimit mund të përdoren me ose pa TLS (ose SSL), kur krijoni një lidhje, duhet t'i tregoni në mënyrë eksplicite serverit nëse klienti dëshiron të instalojë TLS. Kjo mund të arrihet ose duke përdorur një numër porti të unifikuar, në të cilin lidhja krijohet gjithmonë duke përdorur TLS (si porti 443 për HTTPS), ose duke përdorur një port arbitrar dhe një komandë të veçantë në server nga ana e klientit për të ndërruar lidhjen në TLS duke përdorur protokollin e mekanizmave të veçantë (si p.sh. STARTTLS për protokollet e postës elektronike). Pasi klienti dhe serveri të kenë rënë dakord të përdorin TLS, ata duhet të krijojnë një lidhje të sigurt. Kjo bëhet duke përdorur një shtrëngim duarsh (eng. Shtresat e sigurta të foleve). Gjatë këtij procesi, klienti dhe serveri bien dakord për parametra të ndryshëm të nevojshëm për të krijuar një lidhje të sigurt.

Ekzistojnë gjithashtu variante sulmesh të bazuara drejtpërdrejt në zbatimin e softuerit të protokollit, dhe jo në algoritmin e tij.

Shtrëngimi i duarve TLS në detaje

Sipas protokollit TLS, aplikacionet shkëmbejnë rekorde që përmbledhin (ruajnë brenda vetes) informacionin që duhet të transferohet. Secila prej hyrjeve mund të kompresohet, mbushet, kodohet ose identifikohet nga një MAC (kodi i vërtetimit të mesazhit) në varësi të gjendjes aktuale të lidhjes (gjendja e protokollit). Çdo hyrje TLS përmban fushat e mëposhtme: lloji i përmbajtjes (specifikon llojin e përmbajtjes së hyrjes), një fushë që tregon gjatësinë e paketës dhe një fushë që tregon versionin e protokollit TLS.

Kur lidhja sapo është vendosur, ndërveprimi kryhet duke përdorur protokollin e shtrëngimit të duarve TLS, lloji i përmbajtjes që është 22.

Shtrëngim duarsh i thjeshtë në TLS

1. Faza e negociatave:
   • Klienti dërgon një mesazh Klient Përshëndetje
   • Serveri përgjigjet me një mesazh ServerPërshëndetje
   • Serveri dërgon një mesazh Certifikata
   • Serveri dërgon mesazh ServerHelloDone
   • Klienti përgjigjet me një mesazh ClientKeyExchange që përmban çelësin publik PreMasterSecret (Ky PreMasterSecret është i koduar duke përdorur çelësin publik të certifikatës së serverit.) ose asgjë (përsëri, varet nga algoritmi i enkriptimit);
   • PreMasterSecret
2. Klienti dërgon një mesazh ChangeCipherSpec
   • Klienti dërgon një mesazh Përfunduar
3. Serveri dërgon ChangeCipherSpec

Shtrëngim duarsh me vërtetimin e klientit

Ky shembull tregon vërtetimin e plotë të klientit (përveç vërtetimit të serverit si në shembullin e mëparshëm) duke shkëmbyer certifikata midis serverit dhe klientit.

1. Faza e negociatave:
   • Klienti dërgon një mesazh Klient Përshëndetje duke specifikuar versionin më të fundit të protokollit të mbështetur TLS, një numër të rastësishëm dhe një listë të metodave të mbështetura të enkriptimit dhe kompresimit të përshtatshme për të punuar me TLS;
   • Serveri përgjigjet me një mesazh ServerPërshëndetje që përmban: versionin e protokollit të zgjedhur nga serveri, një numër të rastësishëm të dërguar nga klienti, një algoritëm të përshtatshëm enkriptimi dhe kompresimi nga lista e ofruar nga klienti;
   • Serveri dërgon një mesazh Certifikata që përmban certifikatën dixhitale të serverit (në varësi të algoritmit të enkriptimit, ky hap mund të anashkalohet);
   • Serveri dërgon një mesazh Kërkesë për Certifikatë që përmban një kërkesë për certifikatë të klientit për vërtetim të ndërsjellë;
   • [Mungon pika e marrjes dhe kontrollit të certifikatës së klientit] ;
   • Serveri dërgon mesazh ServerHelloDone identifikimi i fundit të shtrëngimit të duarve;
   • Klienti përgjigjet me një mesazh ClientKeyExchange që përmban çelësin publik PreMasterSecret ose asgjë (përsëri, varet nga algoritmi i enkriptimit);
   • Klienti dhe serveri duke përdorur një çelës PreMasterSecret dhe numrat e gjeneruar rastësisht llogaritin sekretin e përbashkët. Të gjitha informacionet e tjera në lidhje me çelësin do të merren nga sekreti i përbashkët (dhe vlerat e rastësishme të gjeneruara nga klienti dhe serveri);
2. Klienti dërgon një mesazh ChangeCipherSpec, që tregon se të gjitha informacionet e mëvonshme do të kodohen nga algoritmi i vendosur në procesin e shtrëngimit të duarve duke përdorur çelësin e përbashkët sekret. Këto janë mesazhe të nivelit rekord dhe për këtë arsye janë të tipit 20 dhe jo 22;
   • Klienti dërgon një mesazh Përfunduar e cila përmban një hash dhe një MAC të krijuar bazuar në mesazhet e mëparshme të shtrëngimit të duarve;
   • Serveri përpiqet të deshifrojë mesazhin Finished të klientit dhe të kontrollojë hash dhe MAC. Nëse procesi i deshifrimit ose verifikimit dështon, shtrëngimi i duarve konsiderohet se ka dështuar dhe lidhja duhet të hiqet.
3. Serveri dërgon ChangeCipherSpec dhe mesazhin e enkriptuar Finished, dhe nga ana tjetër, klienti kryen gjithashtu deshifrimin dhe verifikimin.

Nga ky moment, shtrëngimi i duarve konsiderohet i përfunduar, protokolli vendoset. E gjithë përmbajtja e paketës pasuese vjen me tipin 23 dhe të gjitha të dhënat do të kodohen.

Rifillimi i lidhjes TLS

Algoritmet asimetrike të enkriptimit të përdorura për të gjeneruar çelësin e sesionit janë zakonisht të kushtueshëm nga pikëpamja llogaritëse. Për të shmangur përsëritjen e tyre kur rikthehet lidhja, TLS krijon një shkurtore të veçantë për shtrëngimin e duarve, e cila përdoret për të rifilluar lidhjen. Në këtë rast, me konfirmimin e zakonshëm të komunikimit, klienti i shton mesazhin Klient Përshëndetje ID e seancës së mëparshme ID e seancës... ID e bashkëpunëtorëve të klientit ID e seancës me adresën IP të serverit dhe portin TCP në mënyrë që të gjithë parametrat e lidhjes së mëparshme të mund të përdoren kur lidheni me serverin. Serveri përputhet me identifikuesin e sesionit të mëparshëm ID e seancës me parametrat e lidhjes si algoritmi i enkriptimit të përdorur dhe sekreti kryesor. Të dyja palët duhet të kenë të njëjtin sekret kryesor, përndryshe lidhja nuk do të vendoset. Kjo parandalon përdorimin e ID e seancës kriptanalist për të fituar akses të paautorizuar. Sekuencat e numrave të rastësishëm në mesazhe Klient Përshëndetje dhe ServerPërshëndetje ju lejon të siguroheni që çelësi i gjeneruar i sesionit do të jetë i ndryshëm nga çelësi i sesionit në lidhjen e mëparshme. Në RFC, ky lloj shtrëngimi duarsh quhet i shkurtuar.

1. Faza e negociatave:
   • Klienti dërgon një mesazh Klient Përshëndetje duke specifikuar versionin më të fundit të protokollit të mbështetur TLS, një numër të rastësishëm dhe një listë të metodave të mbështetura të enkriptimit dhe kompresimit të përshtatshme për të punuar me TLS; Gjithashtu, mesazhit i shtohet identifikuesi i lidhjes së mëparshme. ID e seancës.
   • Serveri përgjigjet me një mesazh ServerPërshëndetje që përmban: versionin e protokollit të zgjedhur nga serveri, një numër të rastësishëm të dërguar nga klienti, një algoritëm të përshtatshëm enkriptimi dhe kompresimi nga lista e ofruar nga klienti. Nëse serveri ka mësuar identifikuesin e sesionit ID e seancës ServerPërshëndetje të njëjtin identifikues ID e seancës... Ky është një sinjal për klientin që mund të përdoret rifillimi i seancës së mëparshme. Nëse serveri nuk e njohu ID-në e sesionit ID e seancës, pastaj i shton mesazhit ServerPërshëndetje vlerë tjetër në vend të ID e seancës... Për klientin, kjo do të thotë që lidhja e rinovuar nuk mund të përdoret. Kështu, serveri dhe klienti duhet të kenë të njëjtin sekret kryesor dhe numra të rastësishëm për të gjeneruar një çelës sesioni;
2. Klienti dërgon një mesazh ChangeCipherSpec, që tregon se të gjitha informacionet pasuese do të kodohen me sekretin e përbashkët të vendosur në procesin e shtrëngimit të duarve. Këto janë mesazhe të nivelit rekord dhe për këtë arsye janë të tipit 20 dhe jo 22;
3. Klienti dërgon një mesazh ChangeCipherSpec, që tregon se të gjitha informacionet e mëvonshme do të kodohen nga algoritmi i vendosur në procesin e shtrëngimit të duarve duke përdorur çelësin e përbashkët sekret. Këto janë mesazhe të nivelit rekord dhe për këtë arsye janë të tipit 20 dhe jo 22;
   • Klienti dërgon një mesazh Përfunduar e cila përmban një hash dhe një MAC të krijuar bazuar në mesazhet e mëparshme të shtrëngimit të duarve;
   • Serveri përpiqet të deshifrojë mesazhin Finished të klientit dhe të kontrollojë hash dhe MAC. Nëse procesi i deshifrimit ose verifikimit dështon, shtrëngimi i duarve konsiderohet se ka dështuar dhe lidhja duhet të hiqet;
4. Serveri dërgon ChangeCipherSpec dhe mesazhin e enkriptuar Finished, dhe nga ana tjetër, klienti kryen gjithashtu deshifrimin dhe verifikimin.

Nga ky moment, shtrëngimi i duarve konsiderohet i përfunduar, protokolli vendoset. E gjithë përmbajtja e paketës pasuese vjen me tipin 23 dhe të gjitha të dhënat do të kodohen.

Përveç përfitimeve të performancës, algoritmi i rilidhjes mund të përdoret për të zbatuar një hyrje të vetme, pasi është e garantuar që sesioni origjinal, si çdo sesion i rifilluar, inicohet nga i njëjti klient (RFC 5077). Kjo është veçanërisht e rëndësishme për zbatimin e FTP mbi TLS / SSL, i cili përndryshe do të ishte i prekshëm ndaj një sulmi njeri në mes, në të cilin një sulmues mund të përgjojë përmbajtjen e të dhënave kur lidhja të rivendoset.

Algoritmet e përdorura në TLS

Algoritmet e mëposhtme janë të disponueshme në këtë version aktual të protokollit:

• Për të shkëmbyer çelësat dhe për të verifikuar vërtetësinë e tyre, përdoren kombinime algoritmesh: RSA (shifr asimetrik), Diffie-Hellman (këmbim i sigurt çelësash), DSA (algoritmi i nënshkrimit dixhital) dhe algoritmet e teknologjisë Fortezza;
• Për kriptim simetrik: RC2, RC4, IDEA, DES, Triple DES ose AES;

Algoritmet mund të plotësohen në varësi të versionit të protokollit.

Krahasimi me analogët

Një nga përdorimet e lidhjeve TLS është lidhja e nyjeve në një rrjet privat virtual. Përveç TLS, mund të përdoret gjithashtu paketa e protokollit IPSec dhe lidhja SSH. Secila prej këtyre qasjeve për zbatimin e një VPN ka avantazhe dhe disavantazhe. ...

1. TLS / SSL
   • Përparësitë:
     • I padukshëm për protokollet e shtresave më të larta;
     • Popullariteti i përdorimit në lidhjet e internetit dhe aplikacionet e e-commerce;
     • Mungesa e lidhjes së përhershme ndërmjet serverit dhe klientit;
     • TCP/IP si email, mjete programimi, etj.
   • Të metat:
     • PZHU dhe ICMP;
     • Nevoja për të monitoruar gjendjen e lidhjes;
     • Kërkesa shtesë të softuerit për mbështetjen TLS.
2. IPsec
   • Përparësitë:
     • Siguria dhe besueshmëria e mbrojtjes së të dhënave të protokollit është testuar dhe vërtetuar që kur protokolli është miratuar si standard i Internetit;
     • Punoni në shtresën e sipërme të protokollit të rrjetit dhe kriptoni të dhënat mbi shtresën e protokollit të rrjetit.
   • Të metat:
     • Kompleksiteti i zbatimit;
     • Kërkesa shtesë për pajisjet e rrjetit (ruterat, etj.);
     • Ka shumë zbatime të ndryshme që jo gjithmonë ndërveprojnë saktë me njëri-tjetrin.
3. SSH
   • Përparësitë:
     • Lejon krijimin e një tuneli për aplikacione që përdorin TCP / IP si email, mjete programimi, etj.;
     • Shtresa e sigurisë është e padukshme për përdoruesin.
   • Të metat:
     • Vështirësi në përdorimin në rrjete me një numër të madh portash, si ruterë ose mure zjarri;
     • Nuk mund të përdoret me protokollet UDP dhe ICMP.

Shiko gjithashtu

Lidhjet

1. T. Dierks, E. Rescorla Protokolli i Sigurisë së Shtresës së Transportit (TLS), Versioni 1.2 (gusht 2008). Arkivuar nga origjinali më 9 shkurt 2012.
2. Protokolli SSL: Versioni 3.0 Drafti përfundimtar i SSL 3.0 i Netscape (18 nëntor 1996)
3. SSL / TLS në detaje. Microsoft TechNet... Përditësuar më 31 korrik 2003.
4. Dan Goodin . Regjistri(19 shtator 2011). Arkivuar
5. Eric Rescorla Kuptimi i sulmit të rinegocimit TLS. Supozim i arsimuar(5 nëntor 2009). Arkivuar nga origjinali më 9 shkurt 2012. Marrë më 7 dhjetor 2011.
6. McMillan, Robert... Pro Security thotë se Sulmi i ri SSL mund të godasë shumë sajte, PC World(20 nëntor 2009). Marrë më 7 dhjetor 2011.
7. SSL_CTX_set_options SECURE_RENEGOTIATION. OpenSSL Docs(25 shkurt 2010). Arkivuar nga origjinali më 9 shkurt 2012. Marrë më 7 dhjetor 2010.
8. GnuTLS 2.10.0 u lëshua. Shënimet e lëshimit të GnuTLS(25 qershor 2010). Arkivuar nga origjinali më 9 shkurt 2012. Marrë më 7 dhjetor 2011.
9. Shënime lëshimi të NSS 3.12.6. Shënime njoftimi të NSS-së(3 mars 2010). Marrë më 24 korrik 2011.
10. Të ndryshme Dobësia IE SSL. Supozim i arsimuar(10 gusht 2002).

Mirëmëngjes, të dashur abonentë, jam i sigurt se në masë të madhe keni dëgjuar fjalë të tilla si një certifikatë sigurie ose enkriptimi, ose një certifikatë SSL, dhe jam i sigurt se shumica prej jush e dinë edhe qëllimin e tyre. Nëse jo, atëherë do t'ju tregoj për Do t'ju tregoj në detaje me shembuj personalë, gjithçka është ashtu siç duhet, pas kësaj ju do të kuptoni tashmë në mënyrë më delikate të gjitha kufijtë e sigurisë që na ofrojnë certifikatat SSL, pa to tani nuk është më e mundur të imagjinohet bota moderne e IT-së, me transfertat bankare, e-mail smime ose dyqanet online.

Çfarë është SSL dhe TLS

Secure Socket Layer ose ssl është një teknologji e krijuar për ta bërë aksesin në uebsajt më të besueshëm dhe të sigurt. Certifikata e kriptimit ju lejon të mbroni me besueshmëri trafikun e transmetuar midis shfletuesit të përdoruesit dhe burimit të internetit (serverit) në të cilin shfletuesi po akseson, e gjithë kjo ndodh përmes protokollit https. Mbaruar, kjo është e gjitha pasi zhvillimi i shpejtë i Internetit ka çuar në një numër të madh faqesh dhe burimesh që kërkojnë nga përdoruesi të fusë të dhëna personale, personale:

• Fjalëkalimet
• Numrat e kartës së kreditit
• Korrespondencë

Janë këto të dhëna që janë pre e hakerëve, sa raste të profilit të lartë kanë qenë tashmë, me vjedhjen e informacionit personal dhe aq më tepër, certifikata e enkriptimit ssl, është krijuar për ta minimizuar këtë. Teknologjia SSL u zhvillua nga Netscape Communications, më vonë ajo prezantoi Transport Layer Security ose TLS, i cili është një protokoll i bazuar në specifikimin SSL 3.0. Si Secure Socket Layer ashtu edhe Transport Layer Security janë krijuar për të siguruar transferimin e të dhënave ndërmjet dy nyjeve përmes internetit.

SSL dhe TLS nuk kanë dallime thelbësore në punën e tyre, ato madje mund të përdoren në të njëjtin server në të njëjtën kohë, kjo bëhet vetëm për arsye të sigurimit të funksionimit të pajisjeve dhe shfletuesve të rinj, si dhe atyre të vjetëruar, ku Transporti Siguria e shtresave nuk mbështetet.

Nëse marrim parasysh internetin modern, atëherë TLS përdoret atje si një certifikatë sigurie dhe kriptimi serveri, thjesht dijeni këtë

Për shembull, hapni faqen e internetit Yandex, unë e bëj këtë në Google Chrome, ka një ikonë bllokimi përballë shiritit të adresave, klikoni mbi të. Këtu do të shkruhet se lidhja me faqen e internetit është e sigurt dhe mund të klikoni më shumë detaje.

ne shohim menjëherë ikonën e lidhjes së sigurt TLS, siç thashë, shumica e burimeve të internetit bazohen në këtë teknologji. Le të hedhim një vështrim në vetë certifikatën, për këtë klikoni Shiko certifikatën.

Në fushën në lidhje me informacionin në lidhje me certifikatën, ne shohim qëllimin e saj:

1. Ofron identifikim nga një kompjuter i largët
2. Konfirmon identifikimin e kompjuterit tuaj në distancë nga kompjuteri juaj
3. 1.2.616.1.113527.2.5.1.10.2

Gjithmonë duhet të dini historinë, si certifikatë enkriptimi evoluar dhe çfarë versionesh kishte. Duke ditur këtë dhe parimin e funksionimit, do të jetë më e lehtë të kërkoni zgjidhje për problemet.

• SSL 1.0> ky version nuk arriti kurrë te njerëzit, arsyet mund të kenë gjetur cenueshmërinë e tij
• SSL 2.0> ky version i certifikatës ssl u prezantua në vitin 1995, në fund të mijëvjeçarit, ai gjithashtu kishte një mori vrimash sigurie që nxitën kompaninë Netscape Communications për të punuar në versionin e tretë të certifikatës së enkriptimit
• SSL 3.0> zëvendësoi SSL 2.0 në 1996. Kjo mrekulli filloi të zhvillohej dhe në vitin 1999 kompanitë e mëdha Master Card dhe Visa blenë një licencë komerciale për ta përdorur atë. TLS 1.0 doli nga versioni 3.0
• TLS 1.0> 99 vit, azhurnimi SSL 3.0 lëshohet i quajtur TLS 1.0, kalojnë shtatë vjet të tjera, Interneti po zhvillohet dhe hakerat nuk qëndrojnë ende, versioni tjetër po del.
• TLS 1.1> 04.2006 kjo është pika e saj e fillimit, u rregulluan disa gabime kritike të përpunimit, dhe gjithashtu u shfaq mbrojtja kundër sulmeve, ku u bë mënyra e lidhjes së blloqeve të tekstit të shifruar
• TLS 1.2> u shfaq në gusht 2008
• TLS 1.3> vjen në fund të 2016

Si funksionojnë TLS dhe SSL

Le të kuptojmë se si funksionojnë protokollet SSL dhe TLS. Le të fillojmë me bazat, të gjitha pajisjet e rrjetit kanë një algoritëm të përcaktuar qartë për komunikimin me njëri-tjetrin, ai quhet OSI, i cili pritet në 7 shtresa. Ka një shtresë transporti përgjegjëse për shpërndarjen e të dhënave, por duke qenë se modeli OSI është një lloj utopie, tani gjithçka po funksionon sipas një modeli të thjeshtuar TCP/IP, me 4 shtresa. Stacki TCP / IP, tani një standard për transferimin e të dhënave në rrjetet kompjuterike, dhe përfshin një numër të madh protokollesh të shtresës së aplikimit të njohur për ju:

Lista mund të vazhdojë për një kohë shumë të gjatë, ka më shumë se 200 artikuj. Më poshtë është një diagram i shtresave të rrjetit.

Epo, dhe një diagram i pirgut SSL / TLS, për qartësi.

Tani gjithçka është e njëjtë në terma të thjeshtë, pasi jo të gjithë i kuptojnë këto skema dhe parimi i funksionimit të ssl dhe tls nuk është i qartë. Kur hapni, për shembull, faqen time të blogut, atëherë përdorni protokollin e aplikacionit http, kur kontaktoni serverin, ai ju sheh dhe transmeton të dhëna në kompjuterin tuaj. Nëse e paraqesim atë në mënyrë skematike, atëherë do të jetë një kukull e thjeshtë foleje, protokolli i aplikimit http, i shtyrë në stackin tcp-ip.

Nëse faqja do të kishte një certifikatë kriptimi TLS, atëherë kukulla e foleve e protokolleve do të ishte më e ndërlikuar dhe do të dukej kështu. Këtu protokolli i aplikacionit http futet në SSL / TLS, i cili nga ana tjetër futet në pirgun TCP / IP. Gjithçka është e njëjtë, por tashmë e koduar, dhe nëse një haker kap këto të dhëna përgjatë rrugës së transmetimit të tyre, ai do të marrë vetëm mbeturina dixhitale, por vetëm makina që ka krijuar lidhjen me sitin mund të deshifrojë të dhënat.

Hapat për të krijuar një lidhje SSL / TLS

Këtu është një tjetër skemë e bukur dhe vizuale për krijimin e një kanali të sigurt.

Krijimi i një lidhjeje SSL / TLS në nivelin e paketave të rrjetit

Në ilustrim, shigjetat e zeza tregojnë mesazhet që dërgohen në tekst të qartë, ato blu janë mesazhe të nënshkruara me një çelës publik dhe shigjetat jeshile janë mesazhe të dërguara duke përdorur enkriptimin e të dhënave në masë dhe MAC për të cilat palët ranë dakord gjatë procesit të negociatave.

Epo, dhe në detaje për secilën fazë të shkëmbimit të mesazheve të rrjetit të protokolleve SSL / TLS.

• 1. Klient Përshëndetje> Paketa ClientHello bën një propozim me një listë të versioneve të protokollit të mbështetur, paketat e shifruara të mbështetura sipas renditjes së preferencës dhe një listë të algoritmeve të kompresimit (zakonisht NULL). Një vlerë tjetër e rastësishme prej 32 bajt vjen nga klienti, përmbajtja e saj tregon vulën kohore aktuale, më vonë do të përdoret për çelësin simetrik dhe identifikuesin e sesionit, i cili do të ketë vlerën zero, me kusht që të mos ketë pasur seanca të mëparshme.
• 2. ServerPërshëndetje> Paketa ServerHello, e dërguar nga serveri, ky mesazh përmban opsionin e zgjedhur, algoritmin e enkriptimit dhe kompresimit. Do të ketë gjithashtu një vlerë të rastësishme prej 32 bajte (vula e kohës aktuale), përdoret gjithashtu për çelësat simetrik. Nëse ID-ja aktuale e sesionit në ServerHello është zero, ajo do të krijojë dhe kthejë një ID të sesionit. Nëse në mesazhin ClientHello ofrohet identifikuesi i seancës së mëparshme, i njohur për këtë server, atëherë protokolli i shtrëngimit të duarve do të kryhet sipas një skeme të thjeshtuar. Nëse klienti ofron një identifikues sesioni të panjohur për serverin, serveri kthen një identifikues të ri të sesionit dhe protokolli i shtrëngimit të duarve ndjek skemën e plotë.
• 3. Certifikata (3)> në këtë paketë, serveri i dërgon klientit çelësin e tij publik (certifikata X.509), ai përputhet me algoritmin e shkëmbimit të çelësave në grupin e zgjedhur të shifrave. Në përgjithësi, mund të thoni në protokoll, kërkoni çelësin publik në DNS, një rekord si KEY / TLSA RR. Siç shkrova më lart, ky çelës do të enkriptojë mesazhin.
• 4. ServerHelloDone> Serveri thotë se seanca është krijuar normalisht.
• 5. ClientKeyExchange> Hapi tjetër është që klienti të dërgojë çelësin para-master duke përdorur numra të rastësishëm (ose stampa kohore aktuale) nga serveri dhe klienti. Ky çelës (çelësi para-master) është i koduar me çelësin publik të serverit. Ky mesazh mund të deshifrohet vetëm nga serveri duke përdorur çelësin privat. Të dyja palët tani llogarisin çelësin kryesor sekret të përbashkët nga çelësi para-master.
• 6. ChangeCipherSpec - klient> kuptimi i paketës, për të treguar se tani i gjithë trafiku që vjen nga klienti do të kodohet duke përdorur algoritmin e zgjedhur të enkriptimit të të dhënave në masë dhe do të përmbajë MAC të llogaritur sipas algoritmit të zgjedhur.
• 7. Përfunduar - klient> Ky mesazh përmban të gjitha mesazhet e dërguara dhe të marra gjatë protokollit të shtrëngimit të duarve, duke përjashtuar mesazhin e përfunduar. Ai kodohet duke përdorur një algoritëm të enkriptimit të të dhënave në masë dhe hash duke përdorur një algoritëm MAC të rënë dakord nga palët. Nëse serveri mund të deshifrojë dhe verifikojë këtë mesazh (që përmban të gjitha mesazhet e mëparshme) duke përdorur çelësin e tij të sesionit të llogaritur në mënyrë të pavarur, atëherë biseda ishte e suksesshme. Nëse jo, në këtë pikë serveri përfundon seancën dhe dërgon një mesazh alarmi me disa informacione (ndoshta jo specifike) për gabimin.
• 8. ChangeCipherSpec - server> paketa thotë se tani i gjithë trafiku dalës nga ky server do të jetë i koduar.
• 9.Përfunduar - server> Ky mesazh përmban të gjitha mesazhet e dërguara dhe të marra gjatë protokollit të shtrëngimit të duarve, duke përjashtuar mesazhin e përfunduar
• 10. Protokolli i regjistrimit> tani të gjitha mesazhet janë të koduara me certifikatë sigurie ssl

Si të merrni certifikatën e sigurisë ssl

Le të kuptojmë tani se ku mund të merrni një certifikatë enkriptimi, ose si të merrni një certifikatë sigurie ssl. Sigurisht, ka disa mënyra, ka edhe me pagesë dhe falas.

Mënyrë falas për të marrë certifikatën e sigurisë tls

Kjo metodë përfshin përdorimin e një certifikate të vetë-nënshkruar, ajo mund të gjenerohet në çdo server në internet me rolin IIS ose Apache. Nëse marrim parasysh pritjen moderne, atëherë në panelet e kontrollit, të tilla si:

• Drejtoradmin
• menaxher ISP
• Cpaneli

aty është një funksionalitet i rregullt. Plus më i madh në çertifikatat e kriptimit të vetë-nënshkruara është se ato janë falas dhe fillestare, kundër të forta, pasi askush përveç jush nuk i beson kësaj certifikate, me siguri keni parë në shfletues këtë foto ku faqja betohet për certifikatën e sigurisë.

Nëse keni një certifikatë të vetë-nënshkruar që përdoret ekskluzivisht për qëllime të brendshme, atëherë kjo është normale, por për projektet publike, kjo do të jetë një disavantazh i madh, pasi askush nuk i beson dhe do të humbni një numër të madh klientësh ose përdoruesish që shikoni një gabim të certifikatës së sigurisë në shfletues, ata do ta mbyllin menjëherë.

Le të shohim se si mund të merrni një certifikatë sigurie ssl, për këtë krijohet një kërkesë për lëshimin e certifikatës, ajo quhet kërkesë CSR (Kërkesë për nënshkrimin e certifikatës). Kjo bëhet më shpesh nga një kompani e veçantë në formën e internetit, e cila do t'ju bëjë disa pyetje në lidhje me domenin dhe kompaninë tuaj. Sapo të futni gjithçka, serveri do të bëjë dy çelësa, privat (privat) dhe publik (publik). Ju kujtoj se çelësi publik nuk është konfidencial, ndaj futet në kërkesën CSR. Këtu është një shembull i një kërkese për nënshkrimin e certifikatës.

Të gjitha këto të dhëna të pakuptueshme mund të interpretohen lehtësisht nga faqet speciale të CSR Decoder.

Shembuj të dy vendeve të dekoderit CSR:

• http://www.sslshopper.com/csr-decoder.html
• http://certlogik.com/decoder/

Përbërja e kërkesës për CSR

• Emri i zakonshëm: emri i domain-it që ne po mbrojmë me një certifikatë të tillë
• Organizata: emri i organizatës
• Njësia Organizative: një nënndarje e një organizate
• Lokaliteti: qyteti ku ndodhet zyra e organizatës
• Shteti: krahinë ose shtet
• Shteti: kodi me dy shkronja, vendi i zyrës
• Email: email kontakti i administratorit teknik ose shërbimit mbështetës

Pasi të jetë krijuar Kërkesa për Nënshkrimin e Certifikatës, mund të filloni të aplikoni për një certifikatë enkriptimi. Autoriteti i certifikimit do të verifikojë të gjitha të dhënat që keni specifikuar në kërkesën CSR dhe nëse gjithçka është në rregull, ju do të merrni certifikatën tuaj të sigurisë ssl dhe mund ta përdorni për https. Tani serveri juaj do të përputhet automatikisht me certifikatën e lëshuar me çelësin privat të gjeneruar, të gjithë mund të kriptoni trafikun e lidhjes së klientit me serverin.

Çfarë është një autoritet certifikues

Çfarë është CA - Autoriteti i Certifikimit ose autoriteti i certifikimit, lexoni lidhjen në të majtë, unë e përshkrova atë në detaje atje.

Çfarë të dhënash përmban një certifikatë SSL?

Informacioni i mëposhtëm ruhet në certifikatë:

• emri i plotë (unik) i pronarit të certifikatës
• çelësi publik i pronarit
• data e lëshimit të certifikatës ssl
• data e skadimit të certifikatës
• emri i plotë (unik) i autoritetit certifikues
• nënshkrimi dixhital i botuesit

Cilat janë llojet e certifikatave të enkriptimit SSL

Ekzistojnë tre lloje kryesore të certifikatave të sigurisë:

• Validimi i domenit - DV> Kjo është një certifikatë enkriptimi që vërteton vetëm emrin e domenit të burimit
• Validimi i organizatës - OV> Kjo është një certifikatë enkriptimi që vërteton organizatën dhe domenin
• Extendet Validation - EV> Kjo është një certifikatë enkriptimi që ka vlefshmëri të zgjatur

Qëllimi i Validimit të Domenit - DV

Dhe kështu, certifikatat e kriptimit që konfirmojnë vetëm domenin e burimit janë certifikatat më të zakonshme në rrjet, ato bëhen më shpejt nga të gjithë, automatikisht. Kur duhet të verifikoni një certifikatë të tillë sigurie, dërgohet një email me një lidhje hiperlidhjeje, duke klikuar mbi të cilën konfirmohet lëshimi i certifikatës. Dua të vërej se letra do t'ju dërgohet, vetëm emaili i pakonfirmuar (email-i miratues) i specifikuar kur porosisni certifikatën e kriptimit.

Email-i i miratuesit gjithashtu ka kërkesa, është logjike që nëse porosisni certifikata enkriptimi për një domen, atëherë emaili duhet të jetë nga ai, dhe jo posta ose rambler, ose duhet të specifikohet në whois të domenit dhe një kërkesë më shumë emri. Email-i i miratuesit duhet të ndjekë këtë model:

• [email i mbrojtur] domeni juaj
• [email i mbrojtur] domeni juaj
• [email i mbrojtur] domeni juaj
• [email i mbrojtur] domeni juaj
• [email i mbrojtur]

Zakonisht marr një kuti [email i mbrojtur] domeni juaj

Certifikata tls-ssl që konfirmon emrin e domain-it lëshohet kur AK-ja ka vërtetuar se klienti ka të drejtat për emrin e domain-it, gjithçka tjetër në lidhje me organizatën nuk shfaqet në certifikatë.

Qëllimi i Validimit të Organizatës - OV

Certifikatat e kriptimit tls-ssl do të përmbajnë emrin e organizatës suaj, një person privat thjesht nuk mund ta marrë atë, ato do të dërgohen në mënyrë kulturore për të regjistruar një sipërmarrës individual. Duhen nga 3 deri në dhjetë ditë pune, gjithçka varet nga autoriteti certifikues që do ta lëshojë atë.

Objektivi i Zgjerimit të Validimit - EV

Dhe kështu, ju dërguat një kërkesë CSR për të lëshuar një certifikatë enkriptimi për organizatën tuaj, CA fillon të kontrollojë nëse IP ekziston vërtet, si në CSR, dhe nëse domeni i specifikuar në urdhër i përket asaj.

• Ata mund të shohin nëse ka një organizatë të faqeve të verdha ndërkombëtare, që nuk e di se çfarë është, atëherë këto janë drejtori telefonike në Amerikë. Jo të gjitha CA-të kontrollojnë në këtë mënyrë.
• Ata shikojnë whois-in e domenit të organizatës suaj, të gjitha qendrat e certifikimit e bëjnë këtë, nëse nuk ka asnjë fjalë për organizatën tuaj në whois, atëherë do t'ju kërkohet të dërgoni një letër garancie që domeni është i juaji.
• Certifikata e regjistrimit shtetëror të USRIP ose Regjistri i Unifikuar Shtetëror i Personave Juridik
• Ata mund të verifikojnë numrin tuaj të telefonit duke kërkuar një faturë nga kompania juaj telefonike për numrin.
• Ata mund të telefonojnë dhe të kontrollojnë disponueshmërinë e kompanisë në këtë numër, do të kërkojnë numrin e telefonit të personit të specifikuar nga administratori në porosi, ndaj shikoni që personi të di anglisht.

Vetë certifikata e enkriptimit të validimit të zgjatur është EV, më e shtrenjta dhe rezulton të jetë më e ndërlikuara, meqë ra fjala, ata kanë një shirit të gjelbër, ju patjetër e keni parë atë, kjo është kur një vizitor sheh një vijë të gjelbër me emrin e organizatën në shiritin e adresave në sit. Këtu është një shembull i një klienti banke nga Sberbank.

Certifikatat e zgjeruara të enkriptimit (extendet Validation - EV) janë më të besueshmet dhe është logjike që menjëherë të shihni që kompania ekziston dhe ka kaluar kërkesat e rrepta për lëshimin e një certifikate. Certifikatat Extendet Validatio SSL lëshohen nga CA vetëm kur plotësohen dy kërkesa që organizata zotëron domenin e kërkuar dhe se ai vetë ekziston në natyrë. Kur lëshoni certifikata EV SSL, ka rregulla strikte që përshkruajnë kërkesat përpara lëshimit të një certifikate EV.

• Duhet të kontrollojë aktivitetet ligjore, fizike dhe operacionale të subjektit
• Verifikimi i organizatës dhe dokumenteve të saj
• Pronësia e domenit, organizimi
• Kontrolloni nëse organizata është plotësisht e autorizuar për të lëshuar një certifikatë EV

Certifikatat Extendet Validatio SSL lëshohen nga rreth 10-14 ditë, të përshtatshme si për organizatat jofitimprurëse ashtu edhe për agjencitë qeveritare.

Llojet e çertifikatave të kriptimit SSL

Pyetja tjetër e rëndësishme do të jetë se cilat lloje të certifikatave të kriptimit SSL - TLS ekzistojnë, dallimet dhe kostoja e tyre.

• Certifikatat e rregullta SSL> këto janë certifikatat më të zakonshme, të bëra automatikisht, për të vërtetuar vetëm domenin. Ata kushtojnë mesatarisht 18-22 dollarë.
• Certifikatat SGC> këto janë certifikata SSL - TLS me mbështetje për një nivel më të lartë të kriptimit. Ato janë kryesisht për shfletues të vjetër që mbështesin vetëm kriptimin 40-56 bit. SGC rrit me forcë nivelin e enkriptimit, deri në 128 bit, që është disa herë më i lartë. Meqenëse XP është në vitet e tij të fundit, certifikatat e enkriptimit SGC së shpejti do të jenë të panevojshme. Kjo mrekulli kushton rreth 300-qind dollarë në vit.
• Certifikatat e karakterit të egër> Kërkohen për nëndomenet e domenit tuaj kryesor. Një shembull i thjeshtë është faqja ime e blogut, nëse blej një Wildcard, atëherë mund ta var në të gjitha domenet me 4 nivele në faqen time, *. Site. Kostoja e certifikatave të enkriptimit Wildcard ndryshon nga numri i nëndomaineve, nga 190 dollarë.
• Certifikatat SAN> Le të themi se keni një server, por shumë domene të ndryshme janë të hostuara në të, kështu që mund të varni një certifikatë SAN në server dhe të gjithë domenet do ta përdorin atë, kushton nga 400 dollarë në vit.
• Certifikatat EV> në lidhje me ato të zgjatura, ne kemi diskutuar tashmë gjithçka më lart, ato kushtojnë nga 250 dollarë në vit.
• Certifikata me mbështetje për domenet IDN

lista e certifikatave që kanë një mbështetje të tillë, IDN-të e domenit:

• Certifikata Thawte SSL123
• Thawte SSL Web Server
• Faqe e Sigurt e Symantec
• Thawte SGC SuperCerts
• Thawte SSL Web Server Wildcard
• Thawte SSL Web Server me EV
• Symantec Secure Site Pro
• Faqe e Sigurt e Symantec me EV
• Symantec Secure Site Pro me EV

Shërbimet e dobishme:

1. OpenSSL është mjeti më i zakonshëm për gjenerimin e një çelësi publik (kërkesë për certifikatë) dhe një çelësi privat.
   http://www.openssl.org/
2. CSR Decoder është një mjet për të kontrolluar CSR dhe të dhënat që ai përmban, unë rekomandoj ta përdorni përpara se të porosisni një certifikatë.
   http://www.sslshopper.com/csr-decoder.html ose http://certlogik.com/decoder/
3. Testuesi i certifikatës DigiCert - një mjet për verifikimin e korrektësisë së vetë certifikatës
   http://www.digicert.com/help/?rid=011592
   http://www.sslshopper.com/ssl-checker.html

Në artikujt e ardhshëm, ne do të konfigurojmë vetë CA-në dhe do të përdorim në praktikë certifikatat e kriptimit SSL / TLS.

SSL TLS

Përdoruesit e organizatave buxhetore, dhe jo vetëm ato buxhetore, aktivitetet e të cilëve lidhen drejtpërdrejt me financat, në ndërveprim me organizatat financiare, p.sh. Ministria e Financave, Thesari etj., kryejnë të gjitha veprimet e tyre ekskluzivisht duke përdorur protokollin e sigurt SSL. Ata kryesisht përdorin shfletuesin Internet Explorer në punën e tyre. Në disa raste, Mozilla Firefox.

Lajme kompjuterike, rishikime, zgjidhje problemesh me kompjuter, lojëra kompjuterike, drejtues dhe pajisje dhe programe të tjera kompjuterike. "Title =" (! LANG: programe, drejtues, probleme me kompjuter, lojëra" target="_blank">!}

Gabim SSL

Vëmendja kryesore gjatë kryerjes së këtyre operacioneve dhe punës në përgjithësi i kushtohet sistemit të sigurisë: certifikatave, nënshkrimeve elektronike. Për punë, përdoret softueri CryptoPro i versionit aktual. në lidhje me Probleme me SSL dhe TLS, nëse Gabim SSL u shfaq, ka shumë të ngjarë që nuk ka mbështetje për këtë protokoll.

Gabim TLS

Gabim TLS në shumë raste mund të tregojë edhe mungesë të mbështetjes së protokollit. Por... le të shohim se çfarë mund të bëjmë në këtë rast.

Mbështetja e protokollit SSL dhe TLS

Pra, kur përdorni Microsoft Internet Explorer për të vizituar faqen e internetit të siguruar SSL, shfaqet shiriti i titullit Sigurohuni që protokollet ssl dhe tls janë të aktivizuara... Para së gjithash, është e nevojshme aktivizoni mbështetjen e protokollit TLS 1.0 në Internet Explorer.

Lajme kompjuterike, rishikime, zgjidhje problemesh me kompjuter, lojëra kompjuterike, drejtues dhe pajisje dhe programe të tjera kompjuterike. "Title =" (! LANG: programe, drejtues, probleme me kompjuter, lojëra" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Nëse jeni duke vizituar një faqe interneti që përdor Internet Information Services 4.0 ose më të lartë, konfigurimi i Internet Explorer për të mbështetur TLS 1.0 ndihmon në sigurimin e lidhjes tuaj. Sigurisht, me kusht që serveri i largët i uebit që po përpiqeni të përdorni, e mbështet këtë protokoll.

Për këtë në meny Shërbimi zgjidhni ekipin Opsionet e internetit.

Në skedën Për më tepër Në kapitullin Siguria, sigurohuni që të jenë zgjedhur kutitë e mëposhtme të kontrollit:

Përdorni SSL 2.0
Përdorni SSL 3.0
Përdorni TLS 1.0

Klikoni butonin Aplikoni , dhe pastaj Ne rregull . Rinisni shfletuesin tuaj .

Pasi të aktivizoni TLS 1.0, provoni të vizitoni përsëri faqen e internetit.

Politika e sigurisë së sistemit

Nëse ndodhin akoma Gabimet SSL dhe TLS nëse ende nuk mund të përdorni SSL, serveri i uebit në distancë ndoshta nuk e mbështet TLS 1.0. Në këtë rast, është e nevojshme çaktivizoni politikën e sistemit e cila kërkon algoritme në përputhje me FIPS.

Lajme kompjuterike, rishikime, zgjidhje problemesh me kompjuter, lojëra kompjuterike, drejtues dhe pajisje dhe programe të tjera kompjuterike. "Title =" (! LANG: programe, drejtues, probleme me kompjuter, lojëra" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Për ta bërë këtë, në Panelet e kontrollit zgjidhni Administrata dhe pastaj klikoni dy herë në ikonën Politika lokale e sigurisë.

Në "Cilësimet e sigurisë lokale", zgjeroni Politikat Lokale dhe pastaj klikoni Opsionet e sigurisë.

Sipas politikës në anën e djathtë të dritares, klikoni dy herë Kriptografia e sistemit: përdorni algoritme në përputhje me FIPS për kriptim, hash dhe nënshkrim dhe pastaj klikoni I paaftë .

Kujdes! Ndryshimi hyn në fuqi pasi të riaplikohet politika lokale e sigurisë. Kjo eshte ndize dhe rinisni shfletuesin tuaj .

CryptoPro TLS SSL

Përditëso CryptoPro

Më tej, si një nga opsionet për zgjidhjen e problemit, është përditësimi i CryptoPro, si dhe konfigurimi i burimit. Në këtë rast, është duke punuar me pagesa elektronike. Prandaj, ne shkojmë në Qendrën e Certifikimit për të konfiguruar automatikisht burimin. Ne zgjedhim platformat e tregtimit elektronik si burim.

Vetëm pas fillimit të konfigurimit automatik të vendit të punës prisni derisa të përfundojë procedura, pastaj rinisni shfletuesin... Nëse duhet të futni ose zgjidhni një adresë burimi, zgjidhni atë që ju nevojitet. Gjithashtu, pas përfundimit të konfigurimit, mund t'ju duhet të rinisni kompjuterin tuaj.

Lajme kompjuterike, rishikime, zgjidhje problemesh me kompjuter, lojëra kompjuterike, drejtues dhe pajisje dhe programe të tjera kompjuterike. "Title =" (! LANG: programe, drejtues, probleme me kompjuter, lojëra" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Konfigurimi SSL TLS

Konfigurimi i rrjetit

Një tjetër opsion mund të jetë çaktivizoni NetBIOS mbi TCP / IP- ndodhet në vetitë e lidhjes.

Regjistrimi DLL

Drejtoni Command Prompt si Administrator dhe futni komandën regsvr32 cpcng... Për një OS 64-bit, duhet të përdorni regsvr32 që gjendet në syswow64.

Sesioni SMTP midis serverit dhe klientit nuk është i koduar si parazgjedhje. Kjo bën të mundur përgjimin e paketave dhe marrjen e informacionit konfidencial të transmetuar në tekst të qartë (përveç nëse përdoren metoda të tjera të kriptimit).

Përdorimi i protokollit TLS do të na ndihmojë të korrigjojmë këtë situatë, gjë që do të na lejojë të sigurojmë:

1. Konfidencialiteti (Ndërveprimi ndërmjet klientit dhe serverit zhvillohet në një të koduar
sesioni);

2. Integriteti (është e pamundur të pushtoni seancën pa u vënë re, korrupsioni i të dhënave do të zbulohet menjëherë);

3. Besueshmëria e vërtetimit (Klienti dhe serveri mund të shkëmbejnë certifikata të certifikuara nga një autoritet certifikues (CA).

Si funksionon TLS

TLS kodon lidhjen vetëm midis dy hosteve. Një seancë duke përdorur këtë protokoll vazhdon si më poshtë:

1. Klienti krijon një lidhje me serverin.

2. Hostët fillojnë të komunikojnë duke përdorur protokollin SMTP.

3. Serveri, duke përdorur fjalën kyçe STARTTLS, sugjeron përdorimin e TLS si pjesë e ndërveprimit SMTP.

4. Nëse klienti mund të përdorë TLS, ai i përgjigjet serverit me fjalën kyçe STARTTLS.

5. Certifikata publike e serverit nënshkruhet me çelësin privat dhe i dërgohet klientit.

6. Klienti verifikon vërtetësinë e certifikatës së serverit duke kontrolluar nënshkrimin e autoritetit të certifikimit kundrejt nënshkrimit publik të autoritetit certifikues në dyqanin rrënjësor.

7. Klienti kontrollon certifikatën e serverit për pajtueshmëri me vargun që ai përmban Emer i perbashket emri i domenit të serverit.

8. Klienti dhe serveri aktivizojnë modalitetin e enkriptimit të të dhënave.

9. Pritësit shkëmbejnë të dhëna.

10. Seanca përfundon.

Le të fillojmë krijimin e certifikatave për serverin e postës server.mydomain.ru , në të cilën Postfix vepron si MTA, dhe Dovecot vepron si MDA.

Krijimi i një certifikate të re është i lehtë - thjesht ekzekutoni skriptin dhe ekzekutoni disa komanda.

Ne gjenerojmë 2 skedarë - çelësin sekret të serverit dhe një kërkesë për nënshkrimin e certifikatës me komandën:

# openssl req -nyjet -newkey rsa: 2048 -keyout server.key -out server.csr

ku serveri është emri i serverit (në këtë rast, mund të jetë çdo gjë)

Plotësoni fushat (duke shtypur "Enter" lë vlerën e paracaktuar):

Emri i shtetit (kodi me 2 shkronja): RU
Emri i shtetit ose i krahinës (emri i plotë): Orenburgu
Emri i lokalitetit (p.sh. qyteti): Orsk
Emri i organizatës (p.sh., kompania): Kompania ime
Emri i njësisë organizative (p.sh., seksioni): TI
Emri i zakonshëm (p.sh., emri JUAJ): server.mydomain.ru
Adresa e emailit: postmaster @ mydomain.ru
Një fjalëkalim sfidues:
Një emër opsional i kompanisë:

Është shumë e rëndësishme të tregohet në terren Emer i perbashket Emri i hostit plotësisht i kualifikuar (FQDN) që korrespondon me të dhënat DNS të tipit MX dhe A

Ne shfrytëzojmë mundësinë për të marrë certifikata COMODO falas me një periudhë vlefshmërie prej 90 ditësh në shërbimin FreeSSL.su. Këto certifikata njihen lehtësisht nga të gjithë shfletuesit dhe klientët e postës elektronike.

Në faqen kryesore, plotësoni të gjitha fushat e nevojshme, në kolonën "Zgjidhni softuerin e përdorur" zgjidhni "Të tjera". Në fushë CSR futni përmbajtjen e skedarit të krijuar më parë server.csr .

Pas dërgimit të kërkesës dhe konfirmimit të saj, ne marrim arkivin çertifikatat.zip që përmban skedarët e mëposhtëm:

1. AddTrustExternalCARoot.crt;
2. server_mydomain_ru.crt;
3. ComodoUTNSGCCA.crt;
4. EssentialSSLCA_2.crt;
5. UTNAddTrustSGCCA.crt

Skedari server_mydomain_ru.crt është certifikata e kërkuar. Çfarë duhet të bëjmë me pjesën tjetër të skedarëve? Le ta bëjmë këtë - kombinojmë përmbajtjen e tyre në një skedar ca.txt (autoriteti i besuar i certifikatës CA ) në rendin e mëposhtëm:

1. EssentialSSLCA_2.crt
2. ComodoUTNSGCCA.crt
3. UTNAddTrustSGCCA.crt
4. AddTrustExternalCARoot.crt

Dosja e marrë ca.txt ne do të përdorim në të ardhmen:

Ne konfigurojmë serverin tonë të postës. Për ta bërë këtë, ne bëjmë ndryshime në konfigurimet. pëllumbash dhe postfiks .

Për pëllumbat:

dovecot.conf:

protokollet = pop3 imap imaps pop3s

protokolli pop3 (
dëgjo = *: 110
ssl_listen = *: 995
...........
}

imazhi i protokollit (
dëgjo = *: 143
ssl_listen = *: 993
...........
}

disable_plaintext_auth = jo # Mos e ndaloni hyrjen e hapur
ssl = po # Aktivizo mbështetjen ssl
ssl_cert_file = /etc/ssl/certs/dovecot.pem # skedar certifikate,
# vendosni lejet për të: rrënjë: rrënjë 0444
ssl_key_file = /etc/ssl/private/dovecot.pem # çelësi i serverit,
# rekomandohet të vendosni lejet: rrënjë: rrënjë 0400

ssl_verify_client_cert = po # duke kontrolluar vlefshmërinë e certifikatave të klientit
ssl_parameters_regenerate = 1 # Rigjeneroni parametrat çdo orë
# (vlera "0" çaktivizon rigjenerimin)
ssl_cipher_list = ALL:!LOW:!SSLv2 #shifror SSL
verbose_ssl = po # log ssl gabime në regjistër

Për të marrë ssl_cert_file duhet të bashkojë përmbajtjen e skedarëve server_mydomain_ru.crt dhe ca.txt , riemëroni skedarin që rezulton në dovecot.pem. Në rol ssl_key_file riemëruar skedarin e çelësit privat të serverit server.çelës gjeneruar më herët.

Për postfiks:

kryesore.krh

Smtp_use_tls = po # përdorni TLS nëse serveri në distancë raporton mbështetje për TLS
smtpd_use_tls = po # informoni klientët për mbështetjen TLS
smtpd_tls_auth_only = jo # përdorni vërtetimin SMTP për më shumë sesa thjesht lidhje TLS
smtp_tls_note_starttls_offer = po # regjistroni emrat e serverëve në regjistër,
# po lëshon mesazhe STARTTLS për të cilat mbështetja TLS nuk është e aktivizuar

smtpd_tls_CAfile = /etc/ssl/ca.txt # certifikatë e besuar
smtpd_tls_key_file = /etc/ssl/smtpd.key # çelës privat i serverit
smtpd_tls_cert_file = /etc/ssl/smtpd.crt # certifikatë serveri

smtpd_tls_loglevel = 2 # folje e mesazheve të aktivitetit TLS
smtpd_tls_received_header = po # kërko titujt e mesazheve me informacion
# në lidhje me versionin e protokollit dhe algoritmin e kriptimit
smtpd_tls_session_cache_timeout = 3600s # kohë gjatë së cilës të dhënat janë në cache
# sesione TLS konsiderohen të përditësuara
tls_random_source = dev: / dev / urandom # emri i pajisjes pseudo gjeneratori i numrave të rastësishëm (PRNG)

Në mënyrë që Postfix të pranojë lidhjet TLS në një port të veçantë (465 / SMTPS, jo 25 / SMTP), në skedar mjeshtër.krh është e nevojshme të çkomentohen rreshtat:

mjeshtër.krh

Smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode = po
-o smtpd_sasl_auth_enable = po
-o smtpd_client_restrictions = permit_sasl_autenticated, refuzo

Rinisni postfix dhe dovecot, kontrolloni regjistrat.

Mos harroni të hapni portat e nevojshme në murin e zjarrit: 993 (imaps), 995 (pop3s), 465 (smtps)

Serveri ynë i postës është gati për të punuar me të TLS !

Në mënyrë që klientët e postës të jenë në gjendje të përdorin saktë aftësitë e serverit të ri, duhet të vendosni në cilësimet e protokollit FQDN server, siç është specifikuar gjatë çelësit dhe kërkesës, dhe zgjidhni llojin e mbrojtjes së lidhjes SSL / TLS dhe përkatëse portet.

Në fund të periudhës 90-ditore të vlefshmërisë së certifikatave, ndiqni të njëjtën procedurë duke përdorur të njëjtën skedar për të kërkuar server.csr kështu që ju duhet të mbani një kopje të saj në një vend të sigurt. I gjithë procesi i përditësimit nuk do të zgjasë më shumë se 10 minuta!

TLS është pasardhësi i SSL, një protokoll që siguron lidhje të besueshme dhe të sigurta midis nyjeve në internet. Përdoret në zhvillimin e klientëve të ndryshëm, duke përfshirë shfletuesit dhe aplikacionet klient-server. Çfarë është TLS në Internet Explorer?

Pak për teknologjinë

Të gjitha ndërmarrjet dhe organizatat që janë të angazhuara në transaksione financiare përdorin këtë protokoll për të përjashtuar përgjimin e paketave dhe aksesin e paautorizuar nga hakerët. Kjo teknologji është krijuar për të mbrojtur lidhjet e ndjeshme nga sulmet me qëllim të keq.

Në thelb, organizata e tyre përdor një shfletues të integruar. Në disa raste, Mozilla Firefox.

Aktivizimi dhe çaktivizimi i protokollit

Disa sajte ndonjëherë nuk mund të aksesohen për shkak të faktit se mbështetja për teknologjitë SSL dhe TLS është e çaktivizuar. Një njoftim shfaqet në shfletues. Pra, si i mundësoni protokollet të vazhdojnë të gëzojnë komunikime të sigurta?
1.Hapni panelin e kontrollit nëpërmjet Start. Një mënyrë tjetër: hapni Explorer dhe klikoni në ikonën e ingranazhit në këndin e sipërm të djathtë.

2. Shkoni te seksioni "Vetitë e shfletuesit" dhe hapni bllokun "Advanced".

3. Kontrolloni kutitë pranë "Përdor TLS 1.1 dhe TLS 1.2".

4. Klikoni OK për të ruajtur ndryshimet. Nëse dëshironi të çaktivizoni protokollet, gjë që është shumë e dekurajuar, veçanërisht nëse përdorni banking në internet, zgjidhni të njëjtat artikuj.

Si ndryshon 1.0 nga 1.1 dhe 1.2? 1.1 është vetëm një version paksa i përmirësuar i TLS 1.0, i cili trashëgon pjesërisht të metat e tij. 1.2 është versioni më i sigurt i protokollit. Nga ana tjetër, jo të gjitha sajtet mund të hapen me këtë version protokolli të aktivizuar.

Siç e dini, Skype Messenger lidhet drejtpërdrejt me Internet Explorer si një komponent i Windows. Nëse nuk e keni protokollin TLS të kontrolluar në cilësimet, atëherë mund të keni probleme me Skype. Programi thjesht nuk do të jetë në gjendje të lidhet me serverin.

Nëse mbështetja TLS është çaktivizuar në cilësimet e Internet Explorer, të gjitha funksionet e programit të lidhura me rrjetin nuk do të funksionojnë. Për më tepër, siguria e të dhënave tuaja varet nga kjo teknologji. Mos e neglizhoni nëse kryeni transaksione financiare në këtë shfletues (blerje në dyqane online, transferta parash përmes bankingut në internet ose një portofol elektronik, etj.).