Benvenuti nella Guida per principianti a TLS e SSL. Faremo un'immersione profonda nelle applicazioni della cartografia a chiave asimmetrica o pubblica.
Cos'è la crittografia asimmetrica?
La crittografia a chiave pubblica è stata introdotta all'inizio del 1970. Insieme ad esso è venuta l'idea che invece di usare una singola chiave per crittografare e decrittografare un'informazione, è necessario utilizzare due chiavi separate: crittografia e decrittografia. Ciò significa che la chiave utilizzata per crittografare le informazioni non è rilevante per la questione di decrittografare tali informazioni. È anche noto come crittografia asimmetrica.
Questo è un concetto nuovo e per elaborare ulteriormente su di esso richiederebbe l'uso di calcoli molto intricati, quindi salveremo quella discussione per un'altra volta.
Cosa sono TLS e SSL?
TLS sta per la sicurezza del livello di trasporto, mentre SSL è un'abbreviazione per il livello di socket sicuro. Entrambi sono applicazioni di crittografia a chiave pubblica e insieme hanno reso gli utenti di Internet in grado di effettuare comunicazioni su Internet.
Cosa sono esattamente questi due è spiegato di seguito.
Come è diverso da SSL?
TLS e SSL utilizzano entrambi l'approccio asimmetrico alla crittografia per garantire le comunicazioni su Internet (Handshakes). La differenza principale tra i due è che SSL è risultato dall'innovazione commerciale, e quindi una proprietà alla sua società madre, che è Netscape. Al contrario, TLS è uno standard di task force di ingegneria Internet, una versione leggermente aggiornata di SSL. È stato chiamato diversamente per evitare problemi di copyright e potenzialmente una causa.
Per essere precisi, TLS viene fornito con alcuni attributi che lo separano da SSL. In TSL, le strette di mano sono stabilite senza sicurezza e sono rafforzate dal comando starttls, che non è il caso in SSL.
TSL è considerato un miglioramento su SSL perché consente di aggiornare le strette di mano che sono in genere non sicure o insicure.
Ciò che rende le connessioni TLS più sicure di SSL?
C'è stata una concorrenza intensa in corso nei mercati della sicurezza informatica. SSL 3.0 non poteva tenere il passo con Internet ed è stato reso obsoleto nel 2015. Ci sono diverse ragioni dietro questo, principalmente a che fare con le vulnerabilità che non avrebbero potuto essere corretti. Una di queste suscettibilità è la compatibilità di SSL con le cifre che sono in grado di resistere a moderni attacchi informatici.
La vulnerabilità rimane con TLS 1.0, poiché un intruso potrebbe forzare un SSL 3.0 connessione al client e quindi sfruttare la sua vulnerabilità. Questo non è più il caso del nuovo aggiornamento di TLS.
Quali misure possiamo prendere?
Se sei dalla fine ricevente, mantieni il tuo browser aggiornato. Al giorno d'oggi, tutti i browser sono dotati di supporto integrato per TLS 1.2, motivo per cui mantenere la sicurezza non è così difficile per i clienti. Tuttavia, gli utenti dovrebbero comunque prendere precauzioni quando vedono bandiere rosse. Praticamente tutti i messaggi di avvertimento dai browser indicano tali bandiere rosse. I browser Web moderni sono eccezionali nel rilevare se qualcosa di shady sta succedendo su un sito Web.
I siti Web di hosting di amministratori del server hanno maggiori responsabilità sulle spalle. C'è molto che puoi fare in questo senso, ma iniziamo a visualizzare un messaggio quando un client utilizza un software obsoleto.
Ad esempio, quelli che utilizzano le macchine Apache come server dovrebbero provare questo:
$ Ssloptions +stdenvvars
$ Requestheader set x-ssl-protocol %ssl_protocol s
$ Requestheader set x-ssl-cipher %ssl_cipher s
Se stai usando PHP, cerca $ _server all'interno dello script. Se dovessi imbatterti in tutto ciò che indica che TLS è obsoleto, un messaggio verrà visualizzato di conseguenza.
Per rafforzare meglio la sicurezza del tuo server, ci sono utility gratuite che provano il sistema per le suscettibilità a TLS e SSL Care. Alcuni di essi possono ancora meglio configurare il tuo server. Se ti piace quell'idea, dai un'occhiata al generatore di configurazione Mozilla SSL, che in pratica fa tutto il lavoro per impostare il tuo server per ridurre al minimo i rischi TLS e simili.
Se si desidera testare il tuo server per le suscettibilità SSL, controlla i laboratori SSL di Qualys. Esegue una configurazione automatizzata che è sia completa che complessa se sei orientato ai dettagli.
In sintesi
Tutto considerato, il peso della responsabilità sta sulle spalle di tutti.
Con l'avvento di computer e tecniche moderne, gli attacchi informatici sono diventati sempre più di impatto e su larga scala con il tempo. Tutti gli utenti di Internet devono avere un'adeguata conoscenza dei sistemi che proteggono la loro privacy online e prendono le precauzioni necessarie mentre comunicano su Internet.
In ogni caso, stai sempre molto meglio usando open source in quanto sono più sicuri, gratuiti e possono portare a termine il lavoro.