SSL vs TLS: Μάθετε τα πρωτόκολλά σας για το 2020

Η Google καταπατά την ασφάλεια του ιστότοπου. Ξεκινώντας με την έκδοση 62 του Chrome, όλοι οι ιστότοποι με πεδία εισαγωγής κειμένου θα χρειαστούν πιστοποιητικό SSL ή η Google θα επισημάνει τον ιστότοπο ως μη ασφαλή με ένα κόκκινο σημάδι προσοχής δίπλα στη διεύθυνση URL.


Η αλλαγή έρχεται επίσης σε μια ενδιαφέρουσα στιγμή, λαμβάνοντας υπόψη την πρόσφατη ώθηση για προγράμματα περιήγησης και διακομιστές να υποστηρίζουν το TLS. Ωστόσο, εάν είστε καινούργιοι στο παιχνίδι δημιουργίας ιστότοπων, όλες αυτές οι συντομογραφίες μπορεί να είναι αρκετές για να γυρίσετε το κεφάλι σας.

Είμαστε εδώ για να ξεκαθαρίσουμε τη σύγχυση σχετικά με το SSL και το TLS και να σας δείξουμε πώς να διατηρήσετε τον ιστότοπό σας στην πράσινη ζώνη. Θα συγκρίνουμε τι επιδιώκουν να επιτύχουν τα πρωτόκολλα ασφαλείας, θα εξετάσουμε τις τελευταίες κρυπτογραφημένες συνδέσεις και θα σας μεταφέρουμε αγοράζοντας ένα πιστοποιητικό για τον ιστότοπό σας.

SSL εναντίον TLS

Το SSL και το TLS κάνουν το ίδιο πράγμα. Είναι κρυπτογραφημένα πρωτόκολλα για μεταφορά δεδομένων. Λειτουργούν δημιουργώντας χειραψία μεταξύ δύο μηχανών. Η χειραψία περιλαμβάνει την κρυπτογράφηση, τον έλεγχο ταυτότητας και την ανταλλαγή κλειδιών. Μόλις γίνει αυτό, ανοίγει μια ασφαλής σύνδεση μεταξύ των μηχανημάτων.

Τα δεδομένα που μετακινούνται μεταξύ των μηχανών στη συνέχεια κρυπτογραφούνται και κατακερματίζονται σε ένα συγκεκριμένο μέγεθος, ανάλογα με το κρυπτογράφηση, και αποστέλλονται στο επίπεδο μεταφοράς δικτύου. Το cipher ασχολείται με την κρυπτογράφηση και όχι με τη χειραψία. Τα πρωτόκολλα SSL και TLS χρησιμοποιούνται απλά για να ολοκληρώσουν τη χειραψία και να συμφωνήσουν σε ένα μοντέλο κρυπτογράφησης.

Τι είναι το SSL & TLS?

Το SSL σημαίνει “Secure Sockets Layer”. Αναπτύχθηκε από την Netscape και κυκλοφόρησε για πρώτη φορά στο κοινό το 1995. Η δημόσια κυκλοφορία ήταν η έκδοση δύο και οι χάκερ βρήκαν γρήγορα τρόπους να το διαπεράσουν. Ένα χρόνο αργότερα, η Netscape κυκλοφόρησε την έκδοση τρία, η οποία θεωρήθηκε ασφαλής για οκτώ χρόνια.

Netscape

Το 2014, η επίθεση POODLE έκανε το SSL 3.0 ανασφαλές, αλλά κανείς δεν το ήξερε τότε. Το TLS (Transport Layer Security), το οποίο είναι μια πιο ασφαλής έκδοση του SSL, κυκλοφόρησε το 1999 και ήρθε με έναν μηχανισμό επαναφοράς στο SSL 3.0 για συμβατότητα προς τα πίσω.

Αυτή η συμβατότητα ενσωματώθηκε επειδή η επίθεση POODLE, μια εκμετάλλευση «man-in-the-middle», έκανε κατάχρηση αυτής της συμβατότητας προς τα πίσω (για να διαβάσετε περισσότερα σχετικά με τις επιθέσεις MitM, δείτε το άρθρο μας σχετικά με τους κινδύνους του δημόσιου WiFi).

Το TLS 1.1 κυκλοφόρησε το 2006 και το 1.2 ακολούθησε το 2008. Το TLS 1.2 είναι το τρέχον και το πιο ασφαλές πρωτόκολλο, αν και το 1.3 εγκρίθηκε νωρίτερα φέτος. Αναμένουμε ότι τα προγράμματα περιήγησης και οι διακομιστές θα το υποστηρίξουν σύντομα.

Τα πρωτόκολλα είναι διαφορετικά, αλλά όχι περισσότερο από τις διαφορετικές εκδόσεις του SSL. Η ίδια διαδικασία συμβαίνει, μια χειραψία μεταξύ δύο μηχανών, αλλά η έκδοση του πρωτοκόλλου καθορίζει πώς συμβαίνει.

Το πρόβλημα συμβατότητας προς τα πίσω

Η σύγχυση γύρω από το SSL και το TLS προέρχεται από συμβατότητα προς τα πίσω. Το TLS 1.2 διαθέτει υπολείμματα παλαιότερων εκδόσεων SSL για να το καταστήσει συμβατό με ξεπερασμένα προγράμματα περιήγησης. Ως εκ τούτου, πολλοί ιστότοποι δεν έχουν απενεργοποιήσει τις λειτουργίες που κάνουν ένα πρωτόκολλο όπως το TLS 1.2 μη ασφαλές.

Εκεί μπαίνει το TLS 1.3. Είναι σχεδιασμένο για να απενεργοποιεί τις λειτουργίες παλαιού τύπου και να επιταχύνει την απόδοση σε μια ασφαλή σύνδεση. Αντί να συμφωνήσει σε ένα μοντέλο κρυπτογράφησης, ο διακομιστής παρέχει το κλειδί κρυπτογράφησης με το TLS 1.3. Αυτό, θεωρητικά, καθιστά τις πολλαπλές επιθέσεις υποβάθμισης, οι οποίες αναγκάζουν τον διακομιστή να χρησιμοποιεί ένα παλαιότερο πρωτόκολλο, παρωχημένο.

Η τελευταία ενημέρωση είναι μια ώθηση προς το σύγχρονο Διαδίκτυο, εγκαταλείποντας το ξεπερασμένο μοντέλο που καθιερώθηκε από τις πρώτες εκδόσεις του SSL. Ας ελπίσουμε ότι, μέσα σε λίγα χρόνια, επιθέσεις όπως το POODLE δεν θα είναι τόσο ανησυχητικές όσο είναι σήμερα.

Χρήση του TLS στον ιστότοπό σας

Το πρωτόκολλο TLS που χρησιμοποιείται για τον ιστότοπό σας εξαρτάται από τον διακομιστή στον οποίο φιλοξενείτε. Οι καλύτεροι πάροχοι φιλοξενίας ιστοσελίδων χρησιμοποιούν αποκλειστικά τα TLS 1.1 και 1.2, ενώ το 1.0 προορίζεται γενικά για κατασκευαστές ιστότοπων που δεν περιλαμβάνουν το ηλεκτρονικό εμπόριο.

Η τελική έκδοση του TLS 1.3 δημοσιεύθηκε πριν από λίγες εβδομάδες, οπότε θα χρειαστεί χρόνος για να το υποστηρίξουν οι οικοδεσπότες ιστού. Το Kinsta, για παράδειγμα, έχει ήδη ασχοληθεί με την κυκλοφορία του TLS 1.3 και λαμβάνει μέτρα για την εφαρμογή του (διαβάστε την κριτική μας για το Kinsta).

Εφόσον χρησιμοποιείτε πιστοποιητικό SSL, η σύνδεση του επισκέπτη σας θα είναι κρυπτογραφημένη. Παρά το ξεπερασμένο σχήμα ονομάτων, τα πιστοποιητικά εξακολουθούν να λειτουργούν με τα πιο πρόσφατα πρωτόκολλα, ακόμη και το TLS 1.3. Το ίδιο το πιστοποιητικό δεν κρυπτογραφεί τίποτα.

Τα πιστοποιητικά χρησιμοποιούνται απλά ως μέθοδος επαλήθευσης. Διαφορετικές μορφές πιστοποιητικών SSL και TLS δείχνουν το επίπεδο εμπιστοσύνης που έχει ένα πρόγραμμα περιήγησης για τον τομέα σας. Θα τα δοκιμάσουμε στην επόμενη ενότητα.

Εάν διαθέτετε πιστοποιητικό, είτε είναι δωρεάν από το Dreamhost είτε ένα πληρωμένο από το HostGator, ο ιστότοπός σας μπορεί να συνδεθεί χρησιμοποιώντας το πιο πρόσφατο πρωτόκολλο που χρησιμοποιεί ο διακομιστής σας (διαβάστε την κριτική Dreamhost και την κριτική HostGator).

Υπάρχουν μερικοί τρόποι για να το ελέγξετε. Το πρώτο είναι μέσω της γνώσης του οικοδεσπότη Ιστού σας. Το GoDaddy, για παράδειγμα, έχει έναν μικρό πίνακα που δείχνει ποια έκδοση TLS υποστηρίζει ο διακομιστής σας, ανάλογα με το πρόγραμμα φιλοξενίας που χρησιμοποιείτε (διαβάστε την κριτική μας στο GoDaddy).

Μπορείτε επίσης να δοκιμάσετε τον διακομιστή ιστού σας χρησιμοποιώντας τη δοκιμή διακομιστή SSL από τα εργαστήρια SSL. Θα σας δείξει ποιο πρωτόκολλο χρησιμοποιεί ο διακομιστής σας, καθώς και τη μέθοδο κρυπτογράφησης και θα σας δώσει μια συνολική βαθμολογία.

Τύποι πιστοποιητικών SSL και TLS

Για άλλη μια φορά, τα πιστοποιητικά SSL ορίζονται καλύτερα ως “πιστοποιητικά που μπορούν να χρησιμοποιούν SSL και TLS”, επομένως θα τα ονομάσουμε πιστοποιητικά SSL για να αποφευχθεί η σύγχυση για αυτήν την ενότητα. Οπουδήποτε διαβάζετε SSL ή TLS χωρίς έκδοση πρωτοκόλλου, θα είναι το ίδιο πράγμα.

Επικυρωμένα πιστοποιητικά τομέα

Η πιο βασική μορφή πιστοποιητικού SSL είναι πιστοποιητικό επικυρωμένο από τομέα, το οποίο ελέγχει το μητρώο τομέα. Ουσιαστικά, επαληθεύει ότι ο τομέας που ένας χρήστης προσπαθεί να αποκτήσει πρόσβαση σε σημεία στον σωστό διακομιστή DNS.

Είναι το φθηνότερο πιστοποιητικό για λήψη, που συχνά περιλαμβάνεται σε πακέτα δωρεάν. Ο Jimdo, μία από τις καλύτερες επιλογές δημιουργίας ιστότοπων, περιλαμβάνει ένα πιστοποιητικό Let’s Encrypt DV δωρεάν, όπως κάνουν πολλοί κατασκευαστές ιστότοπων και οικοδεσπότες ιστού (διαβάστε την κριτική μας Jimdo).

Ωστόσο, τα πιστοποιητικά DV είναι υψηλού κινδύνου, καθώς τα προγράμματα περιήγησης συχνά δεν μπορούν να επικυρωθούν εάν η επιχείρηση στον ιστότοπο είναι νόμιμη. Στο Chrome, συνήθως θα βλέπετε το πρωτόκολλο https με μια κόκκινη κλειδαριά με κάθετο προς τα αριστερά.

Πιστοποιητικό DV

Εάν εκτελείτε ένα ιστολόγιο ή έναν προσωπικό ιστότοπο, ένα πιστοποιητικό DV είναι εντάξει, αλλά εάν ζητήσετε προσωπικά στοιχεία, ειδικά στοιχεία πιστωτικής κάρτας, θα πρέπει να χρησιμοποιείτε κάτι πιο δυνατό.

Επικυρωμένα από τον οργανισμό πιστοποιητικά

Έλεγχος πιστοποιητικών επικυρωμένων από τον οργανισμό έναντι της επιχείρησης ή του οργανισμού. Οι πράκτορες από την αρχή έκδοσης πιστοποιητικών θα ελέγχουν τις κυβερνητικές βάσεις δεδομένων μητρώου για να διασφαλίσουν ότι ο ιστότοπος είναι πραγματικός. Όλα τα δεδομένα σε ένα πιστοποιητικό OV είναι νόμιμα.

Εάν εκτελείτε μια εμπορική επιχείρηση στο διαδίκτυο, αυτό είναι το πιστοποιητικό που πρέπει να χρησιμοποιήσετε. Η διεύθυνση URL σας εξακολουθεί να χρησιμοποιεί https, αλλά θα υπάρχει ένα κλείδωμα δίπλα στη γραμμή διευθύνσεων. Στο Chrome, είναι πράσινο με τη λέξη “ασφαλής” προς τα δεξιά.

Πιστοποιητικό OV

Εκτεταμένο πιστοποιητικό επικύρωσης

Τα πιστοποιητικά OV είναι καλά, αλλά τα εκτεταμένα πιστοποιητικά επικύρωσης είναι καλύτερα. Τα πιστοποιητικά OV απαιτούν έναν μόνο έλεγχο από την ΑΠ, ενώ τα πιστοποιητικά EV απαιτούν συνεχή παρακολούθηση βάσει των οδηγιών για εκτεταμένη επικύρωση.

Η διαδικασία επαλήθευσης είναι πολύ πιο αυστηρή και η τιμή είναι πολύ υψηλότερη. Ωστόσο, για τα μεγάλα διαδικτυακά καταστήματα, ένα πιστοποιητικό EV μπορεί να βελτιώσει την εμπιστοσύνη των καταναλωτών και να αυξήσει τις διαδικτυακές πωλήσεις.

Για οτιδήποτε άλλο, το πιστοποιητικό είναι σε μεγάλο βαθμό περιττό. Ακόμη και σημαντικοί ιστότοποι που δεν συλλέγουν πληροφορίες χρήστη δεν χρησιμοποιούν πιστοποιητικά EV. Εάν χρησιμοποιείτε ένα, το πρόγραμμα περιήγησης θα εμφανίσει μια πράσινη γραμμή διευθύνσεων με κλειδαριά, μαζί με το όνομα της εταιρείας σας.

Πιστοποιητικό EV

Τελικές σκέψεις

Δεν υπάρχει έλλειψη συγκεχυμένων ακρωνύμων όσον αφορά την ασφάλεια στον κυβερνοχώρο και η αλλαγή από SSL σε TLS δεν βοηθάει αυτό. Αν και τα πρωτόκολλα είναι διαφορετικά, επιτυγχάνουν τον ίδιο στόχο: μια ασφαλή σύνδεση μεταξύ του διακομιστή και του χρήστη.

Όσον αφορά τα πιστοποιητικά, οι όροι είναι εναλλάξιμοι, οπότε μην ανησυχείτε για την αναβάθμιση ενός πιστοποιητικού SSL σε ένα πιστοποιητικό TLS. Είναι το ίδιο πράγμα.

Αν ψάχνετε για παρόχους φιλοξενίας ιστοσελίδων που μπορούν να σας καθοδηγήσουν στη διαδικασία, φροντίστε να διαβάσετε την καλύτερη φθηνή φιλοξενία ιστοσελίδων για να μάθετε πώς να το κάνετε χωρίς πολύ νόμισμα.

Υπάρχει κάτι άλλο που σας ενδιαφέρει με τις συνδέσεις SSL ή TLS; Ενημερώστε μας στα παρακάτω σχόλια και, όπως πάντα, σας ευχαριστούμε που διαβάσατε.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map