Протокол TLS: що слід знати

Протокол TLS

TLS – це сучасний стандарт шифрування (SSL старіше)

Протокол TLS використовується протоколом HTTPS (серед іншого) для шифрування та автентифікації комп’ютерів, які беруть участь у будь-якому спілкуванні в Інтернеті.

Ми живемо у світі, який все більше пов’язаний з цифровими зв’язками, де мережевий протокол транспортного рівня (TLS) має надзвичайно важливе значення для захисту людей від цифрового шахрайства.

Коротко: TLS – це шифрування, яке використовує сьогодні кожен. SSL застаріла. Коли фахівці говорять про SSL, вони мають на увазі TLS 😉

Давайте розглянемо світ сертифікатів TLS, SSL та HTTPS.

SSL/TLS означає “Secure Sockets Layer” та “Transport Layer Security”

Безпека транспортного рівня (Протокол TLS) та захищений сокет (Протокол SSL) – це обидва мережеві протоколи, які дозволяють передавати дані конфіденційно та безпечно між веб-сервером та броузером (веб-переглядачем).

Технічно TLS складається з двох частин:
  • Рівень «рукостискання» TLS управляє тим, який шифр (тип алгоритму шифрування) буде використовуватися, автентифікація (використовуючи сертифікат, що відповідає вашому доменному імені та організації), та обмін ключами (на основі пари державно-приватного ключа з сертифікатом). Процес «рукостискання» виконується лише один раз, щоб встановити безпечне мережеве з’єднання для обох сторін.
  • Рівень запису TLS отримує дані з користувацьких програм, шифрує його, фрагментує його до відповідного розміру (визначається шифром) і надсилає його до мережевого транспортного рівня.

TLS встановлює зашифрований двонаправлений мережевий тунель для довільної передачі даних між двома хостами. Протокол TLS найчастіше використовується разом з іншими Інтернет-протоколами, такими як HTTPS, SSH, FTPS та безпечною електронною поштою.

У 1999 році TLS замінив старіший протокол SSL як шифрування, яке використовує більшість. Ця зміна була зроблена головним чином, щоб уникнути юридичних проблем з компанією Netscape, яка створила SSL, щоб цей протокол міг бути розроблений як відкритий стандарт, який є безкоштовним для всіх.

HTTP проти HTTPS

HTTPS – це протокол HTTP, вбудований в протокол TLS. HTTP піклується про всю механіку веб-серфінгу, а TLS дбає про шифрування даних, що надсилаються по мережі, та перевірку ідентифікації хоста сервера за допомогою сертифіката.

Веб-сервери все частіше йдуть лише за протоколом HTTPS, не тільки з міркувань безпеки, але й через інші практичні аргументи:

  • Деякі постачальники браузера зараз вимагають HTTPS для певних функцій браузера (наприклад, географічне розташування). І Google і Firefox мають намір поетапно скасувати незашифрований HTTP у своїх браузерах. Таким чином, спільнота веб-переглядачів натискає на стандарт HTTPS.
  • Користувачі очікують, що рядок URL-адреси, що містить вказівки щодо довіри та безпеки (наприклад, значок замка), без будь-яких попереджень про безпеку, особливо на сайтах електронної комерції та інших сайтах із конфіденційними даними.
Це також може збільшити рейтинг вашого сайту для пошукової системи Google.

Відмінності між протоколами SSL, SSL v3 та TLS

Кілька версій SSL і TLS були випущені протягом багатьох років:

  • 1995 : SSL v2 був першим публічним релізом SSL від Netscape.
  • 1996 : SSL v3 – це нова версія, яка виправлена ​​кількома недоліками безпеки SSL v2. До 2004 року v3 був визнаний незахищеним через атаку POODLE .
  • 1999 : TLS v1.0 був випущений за допомогою резервного механізму SSL для зворотної сумісності.
  • 2006 : TLS v1.1
  • 2008 : TLS v1.2 – це стандарт TLS що використовується в більшості випадків.
  • 2018 : TLS v1.3 – з кінця березня поточний стандарт TLS.

Більшість програм, таких як веб-переглядачі, сумісні з деякими старими версіями протоколу SSL, хоча SSL поступово поступово зникає на користь кращої безпеки TLS.

Плюси і мінуси

Переваги для тих, хто використовує шифрування, користуються для захисту конфіденційної інформації свого сайту (і клієнтів). Це особливо стосується електронної комерції та сайтів, пов’язаних із охороною здоров’я.

Плюси: SSL / TLS Security

Переваги трафіку Вашого сайту від служби TLS можна отримати двома способами:

  • Запобігання вторгнень у взаємовідносини між вашим веб-сайтом та броузерами (веб-переглядачами). Зловмисники можуть бути зловмисниками або доброякісними загарбниками, такими як інтернет-провайдери чи готелі, які вводять рекламу на сторінки. Важливі дані, такі як облікові дані користувача, дані про кредитні картки та інформацію про електронну пошту, ніколи не повинні з’являтися в мережі.
  • Запобігати зловмисникам пасивно слухати повідомлення з вашого серверу. Це дещо невловима, але зростаюча загроза безпеки (також підтверджена витоком Сноудена).

Важливість цих плюсів не може бути завищена – особливо для сайтів електронної комерції, які залежать від отримання та збереження довіри користувачів до продажу з сайту.

Мінуси: SSL / TLS «Рукостискання»

Як би добре це не виглядало, TLS має кілька недоліків:

  1. Протокол TLS додасть затримку трафіку вашого сайту.
  2. Рукостискання є ресурсоємним. Протокол використовує асиметричне шифрування, щоб створити ключ сеансу, який потім дозволяє клієнту та серверу перейти на більш швидке симетричне шифрування.
  3. Протокол TLS додасть складність у керування вашим сервером. Вам потрібно буде отримати сертифікат, встановлений на вашому веб-сервері та підтримувати дійсність цього сертифіката. В даний час існують автоматизовані інструменти для керування сертифікатами (перевіреними доменом).
  4. MaxCDN виявив затримку 5ms під час тестування зашифрованих з’єднань порівняно з незашифрованими з’єднаннями. Тести показали, що пік збільшення використання центрального процесора також становить близько 2%. Проте «навіть з десятками паралельних запитів і сотень послідовних запитів, використання процесора ніколи не перевищувало 5%».

Що стосується продуктивності всього з’єднання, MaxCDN зробив висновок: «Шифрування додає крок у початковому процесі з’єднання. Накладні витрати на поточні підключення є незначними у порівнянні з незашифрованими з’єднаннями».

З наближенням стандарту HTTP/2, настроювання TLS-з’єднання буде значно швидшим завдяки його паралельному дизайну (менше обхідних мереж, необхідних для обміну даними).

Крім того, хоча сам стандарт HTTP/2 не потребує використання шифрування, більшість реалій клієнта (Firefox, Chrome, Safari, Opera, IE, Edge) заявили, що підтримують HTTP/2 лише через TLS, що робить де-факто шифрування обов’язковим.

Firefox, Chrome, Safari, Opera, IE, Edge заявили, що підтримують HTTP/2 лише через TLS, що робить де-факто шифрування обов’язковим.

Типи сертифікатів TLS / SSL

Нарешті нові веб-сайти мають тенденцію до використання HTTPS ще на стадії розробки. Сертифікати можна отримати у Сертифікаційних органів яких є досить багато. Ми коротко розглянемо три основні типи нижче.

Розширене перевірка (EV)

Сертифікати EV мають зелений адресний рядок – це визнаний символ довіри в Інтернеті. Сертифікати EV є провідними сертифікатами TLS. Сайти, для яких безпека та довіра споживачів є основоположними елементами, такими як великі сайти електронної комерції, повинні серйозно розглянути EV сертифікат.

Ці сертифікати, однак, є найдорожчими, оскільки процес розширеної організаційної перевірки здійснюється на основі багатьох критеріїв надання.

Перевірка компанії (OV)

Сертифікати OV не поставляються з зеленою адресною смужкою, але активуються ряд показників довіри браузера. Сертифікат OV вимагає перевірки підприємства у Сертифікаційному центрі. Назва організації буде вказана в сертифікаті, що посилює довіру.

Сертифікат OV використовуються корпораціями, урядами та іншими організаціями, які хочуть забезпечити додатковий рівень довіри своїм відвідувачам. Сертифікати OV. особливо важливі для веб-сайтів електронної комерції, якщо сертифікат EV недосяжний з будь-якої причини.

Перевірка домену (DV)

Сертифікати DV пропонують галузеве стандартне шифрування (на тому ж рівні, що й інші типи сертифікатів), але не багато іншого. Окрім низької (або навіть безкоштовної*) вартості, інша перевага сертифіката домену (DV) – це можливість бути виданим через декілька хвилин, оскільки Орган сертифікації повинен лише підтвердити, що ви володієте доменом, який ви хочете захистити, – це часто автоматизований процес. «Безкоштовність» самого Сертифікату DV зовсім не означає, що власнику сайту він обійдеться безкоштовно, – налаштування потребує фахових знань в галузі адміністрування сайтів. Крім того, підготовка самого сайту до переходу на захищений протокол потребує заміни УСІХ урл-адрес сайту в базі даних на нові (захищені), а це витрачений час та компетенція у структурі встановленої ЦМС, а значить – потребує оплати.

В залежності від особливостей «двигунця» (ВордПресс, Джумла, ОпенКарт та ін.) та кількості записів (індексованих сторінок) правильна сертифікація сайту може коштувати від 35$ і зайняти декілька діб по процедурі.

Порада від Horus267:

Для компенсації втрат швидкості завантаження сторінок сайту, а додаткові запити броузера до Центру Сертифікації займають дещицю часу, рекомендую одночасно налаштовувати і сервіс CDN. В багатьох випадках ви не тільки компенсуєте втрати швидкості, але й отримаєте виграш! Про послугу сервісу CDN читайте окремий допис.

На завершення

У минулому для власників веб-сайтів часто було складно отримати сертифікат. Хостинг-провайдери витрачають надто багато часу, інтегруючи різні інструменти та керуючи ручними процесами у своєму бізнесі. І вартість сертифіката іноді була значимим фактором для невеликих та/або некомерційних власників веб-сайтів.

У 2014 році група компаній та некомерційних організацій, в тому числі Electronic Frontier Foundation, Mozilla, Cisco та Akamai, оголосила Let’s Encrypt – вільний, автоматизований та відкритий Сертифікат. Цей проект виявився першопрохідцем з точки зору кількості сертифікованих доменів, що використовуються в даний час.

Сертифікат Let’s Encrypt має свої недоліки. Поновлювати його слід кожних 9-ть місяців. Невчасне поновлення призводить до втрат позицій у ранжуванні Пошуковика, що нівелює зусилля та кошти витрачені на СЕО. Більшість хостингів, що підключені до проекту Let’s Encrypt не продовжують його автоматично. Цю роботу повинен виконувати ваш адміністратор сайту.

У 2016 році Symantec розпочав свою ініціативу «Шифрування скрізь», спрямовану на те, щоб кожний законний веб-сайт був захищений до 2018 року, використовуючи бездоганний сертифікаційний процес.

Програма Symantec допомагає партнерам веб-хостингу пропонувати основне шифрування без додаткових витрат для хостинг-клієнта. Symantec надає базові сертифікати хостам, які, в свою чергу, можуть забезпечити повністю інтегроване SSL-шифрування будь-якому новому або поновлюваному клієнту (через їх інтерфейс cPanel чи інший).

Власникам shared-хостингу слід знати, що для встановлення TTL/SSL сертифікатів необхідно придбати на хостингу виділену IP-адресу. Витрати ~ 20-25$ 

КОРИСНІ ПОСИЛАННЯ

Для зручності користувачів ми розміщуємо тут посилання, які будуть корисні при самостійному вивченні TLS і при роботі з цією технологією на практиці.

Можливо, ви ділитесь набагато більшою кількістю особистої інформації, ніж ви думаєте

Протокол TLS - Big Data

Якщо вам потрібна допомога/порада у налаштуваннях TLS

заповніть Заявку нижче