SSL / TLS 101 cho người mới bắt đầu

Một cái nhìn sâu sắc về mã hóa bảo mật các kết nối internet của chúng tôi


Mặc dù Netscape ban đầu đã phát minh ra SSL vào giữa những năm 90, nhưng nó đã trở thành bắt buộc đối với mọi trang web để cài đặt chứng chỉ SSL / TLS cho đến Mùa hè năm 2018 khi Google bắt đầu đánh dấu các trang web không được mã hóaKhông an toàn.Giáo dục

Mặc dù Google – với công cụ tìm kiếm, trình duyệt Chrome và HĐH Android – có thể xác định lại internet một cách đơn phương, nhưng nó không đơn độc trong nhiệm vụ này. Apple, Microsoft, Mozilla và các bên liên quan lớn khác trong ngành công nghệ đều đã đưa ra quyết định phối hợp để ủy quyền chứng chỉ SSL / TLS và HTTPS.

Lý do rất đơn giản: không có SSL / TLS và khả năng kết nối an toàn qua HTTPS, mọi liên lạc giữa các trang web và khách truy cập của họ sẽ được trao đổi trong bản rõ và dễ dàng đọc được bởi bên thứ ba.

Nhược điểm duy nhất của sự thúc đẩy mã hóa phổ quát gần đây là nó đã buộc một lượng khách hàng mới vào một thị trường xa lạ, một điều rất ít làm cho nó trở nên ít gây nhầm lẫn cho trang web hoặc chủ doanh nghiệp trung bình.

Bài viết này sẽ phục vụ như một hướng dẫn toàn diện cho tất cả mọi thứ SSL / TLS, chúng tôi sẽ đặt nền tảng bằng cách đi qua các khái niệm cơ bản như mã hóa, HTTPS và bản chất của kết nối internet.

Hy vọng rằng, cuối cùng, bạn sẽ cảm thấy tự tin về việc chọn, mua và triển khai chứng chỉ TLS và nhớ nếu bạn có bất kỳ câu hỏi nào mà bạn có thể để lại trong các nhận xét bên dưới.

Yếu tố nền tảng

Hãy bắt đầu bằng cách thảo luận về khái niệm nằm ở trung tâm của tất cả những điều này: mã hóa.

Mã hóa, trong lần lặp đơn giản nhất của nó, ít hơn nhiều so với việc xáo trộn dữ liệu – sử dụng một mật mã hoặc khóa được xác định trước – để bất kỳ ai cũng có thể đọc được ngoại trừ một bên khác có cùng khóa riêng.

Trong suốt lịch sử, mã hóa khóa riêng là mô hình phổ biến nhất được sử dụng. Trong mã hóa khóa riêng, cả hai bên phải sở hữu hoặc ít nhất trao đổi một khóa riêng có thể được sử dụng để cả mã hóa và giải mã thông tin.

Ban đầu, hầu hết các mật mã làm nền tảng cho các hệ thống mật mã này là nguyên thủy, dựa vào các thay thế đơn giản hoặc thay thế các từ phổ biến bằng các ký tự. Nhưng theo thời gian, mật mã bị ảnh hưởng nhiều hơn bởi toán học và ngày càng phức tạp.

Ví dụ, vào giữa những năm 1600 ở Pháp, nhà mật mã học King Louis XIV, đã tạo ra một mật mã được thiết kế tốt đến mức nó đã bị phá vỡ cho đến 250 năm sau và chỉ sau đó một phần. Cho đến ngày nay, có hàng trăm năm kỷ lục giá trị trong kho lưu trữ của Pháp có thể không bao giờ được giải mã.

Nhưng trong khi tiền mã hóa trong lịch sử là một phương tiện để bí mật hoặc bí mật, sự ra đời của internet đã đưa khái niệm này trở nên chủ đạo hơn. Internet có mặt khắp nơi, và nó xử lý một loạt các chức năng quan trọng. Mỗi ngày, hàng tỷ người sử dụng nó để truy cập và gửi thông tin nhạy cảm, quản lý tài chính của họ, giao dịch với các doanh nghiệp bạn đặt tên cho nó.

Vấn đề là Internet đã được thiết kế hoàn toàn theo quy mô của những gì nó đã trở thành. Ban đầu, vào thời mà giới hàn lâm và chính phủ Hoa Kỳ lần đầu tiên phát triển các giao thức mạng, internet chỉ được coi là một cơ chế trao đổi thông tin miễn phí giữa chính phủ và các tổ chức học thuật. Tại thời điểm đó, hoạt động thương mại là bất hợp pháp trực tuyến. Thương mại điện tử không phải là một từ thậm chí đã được phát minh. Và trang web là một khái niệm địa lý.

Vì vậy, khi HTTP hoặc Giao thức truyền siêu văn bản được giới thiệu lần đầu tiên vào năm 1991, thực tế là các kết nối mà nó tạo thành dữ liệu trao đổi trong bản rõ không phải là vấn đề không đủ tiêu chuẩn.

Mọi thứ ngày nay đã khác xưa rất nhiều. Thông tin được trao đổi trực tuyến là nghiên cứu học thuật hoặc thông tin có sẵn miễn phí, đó là thông tin nhận dạng cá nhân và dữ liệu nhạy cảm có thể khiến người ta phải trả tiền hoặc thậm chí, ở một số vùng, cuộc sống của họ. Điều này đòi hỏi một cách tiếp cận an toàn hơn.

Câu trả lời là mã hóa.

Vấn đề trao đổi chìa khóa

Một vấn đề trong lịch sử đã gây khó chịu ngay cả các hệ thống mật mã tốt nhất vẫn tiếp tục tồn tại cho đến ngày nay.

Những gì chúng ta đã thảo luận trước đó, và theo truyền thống là tiêu chuẩn cho mã hóa, là mã hóa khóa riêng. Đây cũng được gọi là mã hóa đối xứng, hoặc mã hóa hai chiều, với các khóa riêng xử lý cả chức năng mã hóa và giải mã cần thiết để giao tiếp.

Để mã hóa khóa riêng hoạt động, khóa riêng phải được chuyển giữa các bên hoặc cả hai bên cần sở hữu bản sao của riêng mình. Dù bằng cách nào, bảo mật khóa riêng rất quan trọng đối với tính toàn vẹn của hệ thống mật mã và, như bạn không thể nghi ngờ, phỏng vấn khóa là một vấn đề lâu đời như chính mã hóa.

Sau đó, vào những năm 1970 – về mặt kỹ thuật hai thời điểm khác nhau, cách nhau cả một đại dương – một hình thức mã hóa mới đã được khái niệm hóa và đưa vào cuộc sống: mã hóa khóa công khai.

Trong khi mã hóa khóa riêng là chức năng hai chiều, đối xứng, với khóa riêng có khả năng mã hóa và giải mã dữ liệu, mã hóa khóa chung là không đối xứng; một chiều. Thay vì một khóa riêng, có một cặp khóa công khai. Khóa công khai xử lý mã hóa và, như tên của nó ngụ ý, có sẵn công khai trong khi khóa riêng xử lý giải mã, được giữ bí mật bởi chủ sở hữu của nó. Sử dụng khóa chung, người ta có thể mã hóa một phần dữ liệu và gửi cho chủ sở hữu khóa chính, nơi chỉ họ mới có thể giải mã nó.

Tuyệt vời, nhưng nó hữu ích như thế nào?

Chà, mã hóa một chiều không phải là lý tưởng để mã hóa các kết nối internet, nó rất khó giao tiếp khi một bên chỉ có thể mã hóa và bên kia chỉ có thể giải mã. Không, để mã hóa kết nối internet, bạn cần sử dụng mã hóa khóa riêng, đối xứng.

Nhưng làm thế nào để bạn trao đổi chìa khóa? Đặc biệt là trực tuyến?

Mã hóa khóa công khai.

Và điều đó, được chắt lọc vào chính bản chất của nó, đó là tất cả những gì về SSL / TLS: trao đổi khóa an toàn.

Đây là nơi chúng tôi sẽ liên kết tất cả các khái niệm này lại với nhau. Nếu bạn muốn liên lạc của bạn với một trang web là riêng tư, thì bạn cần kết nối với nó một cách an toàn. Nếu bạn muốn kết nối an toàn với trang web đó, thì bạn cần trao đổi khóa riêng đối xứng để bạn có thể sử dụng chúng để liên lạc. SSL / TLS (và PKI nói chung) chỉ là một cơ chế ưa thích để tạo và trao đổi khóa phiên đó.

Sử dụng SSL / TLS, bạn có thể xác thực máy chủ hoặc tổ chức mà bạn sắp kết nối và đảm bảo rằng bạn trao đổi an toàn các khóa riêng tư mà bạn sẽ sử dụng để mã hóa thông tin liên lạc của bạn với bên dự định.

Thật không may, SSL / TLS và PKI có rất nhiều thuật ngữ và bộ phận chuyển động có thể dễ dàng gây nhầm lẫn cho mọi người, nhưng những người này tin rằng khi bạn loại bỏ tất cả toán học và thuật ngữ kỹ thuật, đây chỉ là một giải pháp công nghệ hiện đại thanh lịch vấn đề -old: trao đổi khóa.

Bây giờ hãy để Lướt qua một vài thuật ngữ chính

Trước khi chúng ta tiến xa hơn, hãy để Lướt qua một vài điều khoản quan trọng khác. Chúng tôi đã giới thiệu HTTP, giao thức truyền siêu văn bản, vốn là xương sống của internet trong nhiều thập kỷ. Nhưng như chúng ta đã thảo luận, internet đã phát triển thành một thứ khác nhiều so với khi HTTP được xuất bản lần đầu tiên vào năm 1991.

Một giao thức an toàn hơn là cần thiết. Do đó, HTTPS.

HTTPS, đôi khi được gọi là HTTP qua TLS, sử dụng mã hóa để hiển thị dữ liệu được trao đổi trong khi kết nối không thể đọc được cho bất kỳ ai trừ bên dự định. Điều này đặc biệt quan trọng khi bạn xem xét bản chất của kết nối internet hiện đại.

Trong khi những ngày đầu của Internet, một kết nối là trực tiếp hợp lý, thì bây giờ các kết nối được chuyển qua hàng chục thiết bị trên đường đến đích cuối cùng. Nếu bạn đã từng muốn trình diễn thực tế về điều này, hãy mở dấu nhắc lệnh trên hệ điều hành của bạn và nhập lệnh Cấm tracert geekflare.com.

Những gì bạn có thể nhìn thấy là con đường mà kết nối của bạn đi trên đường đến đích. Lên đến 30 lần nhảy. Điều đó có nghĩa là dữ liệu của bạn đi qua từng thiết bị đó trước khi đến bất kỳ trang web hoặc ứng dụng nào mà bạn đang kết nối. Và nếu bất cứ ai có trình thám thính gói hoặc trình nghe nào đó được cài đặt trên bất kỳ một trong những thiết bị đó, họ có thể đánh cắp mọi dữ liệu được truyền và thậm chí thao túng kết nối trong một số trường hợp.

Đây được gọi là một cuộc tấn công trung gian (MITM).

Nếu bạn muốn tìm hiểu về cuộc tấn công MITM, thì kiểm tra khóa học trực tuyến này.

Có rất nhiều diện tích bề mặt để kết nối với các kết nối internet hiện đại hơn so với đại đa số mọi người nhận ra, đó là lý do tại sao việc mã hóa dữ liệu trong quá trình truyền tải là rất quan trọng. Bạn không biết ai có thể lắng nghe, hoặc làm thế nào dễ dàng để làm.

Kết nối HTTP được thực hiện thông qua cổng 80. Đối với mục đích của chúng tôi, bạn có thể nghĩ về các cổng như các cấu trúc biểu thị một dịch vụ mạng hoặc giao thức. Một trang web tiêu chuẩn được phục vụ qua HTTP sử dụng cổng 80. HTTPS thường sử dụng cổng 443. Khi một trang web cài đặt chứng chỉ, nó có thể chuyển hướng các trang HTTP của nó sang HTTPS và người dùng Trình duyệt sẽ cố gắng kết nối an toàn qua cổng 443, chờ xác thực.

Thật không may, các thuật ngữ SSL / TLS, HTTPS, PKI và mã hóa đều bị đảo lộn rất nhiều, thậm chí đôi khi được sử dụng thay thế cho nhau, vì vậy để xóa bất kỳ sự nhầm lẫn kéo dài nào, dưới đây, hướng dẫn nhanh:

  • SSL – Lớp cổng bảo mật, giao thức mã hóa ban đầu được sử dụng với HTTPS
  • TLS – Transport Layer Security, giao thức mã hóa gần đây đã thay thế SSL
  • HTTPS – Phiên bản bảo mật của HTTP, được sử dụng để tạo kết nối với các trang web
  • PKI – Cơ sở hạ tầng khóa công khai, đề cập đến toàn bộ mô hình ủy thác tạo điều kiện cho mã hóa khóa công khai

SSL / TLS hoạt động kết hợp để kích hoạt các kết nối HTTPS. Và PKI đề cập đến toàn bộ khi bạn thu nhỏ.

Hiểu rồi? Đừng lo lắng, bạn sẽ.

Xây dựng cơ sở hạ tầng khóa công khai

Bây giờ, chúng tôi đã đặt nền móng cho phép thu nhỏ và nhìn vào kiến ​​trúc được sử dụng bởi mô hình ủy thác ở trung tâm của SSL / TLS.

Khi bạn đến một trang web, điều đầu tiên trình duyệt của bạn làm là xác minh tính xác thực của chứng chỉ SSL / TLS mà trang web trình bày. Chúng tôi sẽ nhận được những gì xảy ra sau khi xác thực đó diễn ra trong một vài phần, nhưng chúng tôi sẽ bắt đầu bằng cách thảo luận về mô hình ủy thác làm cho tất cả điều này có thể.

Vì vậy, chúng tôi sẽ bắt đầu bằng cách đặt câu hỏi: làm thế nào để máy tính của tôi biết có tin tưởng một chứng chỉ SSL / TLS nhất định không?

Để trả lời điều đó, chúng tôi sẽ cần thảo luận về PKI và các yếu tố khác nhau để làm cho nó hoạt động. Chúng tôi sẽ bắt đầu với các chương trình cấp chứng chỉ và Root.

Cơ quan cấp chứng chỉ

Tổ chức phát hành chứng chỉ là một tổ chức tuân thủ một bộ các tiêu chuẩn được xác định trước để đổi lấy khả năng cấp chứng chỉ kỹ thuật số đáng tin cậy.

Có hàng tá CA, cả miễn phí và thương mại, có thể cấp chứng chỉ tin cậy.

Tất cả đều phải tuân thủ một bộ tiêu chuẩn đã được tranh luận và lập pháp thông qua Diễn đàn CA / Trình duyệt, hoạt động như cơ quan quản lý cho ngành công nghiệp TLS. Các tiêu chuẩn này phác thảo những thứ như:

  • Các biện pháp bảo vệ kỹ thuật phải được áp dụng
  • Thực tiễn tốt nhất để thực hiện xác nhận
  • Thực hành tốt nhất
  • Thủ tục thu hồi và thời gian
  • Yêu cầu ghi nhật ký chứng chỉ

Các hướng dẫn này đã được các trình duyệt đặt ra, kết hợp với các CA. Các trình duyệt đóng một vai trò duy nhất trong hệ sinh thái TLS.

Không ai có thể truy cập bất cứ nơi nào trên internet mà không có trình duyệt web của họ. Như vậy, nó là một trình duyệt sẽ nhận và xác nhận chứng chỉ TLS kỹ thuật số và sau đó trao đổi khóa với máy chủ. Vì vậy, với vai trò tối quan trọng của họ, họ chịu ảnh hưởng đáng kể.

Và điều quan trọng là phải nhớ rằng các trình duyệt đã được thiết kế để trở nên đa nghi nhất có thể. Không tin tưởng gì cả. Đây là cách tốt nhất để giữ an toàn cho người dùng của họ. Vì vậy, nếu một trình duyệt sẽ tin tưởng vào một chứng chỉ kỹ thuật số – có khả năng bị lạm dụng để gây bất lợi cho người dùng – thì nó cần một sự đảm bảo chắc chắn rằng bất cứ ai cấp chứng chỉ này đều có trách nhiệm.

Đây là vai trò và trách nhiệm của Cơ quan Chứng nhận. Và các trình duyệt cũng không tuân theo các lỗi. Có một nghĩa địa theo nghĩa đen của các cựu CA đã chạy các trình duyệt và được đưa ra đồng cỏ.

Khi Cơ quan cấp chứng chỉ đã chứng minh sự tuân thủ các yêu cầu cơ bản của Diễn đàn CAB và đã vượt qua tất cả các kiểm toán và đánh giá cần thiết, họ có thể kiến ​​nghị các chương trình gốc khác nhau để thêm chứng chỉ gốc.

Chương trình gốc

Một chương trình gốc – những chương trình chính được điều hành bởi Apple, Microsoft, Google và Mozilla – là bộ máy giám sát và tạo điều kiện cho các cửa hàng gốc (đôi khi được gọi là cửa hàng ủy thác), là các bộ sưu tập chứng chỉ Root CA nằm trên hệ thống người dùng. Một lần nữa, những gốc rễ này cực kỳ có giá trị và cực kỳ nguy hiểm – rốt cuộc chúng có thể cấp chứng chỉ kỹ thuật số đáng tin cậy – vì vậy bảo mật là mối quan tâm lớn nhất.

Đó là lý do tại sao CA hầu như không bao giờ phát hành trực tiếp từ chính chứng chỉ Root CA. Thay vào đó, họ quay vòng các chứng chỉ gốc trung gian và sử dụng các chứng chỉ gốc để cấp chứng chỉ người dùng cuối hoặc lá. Họ cũng có thể giao những gốc đó cho các CA phụ, vốn là Cơ quan cấp chứng chỉ không có nguồn gốc chuyên dụng nhưng vẫn có thể cấp chứng chỉ có chữ ký chéo cho các trung gian của họ.

Vì vậy, hãy để Lừa kết hợp tất cả lại với nhau. Khi một trang web muốn có chứng chỉ TLS được cấp, nó sẽ tạo ra một thứ gọi là Yêu cầu ký chứng chỉ (CSR) trên máy chủ mà nó lưu trữ trên đó. Chứa trong yêu cầu này là tất cả các chi tiết trang web muốn được đưa vào chứng chỉ. Như bạn sẽ thấy một chút, lượng thông tin có thể thay đổi từ chi tiết kinh doanh hoàn chỉnh đến nhận dạng máy chủ đơn giản, nhưng sau khi CSR hoàn thành, nó đã gửi cho Cơ quan cấp chứng chỉ để cấp.

Trước khi cấp chứng chỉ, CA sẽ phải thực hiện thẩm định theo yêu cầu của Diễn đàn CA / Trình duyệt và xác thực rằng thông tin có trong CSR là chính xác. Sau khi đã được xác minh, nó ký chứng chỉ bằng khóa riêng và gửi lại cho chủ sở hữu trang web để cài đặt.

Chứng chỉ xích

Sau khi chứng chỉ TLS đã được cài đặt, bất cứ khi nào ai đó truy cập vào trang web mà máy chủ lưu trữ, nó sẽ hiển thị trình duyệt chứng chỉ người dùng. Trình duyệt sẽ xem xét chữ ký số trên chứng chỉ, chữ ký được tạo bởi cơ quan chứng nhận tin cậy, chứng thực cho tất cả thông tin trong chứng chỉ là chính xác.

Đây là lúc chuỗi chứng chỉ hạn phát huy tác dụng.

Trình duyệt sẽ đọc chữ ký số và chuyển lên một liên kết trên chuỗi liên tiếp, nó sẽ kiểm tra chữ ký số trên chứng chỉ trung gian có khóa riêng được sử dụng để ký chứng chỉ lá. Nó sẽ tiếp tục theo dõi chữ ký cho đến khi chuỗi chứng chỉ kết thúc tại một trong những gốc đáng tin cậy trong kho gốc của nó hoặc cho đến khi chuỗi kết thúc mà không đạt được root, trong trường hợp đó, lỗi trình duyệt sẽ xuất hiện và kết nối sẽ bị lỗi.

Đây là lý do tại sao bạn có thể phát hành và tự ký chứng chỉ của mình.

Các trình duyệt sẽ chỉ tin tưởng các chứng chỉ SSL / TLS mà họ có thể xâu chuỗi trở lại cửa hàng gốc của họ (có nghĩa là chúng được cấp bởi một thực thể đáng tin cậy). Cơ quan cấp chứng chỉ được yêu cầu tuân thủ các tiêu chuẩn cụ thể để duy trì sự tin cậy của họ và thậm chí sau đó các trình duyệt không muốn tin tưởng họ.

Các trình duyệt không có sự đảm bảo như vậy về các chứng chỉ tự ký, đó là lý do tại sao chúng chỉ nên được triển khai trên các mạng nội bộ, phía sau tường lửa và trong môi trường thử nghiệm.

Các loại chứng chỉ SSL / TLS và chức năng

Trước khi chúng tôi xem xét SSL / TLS đang hoạt động, hãy để nói về các chứng chỉ và các lần lặp khác nhau có sẵn. Chứng chỉ TLS là thứ tạo điều kiện thuận lợi cho giao thức TLS và giúp ra lệnh cho các điều khoản của các kết nối HTTPS được mã hóa mà một trang web tạo ra.

Trước đó chúng tôi đã đề cập rằng việc cài đặt chứng chỉ TLS cho phép bạn định cấu hình trang web của mình để tạo kết nối HTTPS qua cổng 443. Nó cũng hoạt động như một loại huy hiệu tên cho trang web hoặc máy chủ mà bạn đang tương tác. Quay trở lại với ý tưởng rằng, trung tâm của nó, SSL / TLS và PKI đều là những hình thức trao đổi khóa an toàn tuyệt vời, chứng chỉ SSL / TLS giúp thông báo cho trình duyệt biết ai sẽ gửi khóa phiên tới ai là người ở bên kia kết nối là.

Và khi bạn chia nhỏ các lần lặp khác nhau của chứng chỉ SSL / TLS, thì đó là điều cần lưu ý. Chứng chỉ khác nhau về chức năng và mức độ xác nhận. Hoặc nói cách khác, chúng thay đổi dựa trên:

  • Có bao nhiêu danh tính để khẳng định
  • Những điểm cuối để xác nhận danh tính trên

Trả lời hai câu hỏi đó sẽ cho bạn một dấu hiệu khá rõ ràng về loại chứng chỉ bạn cần.

Có bao nhiêu danh tính để khẳng định

Có ba cấp độ xác thực khác nhau có sẵn với chứng chỉ SSL / TLS và chúng khác nhau dựa trên số lượng thông tin nhận dạng trang web của bạn muốn xác nhận.

  • Chứng chỉ SSL xác thực tên miền – Xác nhận danh tính máy chủ
  • Xác thực tổ chức Chứng chỉ SSL – Khẳng định danh tính tổ chức một phần
  • Chứng chỉ SSL xác thực mở rộng – Khẳng định danh tính tổ chức hoàn chỉnh

Chứng nhận SSL xác thực tên miền cho đến nay là phổ biến nhất do giá của chúng và tốc độ mà chúng có thể được cấp. Chứng chỉ DV SSL / TLS yêu cầu kiểm tra kiểm soát miền đơn giản, có thể được thực hiện bằng nhiều cách khác nhau, nhưng ngay khi chứng chỉ có thể được cấp. Bạn cũng có thể nhận được một số phiên bản miễn phí trong 30 ngày và 90 ngày, điều này chắc chắn đã được thêm vào thị phần của họ.

Nhược điểm là chứng chỉ DV SSL khẳng định danh tính tối thiểu. Và cho rằng gần một nửa số trang web lừa đảo hiện đã cài đặt chứng chỉ DV SSL, họ không nhất thiết phải mua cho bạn nhiều thứ theo cách tin cậy.

Xác thực tổ chức Chứng chỉ SSL là loại chứng chỉ SSL / TLS ban đầu. Họ cũng là loại chứng chỉ SSL duy nhất có thể bảo mật địa chỉ IP theo quyết định năm 2016 của Diễn đàn CAB để vô hiệu hóa tất cả các chứng chỉ SSL mạng nội bộ. Xác thực tổ chức yêu cầu kiểm tra kinh doanh nhẹ và thường có thể được ban hành trong vòng một hoặc hai ngày đôi khi nhanh hơn. Chứng chỉ SSL OV xác nhận một số thông tin tổ chức, nhưng người dùng internet sẽ cần nhấp vào biểu tượng ổ khóa và tìm kiếm nó. Ngày nay, bạn thấy rất nhiều chứng chỉ SSL OV được triển khai trên các mạng doanh nghiệp và doanh nghiệp lớn, ví dụ như các kết nối được tạo sau tường lửa.

Bởi vì cả chứng chỉ SSL DV và OV đều không xác nhận đủ danh tính để đáp ứng hầu hết các trình duyệt mà chúng nhận được đối xử trung lập.

Chứng chỉ SSL xác thực mở rộng cho đến nay vẫn còn gây tranh cãi nhất, vì một số người trong cộng đồng công nghệ cảm thấy cần phải thực hiện nhiều hơn để tăng cường xác nhận mà họ phụ thuộc. Nhưng, EV SSL khẳng định danh tính tối đa. Để hoàn thành xác nhận mở rộng, Cơ quan cấp chứng chỉ đưa tổ chức thông qua quy trình kiểm tra nghiêm ngặt có thể mất tới một tuần trong một số trường hợp.

Nhưng lợi ích là không thể phủ nhận: bởi vì nó khẳng định đủ danh tính một trang web có chứng chỉ EV SSL nhận được xử lý trình duyệt duy nhất, bao gồm cả tên của nó được hiển thị trên thanh địa chỉ của trình duyệt.

Không có cách nào khác để thực hiện điều này và bạn có thể giả mạo một trong những thanh địa chỉ EV là một trong những chỉ số trực quan mạnh nhất mà chúng ta có ngày hôm nay.

Những điểm cuối để khẳng định danh tính trên

Một cách khác mà chứng chỉ SSL / TLS khác nhau là về chức năng. Các trang web đã phát triển khá nhiều kể từ những ngày đầu của Internet với các công ty khác nhau triển khai các trang web theo những cách khác nhau. Một số có nhiều tên miền cho ngành dọc công ty khác nhau; những người khác sử dụng tên miền phụ cho nhiều chức năng và ứng dụng web. Một số sử dụng cả hai.

Bất kể bối cảnh là gì, có một chứng chỉ SSL / TLS có thể giúp bảo mật nó..

Tên miền đơn

Trang web chính và chứng chỉ SSL tiêu chuẩn chỉ là một tên miền duy nhất. Hầu hết các chứng chỉ SSL / TLS hiện đại sẽ bảo mật cả phiên bản WWW và không WWW của tên miền đó, nhưng nó bị giới hạn trong một tên miền duy nhất. Bạn có thể so sánh các chứng chỉ SSL tại đây.

Đa miền

Chứng chỉ đa miền hoặc Chứng chỉ truyền thông hợp nhất (trong trường hợp máy chủ Microsoft Exchange và Office Communications) cũng tồn tại để cung cấp cho các tổ chức khả năng mã hóa nhiều tên miền bằng một chứng chỉ duy nhất. Đây có thể là một lựa chọn hấp dẫn vì nó tiết kiệm tiền và nó làm cho việc quản lý các chứng chỉ (hết hạn / gia hạn) đơn giản hơn rất nhiều.

Chứng chỉ đa miền và UCC sử dụng SAN, trường Tên thay thế chủ đề trong CSR, để thêm các tên miền bổ sung vào chứng chỉ. Hầu hết các CA cho phép tối đa 250 SAN khác nhau trên một chứng chỉ. Và hầu hết các chứng chỉ Đa Miền đi kèm với 2-4 SAN miễn phí với phần còn lại có sẵn để mua khi cần.

Chứng chỉ SSL Wildcard

Chứng chỉ SSL Wildcard là một loại chứng chỉ cực kỳ hữu ích vì chúng có thể mã hóa số lượng tên miền phụ không giới hạn ở cùng cấp URL. Ví dụ: nếu bạn có một trang web sử dụng các tên miền phụ như:

  • app.website.com
  • cổng thông tin.website.com
  • user.website.com

Bạn có thể mã hóa tất cả chúng bằng cùng một chứng chỉ Wildcard bằng cách sử dụng dấu hoa thị trong trường FQDN của CSR của bạn: * .website.com

Bây giờ, bất kỳ tên miền phụ nào, ngay cả những tên miền mà bạn đã thêm vào, đều có thể được bảo mật bằng chứng chỉ đó.

Có hai nhược điểm đối với chứng chỉ Wildcard. Đầu tiên là bằng cách sử dụng cùng một khóa chung trên một số điểm cuối, bạn có thể dễ bị tổn thương hơn trước các cuộc khai thác nhất định như các cuộc tấn công Bleichenbacher.

Khác là không có tùy chọn EV Wildcard. Do tính chất kết thúc mở của chức năng Wildcard, các trình duyệt không ổn với việc ủy ​​thác cho họ mức độ tin cậy. Nếu bạn muốn Thanh địa chỉ EV trên các tên miền phụ của mình, bạn sẽ phải mã hóa chúng riêng lẻ hoặc sử dụng chứng chỉ EV Multi-Domain.

Thẻ đại diện đa miền

Một bổ sung tương đối mới cho hệ sinh thái SSL / TLS, Thẻ đại diện đa miền có thể mã hóa tới 250 tên miền khác nhau, nhưng nó cũng có thể sử dụng dấu hoa thị trong các trường SAN, cũng cho phép bạn mã hóa 250 tên miền khác nhau VÀ trước hết tên miền phụ.

Một trường hợp sử dụng khác cho Wildcard đa tên miền là Wildcard đa cấp, trong đó nó có thể mã hóa các tên miền phụ ở nhiều cấp độ của URL (một Wildcard tiêu chuẩn chỉ có thể mã hóa chúng ở một cấp độ).

Do chức năng Wildcard, Wildcard đa miền cũng không có sẵn trong EV.

SSL / TLS đang chuyển động

Bây giờ, chúng tôi đã bao gồm tất cả các khái niệm quan trọng trang điểm SSL / TLS và PKI, hãy để chúng kết hợp tất cả lại và xem nó trong chuyển động.

Xác nhận và ban hành

Hãy bắt đầu từ lúc bắt đầu với một trang web mua chứng chỉ SSL / TLS từ CA hoặc đại lý bán lẻ. Sau khi mua, liên hệ tổ chức đang xử lý việc thu thập chứng chỉ sẽ tạo Yêu cầu ký chứng chỉ trên máy chủ nơi chứng chỉ sẽ được cài đặt (máy chủ lưu trữ trang web).

Cùng với CSR, máy chủ cũng sẽ tạo cặp khóa công khai / riêng và lưu khóa riêng cục bộ. Khi CA nhận được CSR và Khóa công khai, nó sẽ thực hiện các bước xác thực cần thiết để đảm bảo rằng bất kỳ thông tin nào có trong chứng chỉ là chính xác. Nói chung, đối với chứng chỉ xác thực doanh nghiệp (không phải DV), việc này bao gồm tìm kiếm thông tin đăng ký và hồ sơ công khai trong tổ chức cơ sở dữ liệu của chính phủ.

Khi xác thực đã được hoàn thành, CA sử dụng một trong các khóa riêng từ một trong các chứng chỉ phát hành của nó, thường là gốc trung gian và ký chứng chỉ trước khi trả lại cho chủ sở hữu trang web.

Giờ đây, chủ sở hữu trang web có thể lấy chứng chỉ SSL / TLS mới được cấp, cài đặt nó trên máy chủ của họ và định cấu hình trang web để tạo kết nối HTTPS trên cổng 443 (sử dụng chuyển hướng 301 để gửi lưu lượng truy cập từ các trang HTTP hiện có đến các đối tác HTTPS mới của họ).

Xác thực và bắt tay SSL

Giờ đây, chứng chỉ SSL / TLS đã được cài đặt và trang web đã được định cấu hình cho HTTPS, hãy để xem xét cách nó sẽ tạo điều kiện cho các kết nối được mã hóa với khách truy cập vào trang web.

Khi đến trang web, máy chủ sẽ xuất trình chứng chỉ SSL / TLS cho trình duyệt của người dùng. Trình duyệt người dùng sau đó thực hiện một loạt các kiểm tra.

Đầu tiên, nó sẽ xác thực chứng chỉ bằng cách xem chữ ký số của nó và theo chuỗi chứng chỉ. Nó cũng sẽ đảm bảo chứng chỉ đã hết hạn và kiểm tra nhật ký Chứng minh minh bạch (CT) và Danh sách thu hồi chứng chỉ (CRL). Với điều kiện chuỗi dẫn trở lại một trong những gốc rễ trong cửa hàng tin cậy của hệ thống, và nếu nó hợp lệ, trình duyệt sẽ tin tưởng vào chứng chỉ.

Bây giờ nó là thời gian bắt tay.

Bắt tay SSL / TLS là một chuỗi các bước trong đó máy khách (người dùng) và máy chủ (trang web) đàm phán các tham số của kết nối an toàn của chúng, tạo và sau đó trao đổi các khóa phiên đối xứng.

Đầu tiên, họ sẽ quyết định chọn một bộ mật mã. Một bộ mật mã là nhóm các thuật toán và mật mã sẽ được sử dụng để kết nối. Chứng chỉ SSL / TLS cung cấp danh sách các bộ mật mã mà máy chủ hỗ trợ. Nói chung, bộ mật mã bao gồm thuật toán mã hóa khóa công khai, thuật toán tạo khóa, thuật toán xác thực tin nhắn và thuật toán mã hóa đối xứng hoặc số lượng lớn mặc dù đã được tinh chỉnh trong TLS 1.3.

Sau khi được trình bày với danh sách các mật mã được hỗ trợ, khách hàng sẽ chọn một mật mã dễ chịu và liên lạc với máy chủ. Từ đó, máy khách sẽ tạo khóa phiên đối xứng, mã hóa nó bằng khóa chung và sau đó gửi nó đến máy chủ, người sở hữu khóa riêng cần thiết để giải mã khóa phiên.

Khi cả hai bên có một bản sao của khóa phiên, giao tiếp có thể bắt đầu.

Và SSL SSL / TLS đó.

Bạn có thể thấy tất cả các khái niệm chúng ta đã trải qua trước đó tương tác với nhau để tạo ra một hệ thống tinh vi nhưng thanh lịch để đảm bảo kết nối internet. Chúng tôi sử dụng mật mã khóa công khai để trao đổi các khóa phiên một cách an toàn mà chúng tôi sẽ liên lạc với. Các chứng chỉ xác nhận danh tính máy chủ hoặc tổ chức có thể được tin cậy do cơ sở hạ tầng chúng tôi có giữa các CA, trình duyệt và chương trình gốc khác nhau.

Và giao tiếp xảy ra như là kết quả của mã hóa khóa riêng đối xứng, xuất phát từ hệ thống mật mã cổ điển của thời cổ đại.

Có rất nhiều bộ phận chuyển động, nhưng khi bạn chậm lại và hiểu tất cả chúng một cách riêng lẻ, nó sẽ dễ dàng hơn rất nhiều để xem cách tất cả các hoạt động cùng nhau.

Trước khi bạn đi, hãy để kết thúc với một vài động thái liên quan đến SSL / TLS mà bạn có thể thực hiện sau khi cài đặt / cấu hình để tận dụng tối đa khoản đầu tư của mình.

Sau SSL / TLS – Tận dụng tối đa việc triển khai của bạn

Đơn giản chỉ cần cài đặt chứng chỉ và trang web của bạn được cấu hình đúng không có nghĩa là trang web của bạn an toàn. TLS chỉ là một thành phần của chiến lược phòng thủ không gian mạng rộng lớn, toàn diện. Nhưng một thành phần quan trọng, dù sao. Hãy để che đậy một vài điều mà bạn có thể làm để đảm bảo rằng bạn sẽ tận dụng tối đa việc triển khai.

Vô hiệu hóa hỗ trợ máy chủ cho các giao thức cũ

Nhân đôi trở lại cuộc trò chuyện mà chúng tôi đã có trước đó về Coder Suites, một phần trong việc định cấu hình máy chủ của bạn đang quyết định những bộ mật mã và phiên bản SSL / TLS nào sẽ hỗ trợ. Điều bắt buộc là bạn phải vô hiệu hóa hỗ trợ cho các phiên bản SSL / TLS cũ hơn cũng như các thuật toán cụ thể để ngăn ngừa lỗ hổng cho một số khai thác đã biết.

SSL 2.0 và SSL 3.0 đều trên 20 tuổi. Thực tiễn tốt nhất là từ chối hỗ trợ cho họ từ nhiều năm trước, nhưng cho đến ngày nay, khoảng 7% trong số 100.000 người hàng đầu của Alexa vẫn cho phép họ. Điều này rất nguy hiểm vì nó khiến bạn bị tước SSL và hạ cấp các cuộc tấn công như POODLE.

TLS 1.0 và TLS 1.1 cũng đang trong thời gian mượn.

Các công ty công nghệ lớn, Apple, Microsoft, Google và Mozilla, đã đưa ra thông báo chung vào mùa thu này rằng họ sẽ không hỗ trợ cho TLS 1.0 và 1.1 vào đầu năm 2020.

Các phiên bản giao thức dễ bị tổn thương như POODLE, FREAK, BEAST và CRIME (đây đều là những từ viết tắt). TLS 1.2 đã ra mắt được mười năm và phải là tiêu chuẩn. TLS 1.3 đã được hoàn thiện vào mùa hè năm ngoái và việc áp dụng đã được tiến hành với tốc độ ổn định kể từ khi.

Ngoài ra, có những thuật toán cụ thể không nên được sử dụng. Ví dụ, DES có thể bị hỏng trong vài giờ. RC4 dễ bị tổn thương hơn một lần được tin tưởng và đã bị đặt ra ngoài vòng pháp luật của Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán. Và cuối cùng, được cung cấp tin tức về các hoạt động khai thác gần đây, nó không nên sử dụng RSA để trao đổi khóa nữa.

Các thuật toán / mật mã được đề xuất:

  • Trao đổi khóa: Elliptic Curve Diffie-Helman (ECDH)
  • Xác thực: Thuật toán chữ ký số Elliptic Curve (ECDSA)
  • Mã hóa đối xứng / số lượng lớn: AES 256 ở Chế độ truy cập Galois (AES256-GCM)
  • Thuật toán MAC: SHA-2 (SHA384)

SSL luôn bật

Trước đây, các trang web đôi khi chỉ di chuyển các trang web thu thập thông tin sang HTTPS, trong khi phục vụ phần còn lại của trang web thông qua HTTP. Đây là một thực hành xấu.

Ngoài thực tế là Google sẽ đánh dấu các trang đó là Không bảo mật, bạn cũng có khả năng khiến khách truy cập của bạn gặp rủi ro khi trình duyệt của họ nhảy qua lại giữa các trang được mã hóa và các trang HTTP.

Bạn nên định cấu hình toàn bộ trang web của mình cho HTTPS. Điều này được gọi là SSL luôn bật. Rốt cuộc, nó không giống như bạn đang trả tiền theo trang, chứng chỉ SSL / TLS của bạn có thể mã hóa toàn bộ trang web của bạn. Vì vậy, làm cho nó như vậy.

Thiết lập Bản ghi ủy quyền chứng chỉ (CAA)

Nói chung, một trong những rủi ro đáng kể nhất của chứng thư số là phát hành sai. Nếu một bên khác ngoài bạn được cấp chứng chỉ SSL / TLS cho trang web CỦA BẠN, họ có thể mạo danh bạn một cách hiệu quả và gây ra tất cả các loại vấn đề.

Hồ sơ CAA giúp giảm thiểu rủi ro này bằng cách hạn chế những gì Cơ quan Chứng nhận có thể cấp chứng chỉ kỹ thuật số cho trang web của bạn. Cơ quan chứng nhận được yêu cầu bởi Diễn đàn CA / Trình duyệt để kiểm tra hồ sơ CAA trước khi cấp bất kỳ chứng chỉ nào. Nếu CA không có ủy quyền phát hành cho trang web đó, thì nó có thể. Làm như vậy sẽ được coi là phát hành sai và thu hút sự phẫn nộ của cộng đồng trình duyệt.

Việc thêm một bản ghi CAA tương đối dễ dàng, đó là một bản ghi DNS đơn giản có thể được thêm vào thông qua giao diện của hầu hết các nền tảng lưu trữ. Bạn có thể hạn chế các CA có thể phát hành cho tên miền của mình, cũng như liệu chứng chỉ Wildcard có thể được cấp cho tên miền đó không.

Thêm trang web của bạn vào Danh sách tải trước HSTS

HTTP Strict Transport Security, hay HSTS, là một tiêu đề HTTP buộc các trình duyệt chỉ tạo các kết nối HTTPS với một trang web nhất định. Bằng cách này, ngay cả khi người dùng web cố gắng truy cập phiên bản HTTP của trang, họ sẽ chỉ truy cập phiên bản HTTPS. Điều đó rất quan trọng vì nó đóng cửa sổ trên một số khai thác đã biết, như tấn công hạ cấp và chiếm quyền điều khiển cookie.

Thật không may, một vectơ tấn công nhỏ vẫn còn với HSTS, đó là lý do tại sao bạn nên thêm trang web của mình vào danh sách tải trước. Thông thường, khi khách truy cập đến trang web của bạn, trình duyệt của họ sẽ tải xuống tiêu đề HTTP và sau đó tuân theo nó trong thời gian dài, chính sách đã được đặt thành cuối cùng. Nhưng trong chuyến thăm đầu tiên đó, trước khi nhận được tiêu đề, vẫn còn một lỗ nhỏ cho kẻ tấn công.

Danh sách bản ghi tải trước HSTS được điều hành bởi Google và một số biến thể được sử dụng bởi tất cả các trình duyệt chính. Những trình duyệt đó chỉ biết kết nối qua HTTPS với bất kỳ trang web nào mà trên danh sách mà ngay cả khi nó chưa bao giờ truy cập vào đó. Có thể mất một hoặc hai tuần để trang web của bạn xuất hiện trong danh sách do thực tế là các bản cập nhật cho danh sách được đẩy ra cùng với các trình duyệt Lịch trình phát hành..

Câu hỏi thường gặp về SSL / TLS

Chứng chỉ X.509 là gì?

X.509 đề cập đến loại chứng chỉ kỹ thuật số được sử dụng với SSL / TLS và các loại PKI khác. X.509 là một tiêu chuẩn mã hóa khóa công khai. Thỉnh thoảng, bạn sẽ thấy các công ty sử dụng chứng chỉ X.509 thay cho certificate chứng chỉ kỹ thuật số, hoặc chứng chỉ PKI.

Tại sao chứng chỉ SSL / TLS hết hạn?

Có hai lý do cho việc này.

Đầu tiên là internet liên tục thay đổi, các trang web đến và các trang web đi. Và đưa ra mức độ nhạy cảm của các trình duyệt về việc tin tưởng các chứng chỉ này ở nơi đầu tiên họ muốn biết rằng các trang web trình bày các chứng chỉ đang được xác nhận thường xuyên. Nó không khác với cách bạn thỉnh thoảng phải đăng nhập để cập nhật thông tin trên giấy phép lái xe của bạn.

Lý do khác là kỹ thuật hơn. Nó khó khăn hơn để phổ biến các bản cập nhật và thay đổi kỹ thuật khi chứng chỉ don hiến hết hạn trong 3-5 năm. Trong khi đó, nếu chứng chỉ hết hạn cứ sau 24 tháng thì chứng chỉ dài nhất có thể hết hạn là hai năm. Năm 2017, hiệu lực tối đa đã giảm từ ba năm xuống còn hai. Nó có thể sẽ được rút ngắn xuống còn 12 tháng.

Làm thế nào để bạn gia hạn chứng chỉ SSL / TLS?

Gia hạn có thể là một chút sai lầm vì bạn đang thay thế chứng chỉ cũ bằng một chứng chỉ mới được cấp. Làm điều này thường xuyên cho phép bạn luôn cập nhật những tiến bộ mới với công nghệ mã hóa và đảm bảo thông tin xác thực của bạn luôn cập nhật. Các CA chỉ có thể sử dụng lại thông tin xác thực ban đầu được cung cấp quá lâu trước khi các yêu cầu cơ bản buộc họ phải xác thực lại thông tin đó.

Khi bạn đổi mới, bạn có thể giữ nguyên loại chứng chỉ bạn đã có trước đây hoặc bạn có thể đi với một cái gì đó mới, thậm chí bạn có thể thay đổi CA. Điều quan trọng là bạn còn bao nhiêu thời gian cho chứng chỉ hết hạn mà bạn có thể mang theo tới ba tháng. Miễn là bạn gia hạn trước khi chứng chỉ hết hạn, bạn có thể mang theo bất kỳ thời gian còn lại nào và sử dụng lại bất kỳ thông tin xác thực nào đã hết thời gian kể từ lần xác thực cuối cùng của bạn. Nếu bạn để nó hết hạn, bạn bắt đầu từ đầu.

Thanh tra HTTPS là gì?

Rất nhiều công ty lớn hơn với các mạng lớn hơn muốn có khả năng hiển thị lưu lượng truy cập của họ. Về vấn đề đó, HTTPS là con dao hai lưỡi. Nó bảo vệ quyền riêng tư của mọi người, nhưng nó cũng có thể giúp tội phạm mạng che giấu. Rất nhiều tổ chức sẽ giải mã lưu lượng HTTPS của họ tại một thiết bị cạnh hoặc hộp giữa và sau đó gửi nó trong bản rõ phía sau tường lửa của họ hoặc mã hóa lại và gửi nó trên đường đi. Khi bạn không mã hóa lại lưu lượng, nó gọi là Chấm dứt SSL. Khi bạn mã hóa lại, điều đó đã gọi là cầu nối SSL.

Giảm tải SSL là gì?

Giảm tải SSL là một thực tế doanh nghiệp khác. Ở quy mô, thực hiện hàng ngàn cái bắt tay, sau đó mã hóa và giải mã tất cả dữ liệu đó có thể đánh thuế tài nguyên trên mạng. Vì vậy, rất nhiều mạng lớn hơn sẽ giảm tải các chức năng SSL sang thiết bị khác để máy chủ ứng dụng có thể tập trung vào các nhiệm vụ cốt lõi của nó. Điều này đôi khi được gọi là cân bằng tải.

Tại sao CA của tôi gửi cho tôi một chứng chỉ trung gian?

Hãy nhớ trước đó khi chúng ta thảo luận về các chương trình root?

Very OS có một kho lưu trữ gốc mà nó sử dụng để đưa ra các phán đoán tin cậy PKI. Nhưng các CA không đưa ra chứng chỉ người dùng cuối khỏi những gốc rễ đó vì sợ điều gì sẽ xảy ra nếu một người phải bị thu hồi. Thay vào đó, họ quay tròn rễ trung gian và phát hành những cái đó. Vấn đề là những gốc trung gian don don cư trú trong một cửa hàng tin tưởng hệ thống.

Vì vậy, nếu trang web không trình bày chứng chỉ trung gian cùng với chứng chỉ SSL / TLS lá, nhiều trình duyệt đã giành được có thể hoàn thành chuỗi chứng chỉ và sẽ đưa ra cảnh báo. Một số trình duyệt thực hiện chứng chỉ trung gian bộ đệm, nhưng nó vẫn được coi là cách tốt nhất để cài đặt bất kỳ trung gian nào cùng với chứng chỉ lá của bạn.

Tôi cần tài liệu gì cho chứng chỉ SSL Xác thực mở rộng?

Trong hầu hết các trường hợp, Cơ quan cấp chứng chỉ thực hiện xác nhận mở rộng trước tiên sẽ cố gắng truy cập thông tin thông qua cơ quan có thẩm quyền của chính phủ có sẵn công khai.

Tuy nhiên, ở một số địa điểm, điều này có thể không thể. Có một vài điều có thể hỗ trợ trong việc tiến hành xác nhận mặc dù. Mặc dù số lượng kiểm tra xác nhận mà Thư Ý kiến ​​Chuyên môn có thể đáp ứng đã giảm xuống gần đây, nhưng có một luật sư hoặc kế toán viên có dấu hiệu tốt vẫn có thể giúp đỡ đáng kể.

Ngoài ra, bạn có thể cung cấp chứng chỉ doanh nghiệp do chính phủ cấp hoặc tài liệu Chứng minh quyền của Chính phủ cung cấp cho tổ chức của bạn quyền kinh doanh dưới tên được liệt kê. Một số ví dụ về các tài liệu này là:

  • Bài viết kết hợp
  • Giấy chứng nhận thành lập
  • Giấy phép kinh doanh / nhà cung cấp / thương gia
  • Tài liệu điều lệ
  • Thỏa thuận hợp tác
  • Đăng ký thương mại hoặc tên giả định
  • Đăng ký Mercantil

Đang đóng

Tôi hy vọng điều này cung cấp cho bạn một ý tưởng về SSL / TLS. Nếu bạn quan tâm đến việc tìm hiểu thêm, thì tôi khuyên bạn nên tham gia khóa học trực tuyến này.

Bài đăng này được đóng góp bởi Patrick Nohe, biên tập viên của Được băm ra bởi Cửa hàng SSL, một blog bao gồm các tin tức và xu hướng an ninh mạng.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map