Что такое SSL, TLS и HTTPS?

Если используется только стандартный протокол HTTP, информация, передаваемая в открытом виде, уязвима для атак. Поэтому обычно используется протокол HTTPS, чтобы гарантировать защиту и шифрование информации во время передачи данных.

В чем разница между HTTP и HTTPS?

HTTPS: HTTPS расшифровывается как HTTP через SSL/TLS. У HTTPS есть отличные преимущества по сравнению с HTTP:

Преимущества HTTPS:

Целостность данных: Проверьте целостность передачи контента.

Конфиденциальность данных: Содержимое симметрично шифруется, и для каждого соединения генерируется уникальный ключ шифрования.

Подтверждение личности: Третья сторона не может подделать идентификацию сервера (клиента)

Что такое SSL и TLS?

SSL (Secure Socket Layer) - это набор протоколов, разработанных компанией Netscape в 1994 году и выпущенных в версии 3.0 в 1995 году.

TLS (Transport Layer Security) - это протокол, разработанный IETF на основе SSL3.0, эквивалентный последующей версии SSL.

Оба TLS и SSL являются протоколами шифрования, которые шифруют данные и аутентифицируют соединения при передаче данных по Интернету.

В чем разница между TLS и SSL?

SSL 1.0 никогда не был публично выпущен. SSL 2.0 был впервые выпущен в феврале 1995 года. Хотя SSL 2.0 был публично выпущен, он также содержал уязвимости безопасности и был быстро заменен SSL 3.0 в 1996 году.

Первая версия TLS 1.0 была выпущена в 1999 году в качестве обновления SSL 3.0. С тех пор было выпущено еще три версии TLS, последняя из которых - TLS 1.3 в августе 2018 года.

Мы можем сказать, что TLS является продолжением SSL, которое исправляет некоторые уязвимости в предыдущем протоколе SSL.

Понять полную версию SSL и TLS на этом графике исторического прогресса:

Как мы узнали в предыдущей статье, передаваемые данные шифруются с помощью открытого и закрытого ключей. Откуда берутся открытый и закрытый ключи? Это связано с вопросом аутентификации личности.

Что такое аутентификация личности?

Сертификат CA - это традиционный режим аутентификации. Центр CA выдает цифровой сертификат каждому пользователю, который использует открытый ключ для доказательства того, что пользователь, указанный в сертификате, законно владеет указанным открытым ключом.

Если вы хотите получить свой сертификат, вам необходимо сначала обратиться в Центр аттестации (CA). После того, как CA идентифицирует вас, он назначает вам открытый ключ, который связан с вашей информацией об идентификации, и CA подписывает его и выдает вам сертификат.

Цифровые сертификаты могут обеспечить только онлайн-безопасность, вы можете использовать цифровые сертификаты для проверки подлинности другой стороны и гарантировать безопасность электронной почты, онлайн-транзакций и покупок с использованием кредитных карт.

У каждого пользователя есть пара открытого и закрытого ключей.

Приватный ключ используется для расшифровки и подписи и предназначен для вашего использования.

Пользователь раскрывает открытый ключ, а также шифрует и проверяет подпись, используемую другими.

Как SSL и TLS обеспечивают безопасность данных?

Когда сертификат устанавливается на сервере, он содержит открытый и закрытый ключи, которые аутентифицируют сервер и позволяют вашему серверу шифровать и расшифровывать данные.

Когда кто-то посещает ваш сайт, их веб-браузер будет проверять SSL/TLS-сертификат вашего сайта. Затем браузер выполнит "рукопожатие" для проверки действительности вашего сертификата и аутентификации вашего сервера.

Если SSL-сертификат недействителен, вы можете столкнуться с ошибками "Ваше соединение не является частным".

Когда браузер посетителя определяет, что ваш сертификат действителен и аутентифицирует ваш сервер, он создает зашифрованную связь между ним и вашим сервером для безопасной передачи данных.

Например, если вы обрабатываете платежи с кредитных карт на своем веб-сайте, TLS и SSL могут помочь вам обеспечить безопасность обработки данных, чтобы злоумышленники не смогли получить к ним доступ.

Преимущества TLS: TLS используется для обеспечения конфиденциальности и целостности данных между двумя взаимодействующими приложениями. Он независим от протокола приложения, и высокоуровневые протоколы могут прозрачно использоваться поверх протокола TLS. Стандарт TLS не определяет, как приложения могут повысить безопасность при использовании TLS.