Таблица содержания
Если используется только стандартный протокол HTTP, информация, передаваемая в открытом виде, уязвима к атакам. Поэтому обычно используется протокол HTTPS, чтобы обеспечить защиту и шифрование информации во время передачи данных.
Чем отличается HTTP от HTTPS?
HTTPS: HTTPS расшифровывается как HTTP через SSL/TLS. У HTTPS есть отличные преимущества по сравнению с HTTP:
Преимущества HTTPS:
Целостность данных: Проверьте целостность передачи контента.
Конфиденциальность данных: Содержимое симметрично шифруется, и для каждого соединения генерируется уникальный ключ шифрования.
Подтверждение личности: Третья сторона не может подделать идентификацию сервера (клиента)
Что такое SSL и TLS?
SSL (Secure Socket Layer) — это набор протоколов, разработанных компанией Netscape в 1994 году и выпущенных в версии 3.0 в 1995 году.
TLS (Transport Layer Security) — это протокол, разработанный IETF на основе SSL3.0, эквивалентный последующей версии SSL.
Оба TLS и SSL — это протоколы шифрования, которые шифруют данные и аутентифицируют соединения при передаче данных через Интернет.
Чем отличается TLS от SSL?
SSL 1.0 никогда не был публично выпущен. SSL 2.0 был впервые выпущен в феврале 1995 года. Хотя SSL 2.0 был публично выпущен, он также содержал уязвимости безопасности и был быстро заменен SSL 3.0 в 1996 году.
Первая версия TLS 1.0 была выпущена в 1999 году в качестве обновления SSL 3.0. С тех пор было выпущено еще три версии TLS, последняя из которых — TLS 1.3 в августе 2018 года.
Мы можем сказать, что TLS является продолжением SSL, которое исправляет некоторые уязвимости в предыдущем протоколе SSL.
Понять полную версию SSL и TLS на этом графике исторического прогресса:
Как мы узнали в предыдущей статье, передаваемые данные шифруются с помощью открытого и закрытого ключей. Откуда берутся открытый и закрытый ключи? Это связано с вопросом аутентификации личности.
Что такое аутентификация личности?
Сертификат CA — это традиционный режим аутентификации. Центр CA выдает цифровой сертификат каждому пользователю, который использует открытый ключ для доказательства того, что пользователь, указанный в сертификате, законно владеет указанным открытым ключом.
Если вы хотите получить свой сертификат, вам необходимо сначала обратиться в Центр аттестации (CA). После того, как CA идентифицирует вас, он назначает вам открытый ключ, который связан с вашей информацией об идентификации, и CA подписывает его и выдает вам сертификат.
Цифровые сертификаты могут обеспечить онлайн-безопасность, вы можете использовать цифровые сертификаты для проверки личности другой стороны, и безопасность электронной почты, онлайн-транзакций и покупок по кредитной карте может быть гарантирована.
У каждого пользователя есть пара открытого и закрытого ключей.
Приватный ключ используется для расшифровки и подписи и предназначен для вашего использования.
Пользователь раскрывает открытый ключ, а также шифрует и проверяет подпись, используемую другими.
Как SSL и TLS обеспечивают безопасность данных?
Когда сертификат устанавливается на сервере, он содержит открытый и закрытый ключи, которые аутентифицируют сервер и позволяют вашему серверу шифровать и расшифровывать данные.
Когда кто-то посещает ваш сайт, их веб-браузер проверит SSL/TLS-сертификат вашего сайта. Затем браузер выполнит «рукопожатие», чтобы проверить действительность вашего сертификата и аутентифицировать ваш сервер.
Если SSL-сертификат недействителен, вы можете столкнуться с ошибкой «Ваше соединение не является частным».
Как только браузер посетителя определит, что ваш сертификат действителен и подтвердит ваш сервер, он создаст зашифрованную связь между собой и вашим сервером для безопасной передачи данных.
Например, если вы обрабатываете платежи по кредитным картам на своем веб-сайте, TLS и SSL могут помочь вам обрабатывать эти данные безопасно, чтобы злонамеренные лица не могли их получить.
Преимущества TLS: TLS используется для обеспечения конфиденциальности и целостности данных между двумя взаимодействующими приложениями. Он независим от протокола приложения, и высокоуровневые протоколы могут прозрачно использоваться поверх протокола TLS. Стандарт TLS не определяет, как приложения могут повысить безопасность при использовании TLS.
