Захист сайту по протоколу tls

TLS (Transport Layer Security) являє собою стандартний протокол, який використовується з метою створення захищених онлайн-з'єднань або у внутрішніх мережах підприємств. Він дає можливість клієнтам проводити перевірку сервери. Сервери ж з його допомогою виконують перевірку справжності клієнтів (коли це важливо). Протокол TLS також дозволяє створити захищений канал за допомогою шифрування всіх даних, що передаються. Принципи роботи TLS нагадують SSL, що не дивно - протокол TLS є пізнішою версією протоколу SSL (SSL 3.0). Іноді протокол TLS називають «SSL 3.1».

Відмінності між SSL 3.0 і TLS є дуже тонкими і здебільшого технічними; варто відзначити, що TLS є більш свіжим і більш налагодженим протоколом. Безпека поточної версії SSL - 3.0 - порівнянна з безпекою TLS 1.0, проте версії TLS 1.1 і 1.2 значно обходять її в цьому питанні.

Протокол TLS може застосовуватися для захисту з'єднань майже по всіх популярних інтернет-протоколів. Наприклад, протокол https - це інтернет-з'єднання по http, яке захищене по протоколу TLS. Також по протоколу TLS можуть захищатися з'єднання по FTP, IMAP, POP3 і SMTP і т.д.

Протокол TLS реалізують динамічні бібліотеки для шифрування. Якщо взяти за приклад Windows, то в цій системі даний протокол може бути реалізований за допомогою Microsoft CryptoAPI. Крім усього іншого, існує ряд OpenSource-бібліотек, які дозволяють реалізувати протокол TLS. Серед них особливо виділяються бібліотеки OpenSSL і GNU TLS. Найпопулярнішою є бібліотека OpenSSL, яка входить в більшість сьогоднішніх операційних систем.

TLS-з'єднання

Що являє собою типова сесія TLS-з'єднання? Така сесія складається з наступних кроків:
  • Handshake. Аутентифікація сервера. Аутентифікація клієнта, створення і узгодження сесійних ключів, призначених для шифрування даних.
  • Двосторонній обмін даними. Дані шифруються програмою-відправником за допомогою сесійних ключів, після чого передаються програмі-одержувачу і вже в ній розшифровуються. Відбувається перевірка цілісності даних.
  • В ході сесії можуть відбуватися повторні handshake-з'єднання.
  • У разі розриву з'єднання автоматично проводиться закриття сесії.

Як отримати TLS сертифікат

Щоб сервер був аутентифікований, йому потрібно мати сертифікат і відповідний йому закритий ключ.

Адміністратор сервера може отримати сертифікат за допомогою виконання даних кроків:
  1. Скориставшись командою openssl req, сформувати заявку на сертифікат і відповідний закритий ключ;
  2. Надіслати сформовану заявку в засвідчує центр.

Засвідчує центр виконує підпис створеної заявки за допомогою власних джерел. Далі сертифікат сервера пересилається назад адміністратору сервера. Процес аутентифікації сервера складається з перевірки коректності виданого сертифіката, перевірка статусу сертифіката (не прострочений, чи не відкликаний) і перевірки приналежності сертифіката. Якщо всі ці дії будуть виконані, сервер буде вважатися аутентифицироваться.

Будь-сертифікат з відкритим ключем має інформацію про те, хто є його власником. Для TLS сертифікатів серверів домен (хост) вказується в поле CommonName.

У тому випадку, якщо сервер має кілька хостів, аутентифікація успішно завершується тільки тоді, коли пред'явлений сервером сертифікат відповідає саме тому імені сервера, яке клієнт вказував для встановлення з'єднання.

Для захисту сайту по протоколу TLS використовуються SSL-сертифікати. Якщо ви хочете придбати сертифікат для створення TLS з'єднання. ви завжди можете звернутися для цього до компанії ЛідерТелеком.

Залишилися питання? Пишіть!