Hva er SSL og hvorfor bør du bry deg?

I en tidligere rapport om endring fra HTTP til HTTPS, berørte den kort på Single Socket Layer (SSL). Kort sagt, SSL og dens etterfølger, Transport Layer Security (TLS), trengs for å fungere sikkert på nettet.

I denne artikkelen kan vi se nærmere på spørsmålet "Hva er SSL", og hvordan SSL / TLS beskytter din sensitive informasjon.

Hvorfor bør du bryr deg om SSL / TLS?

Før du går inn i "Hvordan", kan vi ta en titt på "Hvorfor" du vil bruke SSL / TLS i utgangspunktet.

$config[code] not found

I disse dager er datasikkerhet gyldig. Alle som har hatt sin identitet stjålet, kunne fortelle deg det. Nøkkelen til å holde informasjonen din trygg, er å kaste den bort hvor som helst, hvor ingen andre kan se den.

Dessverre er det ikke mulig online. Når du overfører informasjon på nettet, er det alltid noe poeng i prosessen der både du og din kunde mister kontrollen av dataene.

Du ser, mens kunden din kan sikre enheten som nettleseren din kjører, og du kan sikre webserveren, rørene i den elektroniske verden er ute av begge hendene.

Enten det er kabelselskapet, telefonselskapet eller et regjeringsdrevet undersjøisk kabel, vil kundens data passere gjennom andres hender online, og det er derfor det må krypteres ved hjelp av SSL / TLS.

Her er noen eksempler på hvilke typer informasjon du kan bruke SSL / TLS for å sikre online:

Kredittkorttransaksjoner
Nettsted pålogginger
Passerer privat og personlig informasjon frem og tilbake
Sikre din e-post fra snoopers.

Ja, hvis du driver forretninger online, er SSL / TLS avgjørende for din fortsatte suksess. Hvorfor? Fordi:

Kundene dine må føle seg trygge når de gjør forretninger med deg online, eller de vil ikke gjøre forretninger med deg; og
Du har ansvar for kunden din for å beskytte sensitiv informasjonen de har valgt å dele med deg.

Deretter skal vi se på hvordan SSL / TLS fungerer.

Offentlige, offentlige og sesjonstaster er, uh … nøkkel

Når du bruker SSL / TLS til å sende dine sensitive data på nettet, kobler nettleseren din og den sikrede webserveren til to separate nøkler for å sette opp en sikker tilkobling: en offentlig og en privat nøkkel. Når forbindelsen er på plass, brukes en tredje type nøkkel, sesjonstasten, til å kryptere og dekryptere informasjonen som sendes frem og tilbake.

$config[code] not found

Slik fungerer det:

Når du kobler til en sikker sever (for eksempel amazon.com), begynner handshake-prosessen:
1. Først vil serveren passere nettleseren din, det er SSL / TLS-sertifikat, så vel som det er offentlig nøkkel;
2. Nettleseren din vil da sjekke serverens sertifikat for å se om det kan stole på det ved hjelp av faktorer som om sertifikatet ble utstedt av en pålitelig kilde, og hvis sertifikatet ikke er utløpt.
3. Hvis SSL / TLS kan stole på, sender nettleseren din en bekreftelse tilbake til serveren, slik at den vet at den er klar til å gå. Denne meldingen vil bli kryptert ved hjelp av serverens offentlige nøkkel og kan bare dekrypteres med serverens private nøkkel. Inkludert i at bekreftelsen er nettleserens offentlige nøkkel.
  1. Hvis serveren ikke kan stole på, ser du en advarsel i nettleseren din. Du kan alltid ignorere advarselen, men det er ikke klokt.
4. Serveren oppretter deretter sesjonstasten. Før du sender den til nettleseren, krypterer den meldingen ved hjelp av din offentlige nøkkel, slik at bare nettleseren din, ved hjelp av den private nøkkelen, kan dekryptere den.
Nå som håndtrykk er over, og begge partier har sikkert mottatt øktnøkkelen, deler nettleseren din og serveren en sikker tilkobling. Både nettleseren din og serveren bruker øktnøkkelen til å kryptere og dekryptere de sensitive dataene som den sendes frem og tilbake over online.
1. Når økten er over, blir øktasten kassert. Selv om du kobler deg en time senere, må du løpe gjennom denne prosessen fra begynnelsen, som vil resultere i en ny øktnøkkel.

Størrelse er viktig

Alle tre typer nøkler består av lange strenger av tall. Jo lengre strengen, desto sikrere kryptering. På den nedre siden tar en lengre streng mer tid til å kryptere og dekryptere data og legger mer belastning på både serverens og nettleserens ressurser.

Dette er grunnen til at øktnøkler eksisterer. En øktnøkkel er mye kortere enn både offentlige og private nøkler. Resultatet: mye raskere kryptering og dekryptering, men mindre sikkerhet.

Vent - mindre sikkerhet? Er det ikke så ille? Ikke egentlig.

Sessionstaster eksisterer bare en kort stund før de slettes. Og mens de ikke er så lenge som de to andre typer nøkler, er de sikre nok til å forhindre hacking i løpet av kort tid at forbindelsen mellom nettleseren din og den sikre serveren eksisterer.

Krypteringsalgoritmer

Både offentlige og private nøkler er opprettet ved hjelp av en av tre krypteringsalgoritmer.

Vi kommer ikke til å bli for dypt her, du trenger bokstavelig talt en mattegrad (kanskje flere) for å forstå krypteringsalgoritmer helt, men det er praktisk å vite det grunnleggende når det kommer tid til å velge typen som din egen nettside sill bruker.

De tre primære algoritmene er:

RSA - oppkalt etter sine skaperne (Ron Rivest, adi Shamir og Leonard ENdlema), RSA har eksistert siden 1977. RSA lager nøkler ved å bruke to tilfeldige prime tall i en rekke beregninger. Lære mer…
Digital signaturalgoritme (DSA) - Opprettet av National Security Agency (NSA), oppretter DSA nøkler ved hjelp av en to-trinns prosess som bruker en "crptographic hash-funksjon" i en rekke beregninger. Lære mer…
Elliptisk kurvekryptografi (EEC) - EEC skaper nøkler som bruker "algebraisk struktur av elliptiske kurver" i en kompleks serie av beregninger. Lære mer…

$config[code] not found

Hvilken krypteringsalgoritme bør du velge?

Matematikk til side, som er den beste krypteringsalgoritmen å bruke?

For øyeblikket synes ECC å komme inn på toppen. Takket være matematikken er nøklene som er opprettet med ECC-algoritmen, kortere mens de fortsatt er like sikre som mye lengre nøkler. Ja, ECC bryter "size matters" -regelen som gjør den ideell for sikker tilkobling på mindre kraftige enheter, for eksempel en mobiltelefon eller nettbrett.

Den beste tilnærmingen kan være en hybrid, hvor serveren din kan akseptere alle tre typer algoritmer, slik at den kan håndtere det som kastes på det. De to ulemper ved denne tilnærmingen kan være:

Serveren bruker flere ressurser som håndterer RSA, DSA og ECC i motsetning til bare ECC; og
Din SSL / TLS-sertifikatleverandør kan belaste deg mer. Se deg rundt, men det er svært betalbare leverandører som ikke belaster ekstra for å bruke alle tre.

Hvorfor er TLS fortsatt å bli kalt SSL?

Som vi nevnte på toppen av dette innlegget, er TLS etterfølgeren til SSL. Mens SSL fortsatt er i bruk, er TLS en mer raffinert løsning og plugger mange av sikkerhetshullene som plaget SSL.

De fleste hostingfirmaer og SSL / TLS-sertifikatutbydere bruker fortsatt termen "SSL-sertifikat" i stedet for "TLS-sertifikat".

Vær klar, men de bedre hosting- og sertifikatleverandørene bruker faktisk TLS-sertifikater - de ville bare ikke endre navnet fordi det ville forvirre sine kunder.

Konklusjon

Single Socket Layer (SSL), og dets etterfølger, Transport Layer Security (TLS), er nødvendig for å operere sikkert online. Ved hjelp av lange strenger av numre som kalles "Nøkler", aktiverer SSL / TLS tilkoblinger hvor både din og kundens informasjon er kryptert før den sendes og dekrypteres når den kommer.

Bunnlinjen: Hvis du driver forretninger online, er SSL / TLS avgjørende for din fortsatte suksess fordi den bygger tillit mens du beskytter både deg og dine kunder.

Sikkerhetsfoto via Shutterstock

Mer i: Hva er 5 kommentarer ▼

Hva er SSL og hvorfor bør du bry deg?

Innholdsfortegnelse:

Hvorfor bør du bryr deg om SSL / TLS?

Offentlige, offentlige og sesjonstaster er, uh … nøkkel

Størrelse er viktig

Krypteringsalgoritmer

Hvilken krypteringsalgoritme bør du velge?

Hvorfor er TLS fortsatt å bli kalt SSL?

Konklusjon

Slik bekrefter du Navy Records of Dishonorable Discharge

Sjekk ut en av disse hendelsene, utmerkelser og konkurranser

Chirpify legger til Analytics til sosial handel, kjøper målrettet

Fra vårt fellesskap: 10 hurtige tips for bedriftsvekst

Carbonite til stede på den 15. årlige Needham Growth Conference Hot

ClientTickler lanserer kundespesifisert teamoppgaveadministrasjon for SMBer, juridiske og profesjonelle servicefirmaer Hot

Kan du bli med i de militære spesialstyrker med en straffelov? Hot

Gode unnskyldninger for å fortelle bossen du slutter

Slik avslutter du en arbeidsavtale

Slik avslutter du arbeidsplassbuller

Hvordan skrive et intensjonsavtale for forskning

Du har blitt passert over for kampanjen, hva nå?

Online annonser lukrative for små og mellomstore bedrifter

Penetrering av SMB-markedet krever kanalpartnere