Was ist SSL und warum sollten Sie sich darum kümmern?

Inhaltsverzeichnis:

Anonim

In einem früheren Bericht über den Wechsel von HTTP zu HTTPS wurde kurz SSL (Single Socket Layer) angesprochen. Kurz gesagt, SSL und sein Nachfolger, Transport Layer Security (TLS), sind für den sicheren Online-Betrieb erforderlich.

In diesem Artikel wollen wir uns näher mit der Frage „Was ist SSL?“ Beschäftigen und wie SSL / TLS Ihre vertraulichen Informationen schützt.

Warum sollten Sie sich für SSL / TLS interessieren?

Bevor wir jedoch zu „Wie“ gehen, werfen wir einen Blick auf „Warum“, dass Sie SSL / TLS überhaupt verwenden möchten.

$config[code] not found

Heutzutage ist die Datensicherheit golden. Jeder, dessen Identität gestohlen wurde, kann Ihnen das sagen. Der Schlüssel zum Schutz Ihrer Daten besteht darin, sie an einem sicheren Ort aufzubewahren, wo sie niemand sehen kann.

Leider ist das online nicht möglich. Wenn Sie Informationen online übertragen, gibt es immer Irgendwann in einem Prozess, bei dem sowohl Sie als auch Ihr Kunde die Kontrolle über die Daten verlieren.

Sie sehen, während Ihr Kunde das Gerät, auf dem Ihr Browser ausgeführt wird, und Ihren Webserver absichern kann, sind die Pipes der Online-Welt nicht in Ihrer Hand.

Unabhängig davon, ob es sich um das Kabelunternehmen, das Telefongesellschaft oder ein staatlich betriebenes Unterseekabel handelt, werden die Daten Ihrer Kunden online durch andere Hände geleitet und müssen deshalb mit SSL / TLS verschlüsselt werden.

Hier einige Beispiele für die Arten von Informationen, die Sie zur Online-Sicherung mit SSL / TLS verwenden können:

  • Kreditkartentransaktionen
  • Website-Logins
  • Weitergabe persönlicher und persönlicher Informationen
  • Sichern Sie Ihre E-Mail von Snoopers.

Ja, wenn Sie online Geschäfte tätigen, ist SSL / TLS für Ihren weiteren Erfolg von entscheidender Bedeutung. Warum? Weil:

  • Ihre Kunden müssen sich sicher fühlen, wenn sie online mit Ihnen Geschäfte tätigen oder wenn sie nicht mit Ihnen Geschäfte machen. und
  • Sie haben gegenüber Ihrem Kunden die Verantwortung, die sensiblen Informationen zu schützen, die Sie für die Weitergabe an Sie ausgewählt haben.

Als Nächstes betrachten wir die Funktionsweise von SSL / TLS.

Public, Public und Session Keys sind der äh… Schlüssel

Wenn Sie SSL / TLS für die Online-Übermittlung Ihrer vertraulichen Daten verwenden, verbinden sich Ihr Browser und der gesicherte Webserver mit zwei separaten Schlüsseln, um eine sichere Verbindung einzurichten: einen öffentlichen und einen privaten Schlüssel. Sobald die Verbindung hergestellt ist, wird ein dritter Schlüsseltyp, der Sitzungsschlüssel, zum Ver- und Entschlüsseln der hin und her übergebenen Informationen verwendet.

$config[code] not found

So funktioniert das:

  1. Wenn Sie eine Verbindung zu einem sicheren Server (z. B. amazon.com) herstellen, beginnt der Prozess "Handshake":
    1. Zunächst übergibt der Server Ihrem Browser das SSL / TLS-Zertifikat sowie den öffentlichen Schlüssel.
    2. Ihr Browser überprüft dann das Zertifikat des Servers, um festzustellen, ob er dem Zertifikat vertrauen kann. Dies kann durch Faktoren hervorgehoben werden, z. B. ob das Zertifikat von einer zuverlässigen Quelle ausgestellt wurde und ob das Zertifikat nicht abgelaufen ist.
    3. Wenn das SSL / TLS vertrauenswürdig ist, sendet Ihr Browser eine Bestätigung an den Server zurück und teilt ihm mit, dass er betriebsbereit ist. Diese Nachricht wird mit dem öffentlichen Schlüssel des Servers verschlüsselt und kann nur mit dem privaten Schlüssel des Servers entschlüsselt werden. In dieser Bestätigung ist der öffentliche Schlüssel Ihres Browsers enthalten.
      1. Wenn dem Server nicht vertraut werden kann, wird in Ihrem Browser eine Warnung angezeigt. Sie können die Warnung immer ignorieren, aber es ist nicht ratsam.
    4. Der Server erstellt dann den Sitzungsschlüssel. Vor dem Senden an Ihren Browser wird die Nachricht mit Ihrem öffentlichen Schlüssel verschlüsselt, sodass nur Ihr Browser sie mit seinem privaten Schlüssel entschlüsseln kann.
  2. Nachdem der Handshake beendet ist und beide Teilnehmer den Sitzungsschlüssel sicher erhalten haben, teilen Ihr Browser und der Server eine sichere Verbindung. Sowohl Ihr Browser als auch der Server verwenden den Sitzungsschlüssel, um die vertraulichen Daten zu verschlüsseln und zu entschlüsseln, wenn diese online gesendet werden.
    1. Sobald die Sitzung beendet ist, wird der Sitzungsschlüssel verworfen. Selbst wenn Sie eine Stunde später eine Verbindung herstellen, müssen Sie diesen Vorgang von Anfang an durchlaufen, was zu einem neuen Sitzungsschlüssel führt.

Die Größe ist wichtig

Alle drei Schlüsseltypen bestehen aus langen Zahlenfolgen. Je länger der String, desto sicherer ist die Verschlüsselung. Auf der anderen Seite dauert eine längere Zeichenfolge mehr Zeit zum Verschlüsseln und Entschlüsseln von Daten und belastet die Ressourcen des Servers und Ihres Browsers.

Aus diesem Grund gibt es Sitzungsschlüssel. Ein Sitzungsschlüssel ist viel kürzer als der öffentliche und der private Schlüssel. Das Ergebnis: wesentlich schnellere Ver- und Entschlüsselung, aber weniger Sicherheit.

Warten Sie - weniger Sicherheit? Ist das nicht so schlimm? Nicht wirklich.

Sitzungsschlüssel existieren nur für kurze Zeit, bevor sie gelöscht werden. Sie sind zwar nicht so lang wie die beiden anderen Schlüsseltypen, aber sie sind so sicher, dass Hacker in der kurzen Zeit, in der die Verbindung zwischen Ihrem Browser und dem sicheren Server besteht, verhindert werden.

Verschlüsselungsalgorithmen

Sowohl der öffentliche als auch der private Schlüssel werden mit einem von drei Verschlüsselungsalgorithmen erstellt.

Wir werden hier nicht zu tief gehen, Sie benötigen buchstäblich einen mathematischen Abschluss (vielleicht mehrere), um Verschlüsselungsalgorithmen vollständig zu verstehen. Es ist jedoch nützlich, die Grundlagen zu kennen, wenn Sie den Typ auswählen müssen, den Ihre eigene Website verwendet.

Die drei Hauptalgorithmen sind:

  • RSA - benannt nach seinen Schöpfern (Ron REifer, Adi SHamir und Leonard EINdlema), RSA gibt es seit 1977. RSA erstellt Schlüssel mit zwei zufälligen Primzahlen in einer Reihe von Berechnungen. Mehr erfahren…
  • Algorithmus für digitale Signatur (DSA) - DSA wurde von der National Security Agency (NSA) erstellt und erstellt Schlüssel in einem zweistufigen Prozess, der in einer Reihe von Berechnungen eine "crptographic Hash-Funktion" verwendet. Mehr erfahren…
  • Kryptographie mit elliptischen Kurven (EEC) - EEC erstellt Schlüssel mit der "algebraischen Struktur elliptischer Kurven" in einer komplexen Reihe von Berechnungen. Lern mehr…
$config[code] not found

Welchen Verschlüsselungsalgorithmus sollten Sie wählen?

Abgesehen von Mathe, welcher Verschlüsselungsalgorithmus ist der beste?

Derzeit scheint die ECC an der Spitze zu stehen. Dank der Mathematik sind Schlüssel, die mit dem ECC-Algorithmus erstellt wurden, kürzer, während sie gleichzeitig so sicher sind wie lange. Ja, das ECC verstößt gegen die Regel der Größe, wodurch es ideal für eine sichere Verbindung mit weniger leistungsstarken Geräten wie Ihrem Mobiltelefon oder Tablet ist.

Der beste Ansatz ist möglicherweise ein hybrider Algorithmus, bei dem Ihr Server alle drei Arten von Algorithmen akzeptieren kann, sodass er mit allen möglichen Ereignissen umgehen kann. Die zwei Nachteile dieses Ansatzes können sein:

  1. Der Server verwendet mehr Ressourcen für die Verwaltung von RSA, DSA und ECC als nur für ECC. und
  2. Ihr SSL / TLS-Zertifikatanbieter berechnet Ihnen möglicherweise mehr. Schauen Sie sich jedoch um, es gibt sehr gute Anbieter, die keine zusätzlichen Gebühren für die Nutzung aller drei Gebühren erheben.

Warum wird TLS immer noch als SSL bezeichnet?

Wie wir oben in diesem Beitrag erwähnt haben, ist TLS der Nachfolger von SSL. Während SSL immer noch verwendet wird, ist TLS eine verfeinerte Lösung und schließt viele der Sicherheitslücken, die SSL plagen.

Die meisten Hosting-Unternehmen und Anbieter von SSL / TLS-Zertifikaten verwenden immer noch den Begriff "SSL-Zertifikat" anstelle von "TLS-Zertifikat".

Es ist jedoch klar, dass die besseren Hosting- und Zertifikatsanbieter tatsächlich TLS-Zertifikate verwenden. Sie wollten nur den Namen nicht ändern, da dies die Kunden verwirren würde.

Fazit

Single Socket Layer (SSL) und sein Nachfolger, Transport Layer Security (TLS), sind für den sicheren Online-Betrieb erforderlich. SSL / TLS verwendet lange Zahlenfolgen, die als "Schlüssel" bezeichnet werden, und ermöglicht Verbindungen, bei denen sowohl Ihre als auch Ihre Kundeninformationen verschlüsselt werden, bevor sie bei Ankunft gesendet und entschlüsselt werden.

Fazit: Wenn Sie online Geschäfte tätigen, ist SSL / TLS von entscheidender Bedeutung für Ihren weiteren Erfolg, da es Vertrauen aufbaut und gleichzeitig Sie und Ihre Kunden schützt.

Sicherheitsfoto über Shutterstock

Mehr in: Was ist 5 Kommentare ▼