SSL (Secure Sockets Layer) và người kế vị của nó, TLS (Bảo mật tầng vận tải), là các giao thức để thiết lập các liên kết được xác thực và mã hóa giữa các máy tính nối mạng. Mặc dù giao thức SSL không được chấp nhận với việc phát hành TLS 1.0 vào năm 1999, người ta vẫn thường gọi các công nghệ liên quan này là “SSL” hoặc “SSL /TLS. ” Phiên bản mới nhất là TLS 1.3, được định nghĩa trong RFC 8446 (Tháng 8 2018). Show Đọc để tìm hiểu thêm về: Hoặc, để có giới thiệu nhanh về TL; DR về SSL, chỉ cần xem trước một đoạn ngắn video. Những câu hỏi thường gặp
SSL là gì? SSL (Secure Sockets Layer) và người kế vị của nó, TLS (Bảo mật tầng vận tải), là các giao thức để thiết lập các liên kết được xác thực và mã hóa giữa các máy tính nối mạng. Mặc dù giao thức SSL không được chấp nhận với việc phát hành TLS 1.0 vào năm 1999, người ta vẫn thường gọi các công nghệ liên quan này là “SSL” hoặc “SSL /TLS". Chứng chỉ SSL là gì? An chứng chỉ SSL (còn được gọi là TLS hoặc SSL /TLS chứng chỉ) là một tài liệu kỹ thuật số liên kết nhận dạng của một trang web với một cặp khóa mật mã bao gồm khóa công khai và khóa riêng tư. Khóa công khai, có trong chứng chỉ, cho phép trình duyệt web bắt đầu một phiên giao tiếp được mã hóa với máy chủ web thông qua TLS và HTTPS các giao thức. Khóa riêng tư được giữ an toàn trên máy chủ và được sử dụng để ký kỹ thuật số các trang web và các tài liệu khác (chẳng hạn như hình ảnh và tệp JavaScript). Chứng chỉ SSL cũng bao gồm thông tin nhận dạng về một trang web, bao gồm tên miền của nó và, tùy chọn, thông tin nhận dạng về chủ sở hữu của trang web. Nếu chứng chỉ SSL của máy chủ web được ký bởi tổ chức phát hành chứng chỉ đáng tin cậy công khai (CA), như SSL.com, nội dung được ký kỹ thuật số từ máy chủ sẽ được trình duyệt web và hệ điều hành của người dùng cuối tin tưởng là xác thực. Chứng chỉ SSL là một loại Giấy chứng nhận X.509. Là gì TLS? TLS (Bảo mật tầng vận tải), được phát hành vào năm 1999, là sự kế thừa của SSL (Secure Sockets Layer) giao thức xác thực và mã hóa. TLS 1.3 được định nghĩa trong RFC 8446 (Tháng 8 2018). Tôi có cần địa chỉ IP chuyên dụng để sử dụng SSL không /TLS? Có một thời, yêu cầu bắt buộc là phải có IP riêng cho mỗi chứng chỉ SSL trên máy chủ web. Điều này không còn xảy ra do công nghệ được gọi là Chỉ báo tên máy chủ (SNI). Nền tảng lưu trữ của bạn đặc biệt sẽ phải hỗ trợ SNI. Bạn có thể tìm hiểu thêm thông tin về SNI trong này Bài viết SSL.com. Cổng nào được khuyến nghị sử dụng SSL /TLS kết thúc? Để tương thích tối đa, cổng 443 là tiêu chuẩn, do đó được khuyến nghị, cổng được sử dụng cho SSL bảo mật /TLS thông tin liên lạc. Tuy nhiên, bất kỳ cổng có thể được sử dụng. Phiên bản hiện tại của SSL là gì /TLS? TLS 1.3, được xác định vào tháng 2018 năm XNUMX bởi RFC 8446, là phiên bản mới nhất của SSL /TLS. TLS 1.2 (RFC 5246) được xác định vào tháng 2008 năm XNUMX và vẫn được sử dụng rộng rãi. Các phiên bản của SSL /TLS trước TLS 1.2 được coi là không an toàn và không còn được sử dụng. Các vấn đề bảo mật với các phiên bản cũ hơn của TLS? TLS phiên bản 1.0 và 1.1 bị ảnh hưởng bởi một số lượng lớn các lỗ hổng giao thức và triển khai đã được các nhà nghiên cứu bảo mật công bố trong hai thập kỷ qua. Tấn công như ROBOT ảnh hưởng đến thuật toán trao đổi khóa RSA, trong khi Đăng nhập và Yếu cho thấy nhiều TLS máy chủ có thể bị lừa sử dụng các tham số không chính xác cho các phương thức trao đổi khóa khác. Thỏa hiệp trao đổi khóa cho phép kẻ tấn công thỏa hiệp hoàn toàn an ninh mạng và giải mã các cuộc hội thoại. Tấn công vào các mật mã đối xứng, chẳng hạn như BEAST or Lucky13, đã chứng minh rằng các mật mã khác nhau được hỗ trợ trong TLS 1.2 trở về trước, với các ví dụ bao gồm RC4 or Chế độ CBC mật mã, không an toàn. Ngay cả chữ ký cũng bị ảnh hưởng, với Giả mạo chữ ký RSA của Bleichenbacher tấn công và các cuộc tấn công đệm tương tự khác. Hầu hết các cuộc tấn công đã được giảm nhẹ trong TLS 1.2 (với điều kiện là TLS trường hợp được cấu hình đúng), mặc dù TLS 1.2 vẫn dễ bị tổn thương hạ cấp tấn công, Chẳng hạn như MÓN, Freak, hoặc là Đường cong. Điều này là do thực tế là tất cả các phiên bản của TLS giao thức trước 1.3 không bảo vệ đàm phán bắt tay (quyết định phiên bản giao thức sẽ được sử dụng trong suốt quá trình trao đổi). Chìa khóa, Chứng chỉ và Bắt taySSL /TLS hoạt động bằng cách ràng buộc danh tính của các thực thể như trang web và công ty với mật mã cặp chìa khóa thông qua các tài liệu kỹ thuật số được gọi là Giấy chứng nhận X.509. Mỗi cặp khóa bao gồm một khóa cá nhân và khóa công khai. Khóa riêng được giữ an toàn và khóa chung có thể được phân phối rộng rãi thông qua chứng chỉ. Mối quan hệ toán học đặc biệt giữa khóa riêng và khóa chung trong một cặp có nghĩa là có thể sử dụng khóa chung để mã hóa tin nhắn chỉ có thể được giải mã bằng khóa riêng. Hơn nữa, người giữ khóa riêng có thể sử dụng nó để đăng ký các tài liệu kỹ thuật số khác (như các trang web) và bất kỳ ai có khóa chung đều có thể xác minh chữ ký này. Nếu SSL /TLS bản thân chứng chỉ được ký bởi cơ quan chứng nhận tin cậy công cộng (CA), Chẳng hạn như SSL.com, chứng chỉ sẽ được phần mềm khách hàng như trình duyệt web và hệ điều hành hoàn toàn tin cậy. Các CA đáng tin cậy công khai đã được các nhà cung cấp phần mềm lớn phê duyệt để xác thực danh tính sẽ được tin cậy trên nền tảng của họ. Các thủ tục xác nhận và cấp chứng chỉ của một CA công cộng phải được kiểm tra thường xuyên, nghiêm ngặt để duy trì trạng thái đáng tin cậy này. Thông qua SSL /TLS bắt tay, khóa riêng và khóa chung có thể được sử dụng với chứng chỉ tin cậy công khai để đàm phán phiên giao tiếp được mã hóa và xác thực qua internet, ngay cả giữa hai bên chưa từng gặp nhau. Thực tế đơn giản này là nền tảng của trình duyệt web an toàn và thương mại điện tử như được biết đến ngày nay. SSL /TLS và duyệt web an toànViệc sử dụng SSL phổ biến và nổi tiếng nhất /TLS là duyệt web an toàn thông qua HTTPS giao thức. Trang web HTTPS công khai được định cấu hình đúng bao gồm SSL /TLS chứng chỉ được ký bởi một CA. Người dùng truy cập trang web HTTPS có thể yên tâm về:
Do các thuộc tính này, SSL /TLS và HTTPS cho phép người dùng truyền bảo mật thông tin bí mật như số thẻ tín dụng, số an sinh xã hội và thông tin đăng nhập qua internet và đảm bảo rằng trang web họ gửi chúng là xác thực. Với một trang web HTTP không an toàn, những dữ liệu này được gửi dưới dạng văn bản thuần túy, có sẵn cho bất kỳ kẻ nghe trộm nào có quyền truy cập vào luồng dữ liệu. Hơn nữa, người dùng của các trang web không được bảo vệ này không có sự đảm bảo đáng tin cậy của bên thứ ba rằng trang web họ đang truy cập là những gì nó tuyên bố. Tìm các chỉ báo sau trong thanh địa chỉ của trình duyệt để đảm bảo rằng trang web bạn đang truy cập được bảo vệ bằng SSL đáng tin cậy /TLS Giấy chứng nhận (ảnh chụp màn hình từ Firefox 70.0 trên macOS): 
Các trình duyệt máy tính để bàn hiện đại cũng cảnh báo khách truy cập về các trang web không an toàn không có SSL /TLS chứng chỉ. Ảnh chụp màn hình bên dưới là của một trang web không an toàn được xem trong Firefox và hiển thị ổ khóa bị gạch chéo ở bên trái của URL: Lấy SSL /TLS giấy chứng nhậnSẵn sàng để bảo vệ trang web của riêng bạn? Quy trình cơ bản để yêu cầu SSL được tin cậy công khai /TLS chứng chỉ trang web như sau:
SSL /TLS chứng chỉ khác nhau tùy thuộc vào phương thức xác thực được sử dụng và mức độ tin cậy mà họ trao, với xác thực mở rộng (EV) cung cấp mức độ tin cậy cao nhất. Để biết thông tin về sự khác biệt giữa các phương thức xác nhận chính (DV, OV và EV), vui lòng tham khảo bài viết của chúng tôi, Chứng chỉ DV, OV và EV. Video |
