SSL (Secure Socket Layer) е спецификация на технология, чрез която се осъществява прехвърлянето на Данни е защитена в интернет. Данните, които се предават, се криптират въз основа на протокола HTTPS и по този начин са защитени от шпиониране от трети страни. Криптирането се допълва от изискването за удостоверяване на автентичността на участниците в комуникацията. Терминът SSL вече е заменен с TLS (Transport Layer Security). Променено е само името. Технологията, на която се основава, е останала същата и някои софтуерни пакети и библиотеки все още имат SSL в имената си по исторически причини, въпреки че се основават на TLS, който впоследствие е доразвит.
От SSL към TLS - прилики и разлики
Технологията, която е прилагана многократно и е известна под съкращението SSL, продължава да се използва и разработва и днес под името TLS. Основните концепции на технологията не са се променили. Все още се използва HTTPS като хибриден протокол за криптиране, чиято последна версия като протокол SSL е версия 3.0. Впоследствие той е доразвит и стандартизиран като протокол TLS, като се започне от версия 1.0. В общата употреба двата термина често се използват като взаимозаменяеми, въпреки че трябва да се отбележи номерът на стиха. Например SSL 1.0 не съответства на TSL 1.0. В това представяне се използва съкращението SSL, тъй като то е по-известно и все още е обичайно да се говори за SSL, дори когато се говори за технологията TLS. Представени са основните концепции, които са идентични както за SSL, така и за TSL. Въпреки това, за специфични цели има различни имплементации с различни имена, като OpenSSL, GnuTLS и LibreSSL.
Криптография и проверка на самоличността - принцип на работа на SSL
Функционалният принцип на Secure Socket Layer или Transport Layer Security е двукомпонентен. В допълнение към криптирането на данни, тя се основава и на използването на удостоверяване. Използването на SSL е широко разпространено и често се използва за сигурно извличане на поверителни данни от HTTP сървър (уеб сървър) и за сигурно предаване на поверителни данни към него. Автентичността на набрания сървър се проверява чрез Сертификат и връзката между сървъра и клиента е криптирана. Тъй като днес SSL е изключително популярен, той почти се е превърнал в стандарт за добавяне към протоколите на приложенията, които сами по себе си не могат да осъществят сигурна връзка чрез криптиране.
Сертифициране и удостоверяване
Сертифицирането и удостоверяването на автентичността преди започване на предаване на данни чрез SSL връзка се разделя на следните етапи на обработка:
- Сертифицирането на публичния ключ се извършва след като
Сървърът получава сертификат от орган за сертифициране и валидиране при поискване.
- Удостоверяване на автентичността на сървъра
Връзката между клиента и сървъра се установява чрез SSL заявка от клиента, а сървърът се удостоверява със своя сертификат.
- Потвърждаване на предадения сертификат
Клиентът проверява сертификата, получен от сървъра, от органа за сертифициране и валидиране.
- криптирано предаване на данни
Ако самоличността на сървъра може да бъде установена по безспорен начин въз основа на валидирания сертификат, започва предаването на криптираните данни.
кодиране и разкодиране
В основата на криптирането и декриптирането в протокола SSL стои двойка цифрови ключове, състояща се от публичен и частен ключ. И двата ключа са различни. Изпращачът (клиентът) получава публичния ключ от получателя (сървъра), след като получателят се е легитимирал със своя сертификат. Процедурата се нарича "асиметрично криптиране" или "процедура с публичен ключ". След това изпращачът използва публичния ключ, за да криптира данните, които изпраща на получателя. След криптирането данните вече не могат да бъдат декриптирани с публичния ключ, а само с подходящия частен ключ на сървъра, който следователно трябва да го пази в тайна във всеки случай.
Сертификатите
И SSL, и TLS работят с така наречените сертификати PKIX, което означава "инфраструктура на публичния ключ съгласно X.509v3". Съществуват три вида сертификати, за които усилията за проверка по време на сертифицирането са различни и по този начин се гарантира различно ниво на автентичност:
- Удостоверението, валидирано за домейн (DV-SSL), е най-евтиното удостоверение. Домейнът се потвърждава само от Имейл и обикновено сертификатът се издава само след няколко минути.
- Удостоверението за валидиране на организация (OV-SSL) повишава надеждността на домейна чрез пълна проверка на организацията/оператора.
- Сертификатът за разширено валидиране (EV-SSL) се основава на най-високото ниво на валидиране и е широко разпространен в банковия сектор, наред с други.
Ограничения на SSL/TLS
Протоколът SSL защитава само предаването на данните. Това, което се случва след това при получателя, е извън регулацията на протокола SSL.
