Introduzione a SSL (Secure Sockets Layer)

Il problema principale legato all'amministrazione di qualsiasi rete è quello di proteggere i dati inviati su server diversi, in particolare a reti non attendibili. SSL / TLS può essere utilizzato per crittografare i messaggi tra i server una volta che l'autenticazione ha esito positivo da parte di SSL.

SSL è stato sviluppato da Netscape nel 1994 come mezzo per proteggere la comunicazione tra client e server.

Che cos'è SSL?

SSL è l'acronimo di Secure Sockets Layer ed è un protocollo utilizzato per fornire comunicazioni sicure a una rete di computer. Il nome ufficiale del protocollo è ora cambiato e sostituito, è noto come TLS che sta per Transport Layer Security. Mentre SSL è stato il fondamento di TLS, è arrivato in sostituzione delle vulnerabilità scoperte in SSL.

Nel mondo di oggi, ci sono informazioni che sono personali e sicure e che devono essere protette dagli hacker e dai criminali. Lo scambio di informazioni può avvenire tra un server e un client (ad esempio un browser e un sito Web) e può avvenire anche con una rete di server.

Ogni volta che una rete o un sito Web è protetto da SSL, HTTPS appare nell'URL. HTTPS è l'acronimo di Hyper Text Transfer Protocol Secure. Inoltre si possono vedere molti più dettagli sull'autorità emittente del certificato SSL e sul nome dell'azienda del proprietario del sito Web facendo clic sul simbolo del lucchetto in alto a sinistra che appare sulla barra del browser.

Fonte: dal mio desktop

Funzionamento di SSL (come viene stabilita una connessione sicura)

L'approccio di base utilizzato dietro SSL è quando si abilita e installa un certificato SSL su un server e quando un client, ad esempio il browser Web tenta di connettersi con esso, il certificato SSL attiva un protocollo SSL che crittografa tutti i dati tra il client e il server. Esiste una stretta di mano SSL tra il client e il browser che è invisibile agli utenti. Per impostare la connessione SSL, sono necessarie tre chiavi: la chiave privata, la chiave pubblica e le chiavi di sessione.

La regola è:

Tutto ciò che è crittografato con l'aiuto della chiave pubblica può essere decrittografato solo dalla chiave privata e viceversa. Una volta stabilita la connessione, la chiave di sessione viene utilizzata per crittografare tutti i dati.

Esistono diversi algoritmi che vengono utilizzati per crittografare i dati in SSL e gli algoritmi simmetrici supportati in SSL sono Camellia, DES, 3DES, RC2, ARCFOUR, AES, IDEA, SEED, NULL (ovvero nessuna crittografia).

quali sono i passaggi necessari per stabilire una connessione sicura tramite SSL?

Di seguito sono riportati i passaggi necessari per stabilire una connessione sicura tramite SSL:

  1. Il browser Web, ovvero il client, si connette al server protetto con SSL. Il browser / client richiede l'identificazione del server.
  2. Successivamente, il server invia al client il certificato SSL emesso da CA. Insieme al certificato, il server invia anche la sua chiave pubblica.
  3. Il client, ovvero il browser, riceve la copia del certificato e quindi verifica le diverse proprietà, ovvero verifica la scadenza, la revoca e la validità. Se il controllo risultante è attendibile, una chiave di sessione simmetrica viene inviata al client che viene crittografata utilizzando la chiave pubblica del server.
  4. Il server quindi decodifica la chiave di sessione simmetrica usando la sua chiave privata. Viene inoltre inviato un riconoscimento che viene crittografato con la chiave di sessione.
  5. Una volta stabilita la connessione sicura, tutti i dati trasmessi vengono crittografati con l'aiuto della chiave di sessione.

Funzionalità di SSL e sicurezza fornite

SSL / TLS fornisce funzionalità per la crittografia dei dati, l'autenticazione e l'integrità dei dati.

Quando un dato viene crittografato con SSL ciò significa sostanzialmente:

  • I dati / messaggi inviati non vengono letti da nessuno
  • Il messaggio / i dati non vengono modificati da nessuno
  • Il messaggio / i dati vengono inviati al destinatario previsto.

Per assicurarsi che il messaggio abbia raggiunto il destinatario e che nessuno lo abbia modificato, SSL lo crittografa e lo firma.

Entrambi i processi richiedono l'uso di chiavi.

Tasti pubblici, privati ​​e simmetrici

  • Chiave pubblica: una chiave pubblica converte il messaggio in un formato illeggibile mediante algoritmi e solo la persona che dispone della chiave pubblica può crittografare il messaggio. Dall'altro lato, il destinatario ha la chiave privata, con la quale può decrittografare il messaggio.
  • Chiave privata: la chiave privata viene utilizzata per decrittografare il messaggio che è stato crittografato utilizzando la chiave pubblica.

Esempio:

La chiave pubblica, come suggerisce il nome, è disponibile per tutti coloro che hanno accesso al repository.

Una chiave pubblica, più o meno, potrebbe apparire come di seguito:

1048 0141 03C9 18FA CA8D EB2D EKD5 FD37 89B9 M069 EA97 FC20 5E35 F577 EE31 C4FB C6B4 4811 7A86 BC8F BAFA 362F 922B F01B 2K40 C744 2654 C0DD 2881 D673 CA2B 4013 C0266 E2012

Seguendo l'esempio più famoso, se Bob desidera inviare informazioni riservate ad Alice, crittograferà i dati con la chiave pubblica di Alice. In questo modo, si sarebbe assicurato che solo Alice potesse essere in grado di leggerlo. Dall'altro lato, solo Alice ha accesso alla chiave privata corrispondente. Quindi solo la persona con la chiave privata ha la capacità di decrittografare i dati crittografati.

Chiavi e certificati

Nella crittografia della chiave pubblica / privata, come facciamo a sapere se la chiave pubblica appartiene all'entità che l'ha rivendicata?

Il certificato digitale è la risposta a questo.

Una chiave digitale è come una password elettronica che fornisce un collegamento tra la chiave pubblica e l'entità (come la società, l'azienda) che viene verificata. I certificati digitali sono il modo preferito di distribuire chiavi di crittografia pubbliche affidabili.

Come si ottengono i certificati digitali?

I certificati digitali possono essere ottenuti da qualsiasi autorità di certificazione o CA riconosciuta.

Alcune delle società di autorità di certificazione popolari sono:

  • Comodo SSL.
  • DigiCert.
  • Affida Datacard.
  • GeoTrust.
  • GlobalSign.
  • Vai papà.
  • Soluzioni di rete.
  • RapidSSL

Per ottenere il certificato, l'azienda o l'entità è tenuta a compilare il modulo, aggiungere le chiavi pubbliche e queste devono essere inviate all'autorità di certificazione. A sua volta, l'autorità di certificazione eseguirà alcuni controlli e invierà la chiave che sarà racchiusa nel certificato.

Il certificato fornito viene firmato da CA (Certificate Authority).

I certificati digitali sono principalmente di due tipi

  • Extended Validated Certificates (EV)

L'EV o i certificati validati estesi vengono utilizzati per i siti Web HTTPS e anche per il software. L'EV fornisce la persona giuridica per il controllo del pacchetto software e del sito Web.

  • Domain Validated Certificates (DV)

In caso di DV o il dominio convalida i certificati, l'identità dell'azienda o dell'entità viene convalidata esercitando un certo controllo sul dominio DNS. Il DV è il tipico certificato digitale X.509.

Passaggi per determinare un certificato SSL valido

Al fine di determinare se il sito Web ha un certificato SSL o un certificato SSL valido (che significa attendibile e non scaduto), di seguito sono riportati alcuni dei controlli che è possibile eseguire:

  1. La differenza principale è "HTTP" (ovvero HyperText Transfer Protocol) e "https" (ovvero HyperText Transfer Protocol Secure) che indica quale connessione è protetta da SSL. Un https verrà sempre visualizzato prima di qualsiasi indirizzo del sito Web se è protetto da SSL. Mentre se il sito Web non ha alcuna sicurezza, il suo indirizzo verrà visualizzato con HTTP.
  2. Un simbolo di lucchetto può essere visualizzato se il sito Web è protetto SSL.
  3. Inoltre si possono vedere molti più dettagli sull'autorità emittente del certificato SSL e sul nome dell'azienda del proprietario del sito Web facendo clic sul simbolo del lucchetto in alto a sinistra (cioè lucchetto) che appare sulla barra del browser.

Dove si dovrebbe usare SSL?

Il protocollo SSL deve essere utilizzato ovunque in cui stiamo trasmettendo dati o informazioni su una rete, specialmente se le informazioni sono sensibili.

Esempi:

  1. Comunicazione Intranet: per proteggere le informazioni scambiate all'interno della rete Intranet dell'organizzazione.
  2. Internet: per proteggere le informazioni scambiate su Internet. Ad esempio la comunicazione tra un browser Web e un server.
  3. Per garantire lo scambio di informazioni tra server a server o su una rete di server.
  4. Cloud computing.
  5. Protezione delle informazioni inviate tramite cellulare, tablet, ecc.
  6. Comunicazioni via email e molte altre.

I vantaggi e i vantaggi dei certificati SSL

Come abbiamo appreso, SSL è un protocollo utilizzato per fornire comunicazioni sicure a una rete di computer. Di seguito sono riportati i vantaggi dell'utilizzo di SSL:

1. Per cancellare tutti i tentativi fatti dai cattivi, gli "hacker"

Esistono molti siti di phishing oggi disponibili e in fase di creazione, quindi dobbiamo essere molto cauti nei confronti dei siti di phishing. In molti casi, potresti visualizzare la replica esatta del sito Web originale che ti viene reso disponibile per falsificare. Ma per quanto riguarda i certificati SSL, faranno in modo che non accada nulla di simile poiché è impossibile per i siti Web falsi ottenere un certificato SSL approvato e firmato da CA. Insieme a questo, SSL ti proteggerà anche da altre minacce come "l'attacco nel mezzo" e l'intercettazione.

2. Classificazione dei motori di ricerca e aumento della presenza degli utenti

Molti dei motori di ricerca come Google hanno aggiornato il suo algoritmo in un sito Web di rango per apparire nei risultati di ricerca in base a determinati parametri e uno di questi è un sito Web protetto SSL. Qualsiasi sito Web con sicurezza SSL verrà classificato prima del sito Web che non ha alcuna sicurezza, il che significa che quando gli usi cercheranno informazioni, il sito Web protetto SSL verrà visualizzato all'inizio nei risultati di ricerca, mentre i siti Web NoNSSL verranno visualizzati nell'ultimo.

Un altro grande vantaggio è quello di ottenere la fiducia di utenti e clienti. Un sito Web protetto con SSL guadagna la fiducia degli utenti e sono meno preoccupati dell'aspetto di sicurezza del sito Web e non temono durante la navigazione attraverso il sito Web.

3. Gateway per pagamenti sicuri e acquisti sicuri

È obbligatorio per qualsiasi sito aziendale ottenere un certificato SSL. Quando si tratta di trasferimenti di denaro e contanti, diventa il massimo per fornire un tunnel sicuro tra l'entità acquirente e l'entità venditrice chiunque sia coinvolto nell'attività. Un'azienda che opera senza un certificato SSL è quasi presa di mira dagli attacchi degli hacker. Senza una connessione sicura, nessun utente potrà mai avere la sicurezza di inviare i propri numeri di carta di credito per motivi di transazione.

4. Più sicurezza e autenticazione estesa

Con l'aumentare degli attacchi informatici in tutto il mondo, i clienti, così come gli hacker etici, stanno diventando sempre più sicuri nei confronti del loro ruolo per prevenire eventuali incidenti. Ci sono molte informazioni sensibili che vengono scambiate su una rete come password, dettagli personali, affari, ecc. Quindi è necessario fornire un'autenticazione sicura per garantire che la comunicazione sia ben protetta. Questa sicurezza aggiuntiva si ottiene emettendo un certificato del server insieme al certificato SSL.

5. Crittografia più solida per la sicurezza delle informazioni

Tutte le informazioni che vengono trasferite su una connessione SSL sono crittografate con algoritmi robusti e complessi. È quasi impossibile decifrarli. Gli algoritmi di crittografia utilizzati principalmente dalle autorità di certificazione sono RSA, DSA ed ECC. Qualsiasi informazione sensibile come password o numeri di carta di credito, se inviata su una rete, sarà protetta con una crittografia affidabile e ciò non consentirà agli hacker di decifrarla.

Conclusione

In questo articolo, abbiamo acquisito una buona conoscenza dell'SSL e di come funziona. Abbiamo anche appreso le chiavi pubbliche e private che vengono utilizzate nell'algoritmo di crittografia SSL e quindi abbiamo imparato dove possiamo utilizzare SSL. Infine, abbiamo concluso il nostro articolo vedendo i vantaggi dell'SSL.

Articoli consigliati

Questa è stata una guida a What is SSL ?. Qui abbiamo discusso il concetto chiave, le caratteristiche, il funzionamento, i vantaggi e i passaggi per determinare un certificato SSL valido. Puoi anche consultare i nostri altri articoli suggeriti per saperne di più -

  1. Ansible è gratuito?
  2. Che cos'è MapReduce in Hadoop?
  3. Cos'è Django?
  4. Che cos'è la sicurezza informatica?
  5. Contenuto e tipi di certificato digitale

Categoria:

Sviluppo software