大家好!
在这里,我们与安静的灌封者一起推出了对我们来说最不寻常的课程之一:
“信息安全中的数字签名” 。 无论如何,我们都进行了管理,并吸引了人们的参与,让我们看看会发生什么。 今天,我们将介绍其余有趣的材料,并简要介绍TLS的工作原理,以及不可信和可信Web证书之间的区别。
翻译-dzone.com/articles/a-look-at-tls-transport-layer-security
由Arun Pandey发布
TLS-传输层安全性(Transport Layer Security Protocol)的缩写,基于SSL。 顾名思义,这是在传输级别运行的协议。
如您所知,通信安全是一个非常常见的难题,但是正确实施TLS可以将Web安全提高到一个新的水平。 在嵌入了TLS的环境中,攻击者可以获得与您尝试连接的主机有关的信息,找出使用了哪种加密,断开连接,但是您只能执行其他操作。
几乎所有通信协议都具有三个主要部分:数据加密,身份验证和数据完整性。
在此协议中,可以通过两种方式对数据进行加密:使用公钥密码系统或对称密码系统。 作为一种实现,公钥密码系统比对称密码系统更加完善。
公钥密码系统和对称密码系统概述公钥密码系统是一种非对称加密,使用公私钥。 因此,公用密钥B用于对数据A进行加密(B与A共享公用密钥),并且B在接收到加密数据后,使用其自己的专用密钥对它们进行解密。
对称密码系统使用相同的密钥进行解密和加密,因此A和B将具有相同的秘密密钥。 这是一个很大的缺点。
现在,让我们看看身份验证在TLS中如何工作。 为了验证消息发送者的真实性并为接收者提供加密响应的方法,可以使用数字证书来实现认证。 操作系统和浏览器会保留可以确认的受信任证书的列表。
信任与 不受信任的证书数字证书分为两类。 受信任的证书由证书颁发机构(简称为CA)签名,而不受信任的证书是自签名的。
可信证书受信任的证书位于Web浏览器中,并由CA签名。 这对于确保最高级别的可靠性是必要的。 假设网站“ xyz.com”希望从著名的认证中心“ Comodo”接收受信任的数字证书。
步骤如下:
- 为该应用程序创建Web服务器:xyz.com;
- 使用公共密钥加密(由于其可靠性)创建一对私有密钥(public-private key);
- 为证书颁发机构(在我的情况下为Comodo)生成证书签名请求(简称CSR)。 在磁盘上,该文件可能称为“ certreq.txt”;
- 向认证中心申请,包括CSR;
- 认证中心(在我的情况下为Comodo)将检查您的请求,包括公钥和私钥;
- 如果一切正常,认证中心将使用其自己的私钥对请求进行签名;
- 中心将发送要安装在Web服务器上的证书;
- 一切准备就绪!
不受信任的证书站点所有者签署了不受信任的证书。 如果可靠性问题不相关,则此方法适用。
请注意,在TLS实现中通常不使用不受信任的证书。
TLS证书替换的工作方式
- 在浏览器中打开地址“ xyz.com”;
- Web服务器收到请求;
- Web服务器响应该请求发送证书;
- Web浏览器评估响应并验证证书;
- 在验证过程中,Web浏览器会发现证书是由Comodo中心签名的;
- Web浏览器检查证书数据库(例如IE-> Internet选项->内容->证书)中是否有Comodo证书;
- 找到后,Web浏览器将使用Comodo公钥来验证Web服务器发送的证书。
- 如果验证成功,浏览器将认为该连接是安全的。
结束
与往常一样,我们正在等待问题和评论。