SSL (Secure Sockets Layer) i jego następca, TLS (Transport Layer Security) , są protokołami do ustanawiania uwierzytelnionych i szyfrowanych połączeń między komputerami w sieci. Mimo że protokół SSL był przestarzały w związku z wydaniem TLS 1.0 w 1999 r., Nadal często określa się te powiązane technologie jako „SSL” lub „SSL / TLS”. Najnowszą wersją jest TLS 1.3 , zdefiniowana w RFC 8446 (sierpień 2018).

Jak to działa?

SSL / TLS działa poprzez wiązanie tożsamości podmiotów, takich jak strony internetowe i firmy, z  parami kluczy kryptograficznych za pomocą dokumentów cyfrowych zwanych certyfikatami X.509 . Każda para kluczy składa się z klucza prywatnego i klucza publicznego . Klucz prywatny jest bezpieczny, a klucz publiczny można szeroko rozpowszechniać za pomocą certyfikatu.
Specjalny związek matematyczny między kluczem prywatnym i publicznym w parze oznacza, że ​​można użyć klucza publicznego do zaszyfrowania wiadomości, którą można odszyfrować tylko za pomocą klucza prywatnego. Ponadto posiadacz klucza prywatnego może go używać do podpisywania innych dokumentów cyfrowych (takich jak strony internetowe), a każdy posiadający klucz publiczny może zweryfikować ten podpis.

Przykład strony www

Bez oraz z certyfikatem


Zastosowanie

SSL w stronach internetowych

Najczęstsze i najbardziej znane połączenie protokołu SSL / TLS jest bezpieczne przeglądanie stron internetowych za pomocą pomocy HTTPS . Prawidłowo udostępniona publiczna witryna HTTPS zawiera certyfikat SSL / TLS podpisany przez publicznie zaufany urząd certyfikacji. Użytkownicy odwiedzający korzystają z HTTPS mogą być pewni:

  • Autentyczność. Serwer prezentujący certyfikat jest w posiadaniu klucza prywatnego, który pasuje do klucza publicznego w certyfikacie.
  • Integralność. Dokumenty podpisane przez certyfikat (np. Strony internetowe) nie zostały zmienione podczas transportu przez pośrednika .
  • Szyfrowanie Komunikacja między klientem a serwerem jest szyfrowana.

Ze względu na właściwości protokołu SSL / TLS i HTTPS mogą być obsługiwane przez przesyłane poufne informacje, takie jak numery kart bezpieczeństwa, numery ubezpieczenia i dane logowania, i upewnij się, że witryna, do kiedy je wysyłają, jest autentyczna. W przypadku niezabezpieczonej witryny HTTP dane są wysyłane jako zwykły tekst, łatwo dostępny dla każdego podsłuchującego z funkcją do przesyłania danych. Poza tymi, które są zabezpieczone protokołami SSL, nie można mieć żadnych pewności iż strona którą odwiedzamy, jest tym, za co się podaje..