Ssl: що це?

Secure Sockets Layer (SSL) - це криптографічний протокол, створений для забезпечення безпеки зв'язку. Даний протокол широко використовувався раніше для організації захищеного прийому / передачі інформації через глобальну мережу, зокрема - для безпечного обміну текстовими повідомленнями та організації голосового зв'язку через IP.

У цій статті докладно розповімо, що таке SSL-протокол.

Трохи історії

SSL-протокол розробила компанія Netscape в 1996 році для свого однойменного браузера, однак він дуже швидко набув популярності, і інші браузери і веб-сервіси також почали його використовувати. SSL застосовує асиметричну криптосистему з відкритим ключем, розроблену компанією RSA.

Схема обміну

Протокол SSL дає можливість передавати зашифровані дані по відкритих каналах, не боячись за їх перехоплення і розшифровку. Протокол містить два шари - транспортний TCP, який формує пакет даних і відповідає за їх передачу по мережі, і захисний SSL Record Protocol. Для безпечної передачі обов'язково використання обох шарів протоколу.

Шифрування інформації в SSL ведеться з використанням криптографічних ключів різного розміру - 40, 53256 і 128-бітних. Чим більше число біт, тим більш стійкий виходить шифр. Але на розшифровку навіть самого короткого 40-бітного ключа піде не менше 24 годин. Браузер Internet Explorer за замовчуванням використовує 40 і 56-бітові ключі, однак якщо користувачеві дуже важлива секретність інформації, рекомендується використовувати 128-бітові ключі, для чого, наприклад, в Internet Explorer доводиться додатково завантажувати спеціальний пакет безпеки Security pack.

SSL-сертифікат

Щоб здійснити обмін даними по протоколу SSL, сервер / сайт повинен мати SSL-сертифікат, який містить в зашифрованому вигляді (проте вони зрозумілі протоколу) відомості про власника сертифіката, центрі сертифікації, яким він виданий, і безліч іншої корисної інформації. Якщо SSL-сертифікат відсутній, користувачеві буде відмовлено в доступі на потенційно небезпечний сервер.

"Спілкування" через SSL-сертифікат

При застосуванні SSL-сертифіката сервер і клієнт обмінюються спеціальними унікальними повідомленнями ініціалізації, в яких містяться дані про версію протоколу, ідентифікаторі сесії, типі шифрування даних і тип їх стиснення. Після "вітального слова" сервер передає клієнтові сертифікат або ключове повідомлення і запитує клієнтський сертифікат. Потім проходить кілька операцій з уточнення та обміну алгоритмами і ключами, і тільки потім починається процес передачі секретної інформації.

Звичайно, вся ця процедура займає досить багато часу, хоча для користувача затримка незначна. Тим не менш, при подальшому обігу вже "подружившиеся" клієнт і сервер використовують ідентифікатор попередньої сесії.

Вже не безпечний

На початку статті ми написали, що SSL активно використовувався раніше, це означає, що сьогодні SSL вже не вважається досить безпечним протоколом. За час існування SSL-протоколу в ньому була виявлена маса вразливостей, а тому сьогодні рекомендується відмовитися від використання SSL на користь нового стандарту TLS. Втім, сучасні хакери не дадуть довгої спокійного життя і TLS.

Читайте також: Що таке HTTP | Захист даних за допомогою протоколу HTTPS.

Більше інформації шукайте в розділі Поняття та визначення.