SSL

TLS e SSL per principianti

TLS e SSL per principianti
Introduzione alla crittografia asimmetrica.

Benvenuto nella guida per principianti a TLS e SSL. Approfondiremo le applicazioni della cartografia asimmetrica o a chiave pubblica.

Cos'è la crittografia asimmetrica?

La crittografia a chiave pubblica è stata introdotta all'inizio del 1970. Insieme è nata l'idea che invece di usare un'unica chiave per crittografare e decifrare un'informazione, dovrebbero essere utilizzate due chiavi separate: crittografia e decrittografia. Ciò significa che la chiave utilizzata per crittografare le informazioni non è rilevante per la questione della decrittografia di tali informazioni. È anche conosciuta come crittografia asimmetrica.

Questo è un concetto nuovo e per elaborarlo ulteriormente richiederebbe l'uso di calcoli molto intricati, quindi conserveremo quella discussione per un'altra volta.

Cosa sono TLS e SSL?

TLS sta per Transport Layer Security, mentre SSL è l'abbreviazione di Secure Socket Layer. Entrambe sono applicazioni di crittografia a chiave pubblica e, insieme, hanno reso gli utenti di Internet in grado di effettuare comunicazioni su Internet.

Cosa sono esattamente questi due è spiegato di seguito.

In che modo TLS è diverso da SSL??

TLS e SSL utilizzano entrambi l'approccio asimmetrico alla crittografia per proteggere le comunicazioni su Internet (strette di mano). La differenza fondamentale tra i due è che SSL è il risultato di un'innovazione commerciale, e quindi una proprietà della sua società madre, che è Netscape. Al contrario, TLS è un Internet Engineering Task Force Standard, una versione leggermente aggiornata di SSL. È stato chiamato in modo diverso per evitare problemi di copyright e potenzialmente una causa.

Per essere precisi, TLS ha alcuni attributi che lo separano da SSL. In TSL, gli handshake sono stabiliti senza sicurezza e sono rafforzati dal comando STARTTLS, che non è il caso in SSL.

TSL è considerato un miglioramento di SSL perché consente di aggiornare allo stato protetto le strette di mano che in genere non sono sicure o non sicure.

Cosa rende le connessioni TLS più sicure di SSL?

C'è stata un'intensa concorrenza nei mercati della sicurezza informatica. SSL 3.0 non riusciva a stare al passo con Internet ed è stato reso obsoleto nel 2015. Ci sono diverse ragioni dietro questo, principalmente a che fare con le vulnerabilità che non potevano essere corrette. Una di queste suscettibilità è la compatibilità di SSL con i cifrari in grado di resistere ai moderni attacchi informatici cyber.

La vulnerabilità rimane con TLS 1.0, poiché un intruso potrebbe forzare un SSL 3.0 connessione sul client e quindi sfruttarne la vulnerabilità. Questo non è più il caso del nuovo aggiornamento di TLS.

Quali misure possiamo adottare?

Se sei il destinatario, tieni aggiornato il tuo browser. Al giorno d'oggi, tutti i browser sono dotati di supporto integrato per TLS 1.2, motivo per cui mantenere la sicurezza non è così difficile per i clienti. Tuttavia, gli utenti dovrebbero comunque prendere precauzioni quando vedono bandiere rosse. Praticamente tutti i messaggi di avviso dei tuoi browser puntano a tali bandiere rosse. I browser Web moderni sono eccezionali nel rilevare se sta succedendo qualcosa di losco in un sito Web.

Gli amministratori del server che ospitano i siti Web hanno maggiori responsabilità sulle loro spalle. C'è molto che puoi fare in questo senso, ma iniziamo a visualizzare un messaggio quando un client utilizza un software obsoleto.

Ad esempio, coloro che utilizzano macchine Apache come server dovrebbero provare questo:

$ Opzioni SSL +StdEnvVars
$ RequestHeader set protocollo X-SSL %SSL_PROTOCOLs
$ RequestHeader set X-SSL-Cipher %SSL_CIPHERs

Se stai usando PHP, cerca $_SERVER all'interno dello script. Se ti imbatti in qualcosa che indica che TLS non è aggiornato, verrà visualizzato un messaggio di conseguenza.

Per rafforzare meglio la sicurezza del tuo server, ci sono utilità gratuite là fuori che testano il sistema per la suscettibilità alle carenze di TLS e SSL. Alcuni di loro possono configurare ancora meglio il tuo server. Se ti piace l'idea, dai un'occhiata a Mozilla SSL Configuration Generator, che fondamentalmente fa tutto il lavoro per te per impostare il tuo server per ridurre al minimo i rischi TLS e simili.

Se vuoi testare il tuo server per la suscettibilità SSL, dai un'occhiata ai Qualys SSL Labs. Esegue una configurazione automatizzata che è sia completa che complessa se sei orientato ai dettagli.

In sintesi

Tutto considerato, il peso della responsabilità è sulle spalle di tutti.

Con l'avvento dei computer e delle tecniche moderne, gli attacchi informatici sono diventati nel tempo sempre più efficaci e su larga scala. Tutti gli utenti di Internet devono avere un'adeguata conoscenza dei sistemi che proteggono la loro privacy online e adottare le precauzioni necessarie durante la comunicazione su Internet.

In ogni caso, è sempre molto meglio usare l'open source in quanto sono più sicuri, gratuiti e possono portare a termine il lavoro.

Giochi I migliori giochi da giocare con il tracciamento delle mani
I migliori giochi da giocare con il tracciamento delle mani
Oculus Quest ha recentemente introdotto la grande idea del tracciamento manuale senza controller. Con un numero sempre crescente di giochi e attività ...
Giochi Come mostrare l'overlay OSD in app e giochi Linux a schermo intero
Come mostrare l'overlay OSD in app e giochi Linux a schermo intero
Giocare a giochi a schermo intero o utilizzare app in modalità a schermo intero senza distrazioni può tagliarti fuori dalle informazioni di sistema ri...
Giochi Le 5 migliori carte di acquisizione del gioco
Le 5 migliori carte di acquisizione del gioco
Abbiamo tutti visto e amato i giochi in streaming su YouTube. PewDiePie, Jakesepticye e Markiplier sono solo alcuni dei migliori giocatori che hanno g...