SSL сертификатите са мъртви. Да живеят TLS сертификатите! 

Ако сте създали уеб сайт, знаете колко вълнуващ, но и труден е процесът. Има много решения, които трябва да се вземат и много опции за регистратори, хостинг, DNS, домейн услуги, DDoS защита, плъгини, цифрови сертификати за сигурност и т.н. Всичко има значение, но сигурността е от съществено такова, за да се гарантира безопасна среда за потребителите за онлайн трансакции, за защита на самия уеб сайт и за по-добро класиране в търсачките.

Странно е, че все още, през 2023 г., се говори за SSL сертификат. Отдавна такъв не съществува. Когато става въпрос за дигитална сигурност, трябва да говорим за TLS сертификата.

Какво беше SSL сертификат?

SSL означава Secure Sockets Layer. Това беше технология, която криптира трафика на данни, протокол, създаден за защита на двете страни на комуникацията, уеб браузъра (клиента) и сървърите на уебсайта (сървъра). SSL защити потока от важна информация като потребителски данни, пароли и банкови данни. С SSL бихте могли да имате по-безопасен сайт и да предотвратите фалшифициране и подслушване, например. Когато го настроите правилно, можете да показвате на посетителите си HTTPS точно преди името на вашия домейн.

Първият Secure Sockets Layer (SSL) сертификат е създаден през 1994 г. от Netscape Communications Corporation. Преди не е имало стандарт за сигурност на уеб сайтове и наличен метод за защита на чувствителна информация, която се предава по интернет. Създаването на SSL е била голяма стъпка за укрепване на сигурността.

Освен криптиране на данни, SSL помага за удостоверяване на уеб сайтове и организации. Това е добър знак за клиентите, че са на правилния сайт, а не на фалшив имитиращ такъв. Следователно- може да му се има доверие.

За съжаление, всяко технологично подобрение, особено когато става въпрос за сигурност, попада в порочен кръг. Отнема време на разработчиците да намерят решения и когато ги получат, престъпниците отговарят или с по-силни атаки, или търсят слабости в новата технология, за да продължат да изпълняват своите злонамерени дейности. SSL не беше изключение. Злонамерени хакери откриват уязвимости в SSL технологията, които им позволяват да прихващат и манипулират криптирани комуникации.

Това установява необходимостта от подобрен отговор от страна на етичните хакери.

Прочетете още интересна информация за видовете хакери и колко опасни са те тук.

Какво е TLS сертификат?

През 1999 г. TLS или Transport Layer Security (защитата на транспортния слой) дойде да замени предишния SSL сертификат.

Защита на транспортния слой (TLS) е подобрена версия на цифров сертификат, използван за защита на връзките между уеб клиент (уеб браузър, например) и уеб сървър. Сертификатът се издава от надеждна организация на трета страна, известна като сертифициращ орган (CA).

Сертификатът съдържа информация, свързана със самоличността на собственика на сайта и необходимия публичен ключ, необходим за криптиране на комуникациите. Всеки път, когато браузър се свърже с уеб сайт, който притежава валиден TLS, браузърът го проверява чрез използването на публичния ключ на CA. Ако процесът на проверка на браузъра покаже, че TLS сертификатът е валиден, браузърът установява защитена връзка с уеб сървъра, използвайки информацията, включена в TLS сертификата. В този момент се извършва много важен процес: TLS ръкостискане. Този процес инициира комуникационната сесия, така че двете участващи страни да потвърдят (обменят съобщения) и да се проверят взаимно, да дефинират криптографските алгоритми, които да се използват, и да се споразумеят за ключовете на сесията.

След като TLS ръкостискането се изпълни успешно, комуникациите на уеб сървъра и уеб браузъра са криптирани, следователно чувствителната информация като банкови данни, номера на кредитни или дебитни карти и идентификационни данни за вход са защитени от престъпни опити за прихващане на данни.

Считайте, че TLS сертификатът е валиден само ако:

• Името на домейна в него съвпада с името на домейна на сайта, към който браузърът на потребителя се опитва да се свърже.
• Не е отменен.
• Не е с изтекъл срок.

TLS сертификатът включва следната информация:

• Името на домейна на сайта.
• Името на собственика на сайта (организация).
• Местоположение на организацията.
• Цифровият подпис на сертифициращия орган.
• Публичният ключ за криптиране на комуникации.
• Датата на изтичане на сертификата.

SSL сертификат и TLS сертификат. Сравнение.

Цел

Secure Sockets Layer (SSL) и Transport Layer Security (TLS) са криптографски протоколи, които позволяват установяването на сигурни връзки между уеб клиенти и уеб сървъри. И двете следват една и съща цел, но има разлики помежду им.

Разработка

SSL е създаден от Netscape Communications Corporation през 1994 г. Преди създаването му не е имало такъв метод за защита за защита на поверителността на потребителите.

TLS е разработен от Internet Engineering Task Force (IETF) през 1999 г. Той е проектиран с ясната цел да замени SSL с подобрена версия на протокола. TLS адресира уязвимостите (прихващане и подправяне на криптирани комуникации), открити преди това в SSL протокола.

Удостоверяване

TLS включва в своя дизайн по-усъвършенствани методи за удостоверяване от SSL.

Докато SSL удостоверява само сървъра, TLS дава възможност за удостоверяване също и на клиента.

Перфектна предна секретност

TLS добави функция, Perfect Forward Secrecy (PFS), която помага да се гарантира, че дори в случай, че частният ключ бъде компрометиран, предишните комуникации могат да останат безопасни. С PFS всяка комуникация (сесия) създава уникален ключ за криптиране. Той е независим от частния ключ и продължава само докато трае сесията.

SSL не притежава тази функция в своя дизайн.

Алгоритми

TLS има по-силни алгоритми от SSL, използван в миналото за криптиране. За справка-TLS 1.2 използва ECDHE и AES, докато SSL 3.0 използва RSA и RC4.

Версии

SSL има само SSL 2.0 и SSL 3.0 версии, като в момента и двете се считат за опасни. TLS има повече версии- 1.0, 1.1, 1.2 и 1.3. TLS е онова, което трябва да използвате в момента за по-голяма безопасност

Остарялост

Това е много важен момент! SSL вече не се счита за безопасен за използване, тъй като официално е смятан за остарял. Настоящият препоръчван протокол за защита на уеб комуникациите е TLS.

Предимства на наличието на TLS сертификат.

TLS сертификат предлага следните предимства:

• По-добра сигурност. TLS сертификатът предлага по-силни алгоритми за криптиране и подобрени методи за удостоверяване. Следователно получавате по-високо ниво на сигурност от това, което един SSL сертификат можеше да предложи в миналото. TLS означава защита срещу злонамерен софтуер и фишинг атаки и защита на целостта, тъй като неговите функции за сигурност помагат за предотвратяване на престъпни манипулации на уеб комуникациите сървър-клиент.
• Криптиране на данни. Това е ефективен метод за защита срещу престъпно прихващане на поверителна информация, обменяна по време на комуникация (идентификационни данни за вход, номера на банкови карти и др.).
• Удостоверяване. TLS сертификатът помага на потребителите да проверят, че комуникират с уеб сайта, който искат. Не забравяйте, че TLS включва полезна информация за удостоверяване на самоличността на собственика на уеб сайта.
• Подобрено потребителско изживяване. TLS сертификатът означава повече сигурност за вашия сайт и потребители. А по-безопасното и по-приятно цялостно изживяване водят до по-голяма ангажираност, надеждност и лоялност на клиентите.
• По-високо класиране в търсачките. Търсачките отдавна насърчават използването на сертификати за сигурност, за да направят онлайн средата по-безопасна. Вашият сайт има по-големи шансове да бъде препоръчан и по-добре класиран от тях, ако има валиден TLS сертификат.
• По-високи продажби. TLS сертификатът се приема като положителен знак от потребителите. Да се чувстват в безопасност на сайта ви, докато въвеждат данни за банкови карти и друга чувствителна информация, е от ключово значение за потребителите да купуват от вас.
• Съответствие. Като цяло фирмите, продаващи продукти или услуги, и правителствените агенции са длъжни да предлагат сигурни комуникации на потребителите. Може да има разлики в различните държави, но в повечето случаи работата с TLS сертификат е важно задължение, установено по различни разпоредби за защита на поверителността и чувствителната информация на потребителите. По-големите браузъри могат да маркират вашия сайт като несигурен при липса на TLS.

Коя е най-новата версия на TLS? – Подобрения

Последната версия на TLS е TLS 1.3. Internet Engineering Task Force (IETF) официално го стандартизира през август 2018 г. Това са основните подобрения, предлагани от TLS 1.3 в сравнение с предишните му версии:

• Подобрена сигурност. TLS 1.3 включва по-силни алгоритми за криптиране (AES-GCM), за да защити вашите комуникации от криптографски нападатели.
• Остарелите функции са премахнати. Тъй като е било установено, че възобновяването на сесията, предоговарянето и компресирането са били несигурни в предишните версии, поддръжката за тези функции бива премахната в TLS 1.3.
• Премахнати са остарелите шифри. Поддръжката на слаби и остарели пакети за шифроване бива премахната, за да превърне TLS 1.3 в по-безопасен протокол.
• Той поддържа Perfect Forward Secrecy (PFS). Функцията присъства в TLS 1.3.
• Позволява по-бърза връзка. TLS 1.3 прави процеса на ръкостискане по-бърз. В резултат на това установяването на защитена връзка и времето за зареждане на страницата за потребителите също са по-бързи.
• Подобрено удостоверяването на съобщенията. Най-новата TLS версия включва AEAD или Authenticated Encryption with Associated Data конструкции. Те осигуряват по-силна защита срещу повторни атаки и подправяне.

Защо хората все още го наричат SSL вместо TLS?

Има няколко причини хората все още да използват името SSL вместо TLS. Някои доставчици смятат, че името на SSL съобщава по-ясно целта на тази технология, отколкото TLS. Затова те продължават да наричат TLS сертификата SSL, само за да спестят обяснения на клиентите. Други смятат, че проблемът е, че SSL е позициониран много ефективно в съзнанието на хората и трудно щебъде заменен. Според нас и двете причини са слаби и използването на неправилно и остаряло име само създава объркване сред клиентите.

Нека го приемем вече: SSL сертификатите са мъртви отдавна. Да живеят TLS сертификатите! Уязвимостите на SSL сертификата накараха света да премине към по-сигурен сертификат. SSL не е актуализиран от SSL 3.1 (1996), тъй като официално се счита за остарял. Ако проверите, съвременните браузъри вече не го поддържат. В момента вече трябва да използвате TLS сертификат и по-конкретно, TLS 1.3, най-актуалната му версия.

Ако искате да научите повече за различните видове TLS сертификати (DV, OV и EV), налични на пазара вижте тук.

Безупречен ли е TLS 1.3?

Можем да кажем, че TLS 1.3 е много полезен протокол. Tой наистина подобрява сигурността на сайтовете, но далеч не е безупречен. Не са виновни разработчиците, а престъпниците. Спомнете си какво казахме в началото- злонамерени хакери постоянно търсят начини да пробият системите за сигурност, търсейки дори най-дребната възможност да изпълнят атаките си. Всяко ново подобрение, постигнато от разработчиците и етичните хакери, почти веднага бива ударено от тях. И това се превръща в история без край.

След това трябва да разгледате TLS 1.3 като важен елемент от сигурността на вашия сайт, но имайте предвид, че той ще работи много по-добре в комбинация с други технологии. Не забравяйте и потенциални рискове като:

Грешните конфигурации, водещи до използването на остарели шифри или по-слабо криптиране, или  по-малко безопасна връзка. Неправилните конфигурации могат да бъдат резултат на това, че клиентите не използват най-новата TLS версия или има грешки при конфигурирането на сървъра.

Потенциално съществува риск от атаки и по страничен канал, които търсят извличане на секретни ключове от криптографска реализация. Такива атаки използват изтичането на информация за внедряване като електромагнитни излъчвания, информация за времето или консумация на енергия.

Атаките тип „Man-in-the-middle“ (човек по средата) са друг потенциален риск, който не трябва да пренебрегвате. Нападателите могат да се опитат да променят заявките на клиентите към сървъра с цел клиентите да приемат подправен сертификат. Ако се справят с това, биха могли да прихванат и дешифрират трафика ви.

Тези рискове могат да бъдат овладяни чрез практики за сигурност като актуализиране на вашите системи, за да имате най-новите ъпдейти.

Заключение

Вече всичко е ясно! TLS сертификатът доминира онлайн света преди повече от две десетилетия. Неговият дизайн подобри възможностите на своя предшественик SSL. Добавянето на TLS сертификат към вашия сайт не е разход, а интелигентна силно препоръчителна инвестиция в сигурността!

Не забравяйте- SSL сертификатите са мъртви. Да живеят TLS сертификатите!