Introdução ao SSL (Secure Sockets Layer)

O principal problema envolvido na administração de qualquer rede é proteger os dados que estão sendo enviados por diferentes servidores, especialmente para redes não confiáveis. O SSL / TLS pode ser usado para criptografar mensagens entre os servidores assim que a autenticação for bem-sucedida pelo SSL.

O SSL foi desenvolvido pela Netscape no ano de 1994 como um meio de proteger a comunicação entre o cliente e o servidor.

O que é SSL?

SSL significa Secure Sockets Layer e é um protocolo que está sendo usado para fornecer comunicações seguras a uma rede de computadores. O nome oficial do protocolo agora é alterado e substituído, é conhecido como TLS, que significa Transport Layer Security. Embora o SSL fosse a base do TLS, ele substituiu as vulnerabilidades descobertas no SSL.

No mundo de hoje, existem informações pessoais e seguras e que precisam ser protegidas contra hackers e criminosos. A troca de informações pode ocorrer entre um servidor e um cliente (por exemplo, um navegador e um site) e também pode ocorrer com uma rede de servidores.

Sempre que uma rede ou site é protegido por SSL, HTTPS aparece no URL. HTTPS significa Hyper Text Transfer Protocol Secure. Também é possível ver muito mais detalhes sobre a autoridade emissora do certificado SSL e o nome corporativo do proprietário do site, clicando no símbolo de bloqueio superior esquerdo que aparece na barra do navegador.

Fonte: Do Meu Desktop

Trabalho de SSL (como uma conexão segura é estabelecida)

A abordagem básica que está sendo usada por trás do SSL é quando você ativa e instala um certificado SSL em um servidor e quando um cliente, digamos que o navegador da Web tenta se conectar a ele, o certificado SSL aciona um protocolo SSL que criptografa todos os dados entre o cliente e o servidor. Existe um handshake SSL que acontece entre o cliente e o navegador que é invisível para os usuários. Para configurar a conexão SSL, são necessárias três chaves: a chave privada, a chave pública e as chaves da sessão.

A regra é:

Tudo o que é criptografado com a ajuda da chave pública só pode ser descriptografado pela chave privada e vice-versa. Depois que a conexão é estabelecida, a chave da sessão está sendo usada para criptografar todos os dados.

Existem algoritmos diferentes que são usados ​​para criptografar os dados no SSL e os algoritmos simétricos suportados no SSL são Camélia, DES, 3DES, RC2, ARCFOUR, AES, IDEA, SEED, NULL (ou seja, sem criptografia).

Quais são as etapas envolvidas no estabelecimento de uma conexão segura via SSL?

A seguir, estão as etapas envolvidas no estabelecimento de uma conexão segura via SSL:

  1. O navegador da web, ou seja, o cliente se conecta ao servidor protegido por SSL. O navegador / cliente solicita a identificação do servidor.
  2. Em seguida, o servidor envia o certificado SSL emitido pela CA para o cliente. Juntamente com o certificado, o servidor também envia sua chave pública.
  3. O cliente, ou seja, o navegador recebe a cópia do certificado e, em seguida, verifica as diferentes propriedades, ou seja, verifica a validade, revogação e validade. Se a verificação resultante for confiável, uma chave de sessão simétrica será enviada de volta ao cliente, criptografada usando a chave pública do servidor.
  4. O servidor descriptografa a chave de sessão simétrica usando sua chave privada. Uma confirmação também é enviada de volta, criptografada com a chave da sessão.
  5. Depois que a conexão segura é estabelecida, todos os dados transmitidos são criptografados com a ajuda da chave da sessão.

Recursos de SSL e segurança fornecidos

O SSL / TLS fornece recursos para criptografia de dados, autenticação e integridade dos dados.

Quando um dado é criptografado com SSL, isso significa basicamente:

  • Os dados / mensagem enviados não são lidos por ninguém
  • A mensagem / dados não é modificada por ninguém
  • A mensagem / dados são enviados ao destinatário pretendido.

Para garantir que a mensagem chegue ao destinatário e ninguém a modifique, o SSL criptografa e também assina.

Tanto o processo requer o uso de chaves.

Chaves pública, privada e simétrica

  • Chave pública - uma chave pública converte a mensagem em um formato ilegível usando algoritmos e somente a pessoa que está tendo a chave pública pode criptografar a mensagem. Por outro lado, o destinatário está com a chave privada, com a ajuda da qual pode descriptografar a mensagem.
  • Chave privada - a chave privada está sendo usada para descriptografar a mensagem que foi criptografada usando a chave pública.

Exemplo:

A chave pública, como o nome sugere, está disponível para todos que estão tendo acesso ao repositório.

Uma chave pública, mais ou menos, pode se parecer abaixo:

1048 0141 03C9 18FA CA8D EB2D EKD5 FD37 89B9 M069 EA97 FC20 5E35 F577 EE31 C4FB C6B4 4811 7A86 BC8F BAFA 362F 922B F01B 2K40 C744 2654 C0DD 2881 D673 CA2B 4013 C26611202.

Seguindo o exemplo mais famoso, se Bob quiser enviar informações confidenciais para Alice, ele criptografará os dados com a chave pública de Alice. Ao fazer isso, ele garantiria que apenas Alice fosse capaz de lê-lo. Enquanto estiver do outro lado, apenas Alice terá acesso à Chave Privada correspondente. Portanto, apenas a pessoa com a chave privada tem a capacidade de descriptografar os dados criptografados.

Chaves e Certificados

Na criptografia de chave pública / privada, como sabemos que a chave pública pertence à entidade que a reivindicou?

O certificado digital é a resposta para isso.

Uma chave digital é como uma senha eletrônica que fornece um link entre a chave pública e a entidade (como a empresa, o negócio) que é verificado. Os certificados digitais são a maneira preferida de distribuir chaves públicas de criptografia confiáveis.

Como os Certificados Digitais são obtidos?

Os certificados digitais podem ser obtidos em qualquer uma das Autoridades de certificação ou CA reconhecidas.

Algumas das empresas de autoridades de certificação populares são:

  • Comodo SSL.
  • DigiCert.
  • Confie o Datacard.
  • GeoTrust.
  • GlobalSign.
  • Vai Papai.
  • Soluções de rede.
  • RapidSSL

Para obter o certificado, é necessário que a empresa ou a entidade preencha o formulário, adicione chaves públicas e elas devem ser enviadas à Autoridade de Certificação. Por sua vez, a autoridade de certificação executará algumas verificações e enviará de volta a chave que será incluída no certificado.

O certificado que vem é assinado pela CA (Autoridade de Certificação).

Os certificados digitais são principalmente de dois tipos

  • Certificados validados estendidos (EV)

O EV ou os certificados validados estendidos são usados ​​para sites HTTPS e também para o software. O EV fornece uma entidade legal para controlar o pacote de software e o site.

  • Certificados validados por domínio (DV)

No caso de DV ou o domínio validar certificados, a identidade da empresa ou da entidade é validada, colocando algum controle sobre o domínio DNS. O DV é um certificado digital X.509 típico.

Etapas para determinar um certificado SSL válido

Para determinar se o site está tendo um certificado SSL ou o certificado SSL válido (o que significa confiável e não expirou), abaixo estão algumas das verificações que podem ser feitas:

  1. A principal diferença é o "HTTP" (ou seja, HyperText Transfer Protocol) e o "https" (ou seja, HyperText Transfer Protocol Secure) que indica qual conexão é protegida por SSL. Um https sempre será exibido antes de qualquer endereço de site, se for protegido por SSL. Embora o site não tenha nenhuma segurança, seu endereço será exibido com HTTP.
  2. Um símbolo de cadeado pode ser visto se o site for protegido por SSL.
  3. Também é possível ver muito mais detalhes sobre a autoridade emissora do certificado SSL e o nome da empresa do proprietário do site, clicando no símbolo do cadeado superior esquerdo (ou seja, cadeado) que aparece na barra do navegador.

Onde se deve usar SSL?

O SSL deve ser usado em qualquer lugar em que estamos transmitindo dados ou informações através de uma rede, especialmente se as informações forem confidenciais.

Exemplos:

  1. Comunicação na intranet - Para proteger as informações trocadas na intranet da organização.
  2. Internet - Para proteger as informações trocadas pela Internet. Por exemplo, a comunicação entre um navegador da web e um servidor.
  3. Para garantir a troca de informações entre servidores ou servidores ou através de uma rede de servidores.
  4. Computação em nuvem.
  5. Protegendo as informações enviadas por celular, tablets etc.
  6. Comunicações por email e muito mais.

As vantagens e benefícios dos certificados SSL

Como aprendemos, o SSL é um protocolo que está sendo usado para fornecer comunicações seguras a uma rede de computadores. A seguir, estão as vantagens de usar SSL:

1. Para acabar com todas as tentativas feitas pelos bandidos, os "hackers"

Há muitos sites de phishing disponíveis hoje e sendo criados, portanto, precisamos ter muito cuidado com os sites de phishing. Em muitos casos, você pode ver a réplica exata do site original que está sendo disponibilizado para você, a fim de falsificá-lo. Mas no que diz respeito aos certificados SSL, eles garantirão que nada disso aconteça, pois é impossível para sites falsos obter um certificado SSL aprovado e assinado pela CA. Junto com isso, o SSL também o protegerá de outras ameaças, como "ataque do homem do meio" e interceptação.

2. Classificação dos motores de busca e aumento da presença de usuários

Muitos dos mecanismos de pesquisa, como o Google, atualizaram seu algoritmo para um site de classificação para aparecer no resultado da pesquisa com base em determinados parâmetros e um deles é um site protegido por SSL. Qualquer site com segurança SSL será classificado antes do site que não possui nenhuma segurança, o que significa que, quando os usos procurarem informações, o site protegido por SSL será exibido primeiro nos resultados da pesquisa, enquanto os sites NoNSSL serão exibidos nos últimos.

Outra grande vantagem é ganhar confiança de usuários e clientes. Um site protegido com SSL ganha a confiança dos usuários e eles estão menos preocupados com o aspecto de segurança do site e não têm medo de navegar pelo site.

3. Gateway de Pagamentos Seguros e Compra Segura

É obrigatório para qualquer site comercial obter um certificado SSL. Quando se trata de transferências de dinheiro e dinheiro, torna-se o máximo para fornecer um túnel seguro entre a entidade compradora e a entidade vendedora que estiver envolvida no negócio. Uma empresa que opera sem um certificado SSL é quase direcionada a ataques de hackers. Sem uma conexão segura, nenhum usuário jamais obterá a confiança de enviar seus números de cartão de crédito para fins de transação.

4. Mais segurança e autenticação estendida

Com o aumento dos ataques cibernéticos em todo o mundo, os clientes, bem como os hackers éticos, também estão se tornando cada vez mais seguros em relação ao seu papel, a fim de evitar qualquer acidente. Há muitas informações confidenciais trocadas em uma rede, como senhas, detalhes pessoais, negócios, etc. Portanto, uma autenticação segura deve ser fornecida para garantir que a comunicação seja bem protegida. Essa segurança adicional é obtida emitindo um certificado do servidor junto com o certificado SSL.

5. Criptografia mais robusta para proteger as informações

Todas as informações transferidas por uma conexão SSL são criptografadas com algoritmos robustos e complexos. É quase impossível decifrá-los. Os algoritmos de criptografia usados ​​principalmente pelas autoridades de certificação são RSA, DSA e ECC. Quaisquer informações confidenciais, como senhas ou números de cartão de crédito, quando enviadas por uma rede, serão protegidas com criptografia robusta e que não permitirão que os hackers a decifrem.

Conclusão

Neste artigo, adquirimos uma boa compreensão do SSL e como ele funciona. Também aprendemos sobre as chaves públicas e privadas que estão sendo usadas no algoritmo de criptografia SSL e, em seguida, aprendemos onde podemos usar o SSL. Por fim, encerramos nosso artigo vendo os benefícios do SSL.

Artigos recomendados

Este foi um guia para o que é SSL ?. Aqui discutimos o conceito principal, os recursos, o trabalho, os benefícios e as etapas para determinar um certificado SSL válido. Você também pode consultar nossos outros artigos sugeridos para saber mais -

  1. O Ansible é gratuito?
  2. O que é o MapReduce no Hadoop?
  3. O que é o Django?
  4. O que é cibersegurança?
  5. Conteúdo e tipos de certificado digital

Categoria:

Desenvolvimento de software