In un precedente rapporto sul passaggio da HTTP a HTTPS, ha toccato brevemente Single Socket Layer (SSL). In breve, SSL e il suo successore, Transport Layer Security (TLS), sono necessari per operare in sicurezza online.
In questo articolo, diamo un'occhiata più da vicino alla risposta alla domanda "cos'è SSL" e anche a come SSL / TLS protegge le tue informazioni sensibili.
Perché dovresti preoccuparti di SSL / TLS?
Prima di passare a "Come", tuttavia, diamo un'occhiata a "Perché" si desidera utilizzare SSL / TLS in primo luogo.
In questi giorni, la sicurezza dei dati è d'oro. Qualcuno che ha avuto la sua identità rubata potrebbe dirti questo. La chiave per tenere al sicuro le tue informazioni è di riporla in un luogo sicuro dove nessun altro può vederlo.
Sfortunatamente, questo non è possibile online. Quando trasferisci informazioni online, c'è sempre un punto nel processo in cui sia tu che i tuoi clienti perdete il controllo dei dati.
Vedete, mentre il vostro cliente può proteggere il dispositivo su cui gira il browser e potete proteggere il vostro server Web, le pipe del mondo online sono fuori di entrambe le mani.
Che si tratti della compagnia via cavo, della compagnia telefonica o di un cavo sottomarino gestito dal governo, i dati dei clienti passeranno attraverso le mani di qualcun altro online ed è per questo che deve essere crittografato tramite SSL / TLS.
Ecco alcuni esempi dei tipi di informazioni che è possibile utilizzare SSL / TLS per proteggere online:
- Transazioni con carta di credito
- Login al sito web
- Passando informazioni private e personali avanti e indietro
- Proteggere la tua email dai ficcanaso.
Sì, se conduci un'attività commerciale online, SSL / TLS è fondamentale per il tuo continuo successo. Perché? Perché:
- I tuoi clienti devono sentirsi sicuri quando fanno affari con te online o non faranno affari con te; e
- Hai la responsabilità verso il tuo cliente di proteggere le informazioni sensibili che hanno scelto di condividere con te.
Successivamente, diamo un'occhiata a come funziona SSL / TLS.
Le chiavi pubbliche, pubbliche e di sessione sono la ... chiave
Quando si utilizza SSL / TLS per trasmettere i dati sensibili online, il browser e il server Web protetto che si connette utilizzano due chiavi separate per impostare una connessione protetta: una chiave pubblica e una privata. Una volta stabilita la connessione, un terzo tipo di chiave, la chiave di sessione, viene utilizzata per crittografare e decrittografare le informazioni trasmesse avanti e indietro.
Ecco come funziona:
- Quando ti colleghi a un server sicuro (ad es. Amazon.com), inizia il processo "handshake":
- In primo luogo, il server passerà il tuo browser è il certificato SSL / TLS così come la sua chiave pubblica;
- Il browser controllerà quindi il certificato del server per vedere se può fidarsi di esso utilizzando fattori come se il certificato è stato rilasciato da un'origine affidabile e se il certificato non è scaduto.
- Se SSL / TLS è affidabile, il browser invierà un riconoscimento al server per informarlo che è pronto per l'uso. Tale messaggio verrà crittografato utilizzando la chiave pubblica del server e potrà essere decifrato solo utilizzando la chiave privata del server. Incluso in tale riconoscimento è la chiave pubblica del tuo browser.
- Se il server non può essere considerato attendibile, verrà visualizzato un avviso nel browser. Puoi sempre ignorare l'avviso, ma non è saggio.
- Il server quindi crea la chiave di sessione. Prima di inviarlo al browser, crittografa il messaggio utilizzando la tua chiave pubblica in modo che solo il tuo browser, utilizzando la sua chiave privata, possa decrittografarlo.
- Ora che l'handshake è finita e entrambi i festaioli hanno ricevuto in modo sicuro la chiave di sessione, il tuo browser e il server condividono una connessione sicura. Sia il browser che il server utilizzano la chiave di sessione per crittografare e decrittografare i dati sensibili mentre vengono inviati avanti e indietro online.
- Una volta terminata la sessione, la chiave di sessione viene scartata. Anche se ci si connette un'ora dopo, è necessario eseguire questo processo dall'inizio che si tradurrà in una nuova chiave di sessione.
Size Matters
Tutti e tre i tipi di chiavi sono costituiti da lunghe stringhe di numeri. Più lunga è la stringa, più sicura è la crittografia. Sul lato negativo, una stringa più lunga richiede più tempo per crittografare e decrittografare i dati e mette a dura prova sia le risorse del server sia quelle del browser.
Questo è il motivo per cui esistono le chiavi di sessione. Una chiave di sessione è molto più breve delle chiavi pubbliche e private. Il risultato: crittografia e decodifica molto più veloci ma meno sicurezza.
Aspetta: meno sicurezza? Non è così male? Non proprio.
Le chiavi di sessione esistono solo per un breve periodo prima che vengano eliminate. E mentre non sono lunghi quanto gli altri due tipi di chiavi, sono abbastanza sicuri da impedire l'hacking durante il breve tempo in cui esiste la connessione tra il browser e il server sicuro.
Algoritmi di crittografia
Le chiavi pubbliche e private vengono create utilizzando uno dei tre algoritmi di crittografia.
Non stiamo andando troppo in profondità qui, hai letteralmente bisogno di una laurea in matematica (forse diversi) per capire completamente gli algoritmi di crittografia, ma è utile conoscere le basi quando arriva il momento di scegliere il tipo che il tuo sito web utilizza.
I tre algoritmi principali sono:
- RSA - prende il nome dai suoi creatori (Ron Rivest, Adi Shamir e Leonard Adlema), RSA esiste da 1977. RSA crea chiavi utilizzando due numeri primi casuali in una serie di calcoli. Per saperne di più…
- Digital Signature Algorithm (DSA) - creato dalla National Security Agency (NSA), DSA crea chiavi utilizzando un processo in due fasi che utilizza una "funzione hash crptografica" in una serie di calcoli. Per saperne di più…
- Crittografia a curve ellittiche (CEE) - La CEE crea le chiavi usando "la struttura algebrica delle curve ellittiche" in una complessa serie di calcoli. Per saperne di più…
Quale algoritmo di crittografia dovresti scegliere?
Math a parte, qual è il miglior algoritmo di crittografia da usare?
Attualmente, ECC sembra essere al top. Grazie alla matematica, le chiavi create con l'algoritmo ECC sono più brevi pur essendo sicure quanto i tasti molto più lunghi. Sì, ECC rompe la regola "size matters" che lo rende ideale per una connessione sicura su dispositivi meno potenti come il tuo cellulare o tablet.
L'approccio migliore potrebbe essere quello ibrido, in cui il server può accettare tutti e tre i tipi di algoritmi in modo da poter gestire qualsiasi cosa venga lanciata. I due aspetti negativi di questo approccio possono essere:
- Il server utilizza più risorse per gestire RSA, DSA ed ECC anziché solo ECC; e
- Il tuo fornitore di certificati SSL / TLS potrebbe farti pagare di più. Guardare intorno, tuttavia, ci sono fornitori molto affidabili che non fanno pagare extra per l'utilizzo di tutti e tre.
Perché TLS è ancora chiamato SSL?
Come accennato all'inizio di questo post, TLS è il successore di SSL. Mentre SSL è ancora in uso, TLS è una soluzione più raffinata e collega molte delle falle di sicurezza che affliggono SSL.
La maggior parte delle società di hosting e i fornitori di certificati SSL / TLS usano ancora il termine "certificato SSL" invece di "certificato TLS".
Tuttavia, è chiaro che i migliori fornitori di servizi di hosting e certificati utilizzano effettivamente i certificati TLS - semplicemente non volevano cambiare il nome perché avrebbe confuso i loro clienti.
Conclusione
Single Socket Layer (SSL) e il suo successore, Transport Layer Security (TLS), sono necessari per operare in sicurezza online. Usando lunghe stringhe di numeri chiamate "Chiavi", SSL / TLS abilita le connessioni in cui le informazioni dell'utente e del cliente vengono crittografate prima di essere inviate e decifrate al loro arrivo.
In conclusione: se conducete affari online, SSL / TLS è fondamentale per il vostro continuo successo perché crea fiducia mentre protegge voi e i vostri clienti.
Foto di sicurezza tramite Shutterstock
