Hoe SSL Server Certificaten Werk


  Share  
|

SSL certificaten te maken van SSL om naadloos samen te werken tussen Web sites en Web bezoekers 'browsers. Het SSL-protocol gebruikt een combinatie van asymmetrische codering met openbare sleutels en snellere symmetrische encryptie.

De Netscape Navigator en Microsoft Internet Explorer browsers hebben een ingebouwde beveiligingsmechanismen om te voorkomen dat gebruikers onbewust de indiening van hun persoonlijke informatie over onveilige kanalen. Als een gebruiker probeert om informatie te verstrekken aan een onbeveiligde site (een site zonder een SSL server certificaat), zullen de browsers, standaard, tonen een waarschuwing.

In tegenstelling, als een gebruiker creditcard of andere informatie aan een site met een geldige server certificaat en een SSL-verbinding, is de waarschuwing niet weergegeven. De beveiligde verbinding is naadloos, maar bezoekers kunnen er zeker van zijn dat transacties met een site worden beveiligd door naar de volgende aanwijzingen:

  • De URL in de browser venster 'https' aan het begin, in plaats van http.

  • In Netscape Communicator zal het hangslot in de linkerbenedenhoek van de Navigator-venster worden gesloten in plaats van open.

  • In Internet Explorer, een hangslot verschijnt in de balk aan de onderkant van de IE-venster

SSL Sterke punten: 40-bits en 128-Bit SSL

SSL komt in twee sterktes, 40-bit en 128-bits, die verwijzen naar de lengte van de sessie sleutel gegenereerd door elke versleutelde transactie. Hoe langer de sleutel, hoe moeilijker het is om de encryptie code te breken. 128-bit SSL-encryptie is 's werelds sterkste; volgens RSA Labs, zou het om een biljoen jaar te kraken met behulp van technologie van vandaag. 128-bits encryptie is ongeveer 3 x 1026 sterker dan 40-bits codering.

Microsoft en Netscape bieden twee versies van hun browsers, de uitvoer en de binnenlandse, die het mogelijk maken verschillende niveaus van encryptie afhankelijk van het type server van SSL-certificaat, waarmee de browser is communiceren. Ten eerste, 40-bit SSL server certificaten (zoals VeriSign SSL-certificaten van) staat 40-bit SSL bij de communicatie met de export versie van Netscape en Microsoft Internet Explorer (IE) browsers (gebruikt door de meeste mensen in de VS en wereldwijd) en 128-bit SSL-codering bij de communicatie met de binnenlandse-versie van Microsoft en Netscape browsers. Ten tweede, 128-bit SSL server certificaten (zoals VeriSign Global Server ID's) in staat stellen 128-bit SSL encryptie ( 's werelds sterkste) met zowel binnenlandse en buitenlandse versies van Microsoft en Netscape browsers.

INFO: SSL Server Certificaten Stappen

Het proces begint door middel van een SSL "handshake"-waardoor de server om zichzelf te authenticeren om de browser te gebruiker, en vervolgens waardoor de server en de browser te werken aan de oprichting van de symmetrische sleutels worden gebruikt voor encryptie, decryptie, en tamper detectie:

  1. Een klant contacten een site en een beveiligde toegang URL-een pagina beveiligd door een SSL-certificaat (aangegeven door een URL die begint met "https:" in plaats van gewoon "http:" of door een bericht van de browser). Dit zou typisch een online bestelformulier verzamelen van persoonlijke gegevens van de klant, zoals adres, telefoonnummer en creditcard nummer of andere betalingsgegevens.

  2. Browser van de klant stuurt automatisch de server SSL-versie van de browser-nummer, cijfer instellingen, willekeurig gegenereerde gegevens en andere informatie van de server moet communiceren met de klant met behulp van SSL.

  3. De server reageert, automatisch verzenden van de browser van de klant digitaal certificaat van de site, samen met SSL-versie van de server-nummer, cijfer instellingen, enzovoort.

  4. Browser van de klant bespreekt de informatie in het certificaat van de server, en heeft bevestigd dat:

    1. De server certificaat is geldig en beschikt over een geldige datum.

    2. De CA is afgegeven dat de server is ondertekend door een vertrouwde CA waarvan het certificaat is ingebouwd in de browser.

    3. De afgifte van CA publieke sleutel, ingebouwd in de browser, valideert digitale handtekening van de uitgevende instelling.

    4. De domeinnaam die door de server certificaat overeenkomt met de werkelijke domein van de server naam.

    Als de server niet kan worden geverifieerd, wordt de gebruiker gewaarschuwd dat een gecodeerd, kan geverifieerde verbinding niet worden vastgesteld.

  5. Als de server met succes kan worden geverifieerd, Web-browser van de klant genereert een unieke "sessie sleutel" om alle communicatie met de site met behulp van asymmetrische encryptie te versleutelen.

  6. Browser van de gebruiker versleutelt de sessie sleutel zelf met de openbare sleutel van de site zodat alleen de site van de sessie sleutel kan lezen, en stuurt deze naar de server.

  7. De server decodeert de sessie sleutel met haar eigen prive-sleutel.

  8. De browser stuurt een bericht naar de server te informeren dat toekomstige berichten van de klant zullen worden gecodeerd met de sessie sleutel.

  9. De server stuurt vervolgens een bericht naar de klant te informeren dat toekomstige berichten van de server wordt versleuteld met de sessie sleutel.

  10. Een SSL-beveiligde sessie is nu gevestigd. SSL gebruikt dan symmetrische encryptie (die is veel sneller dan asymmetrische encryptie PKI) voor het coderen en decoderen van berichten binnen de SSL-beveiligde "in de pijplijn."

  11. Na de sessie is voltooid, wordt de sessie sleutel wordt geëlimineerd.

Het duurt slechts enkele seconden al en vereist geen actie van de gebruiker

Om volledig te kunnen 128-bits encryptie met een Global Server ID, is het belangrijk om de juiste soort prive-sleutel te genereren tijdens het proces van het verkrijgen van een SSL certificaat. Een belangrijke stap in het proces is het genereren van een Certificate Signing Request (CSR) in de webserver-software. In het genereren van een CSR, moet webserver beheerders voorzichtig te zijn naar een 1024-bits prive-sleutel, die de Global Server kunnen selecteren ID bij 128-bit SSL-encryptie, vast te stellen in plaats van een 512-bit prive-sleutel, waardoor slechts 40-bits-versleuteling .

Netscape-gebruikers kunnen de volgende stappen uit om welk niveau van versleuteling zien is het beschermen van hun transacties:

  • Ga naar de beveiligde webpagina die u wilt controleren.

  • Klik op de knop in de werkbalk Beveiliging Navigator. De Security Info dialoogvenster geeft aan of de website maakt gebruik van encryptie.

  • Als dat zo is, klikt u op de Open Page Info knop om meer informatie over de veiligheid van de site kenmerken, zoals het type van encryptie gebruikt display.

U kunt ook controleren om te zien welk niveau van SSL wordt geactiveerd op uw webserver door de volgende stappen:

  • Met behulp van een 128-bits-client, zoals de binnenlandse versie van Netscape Navigator, klik op Opties / Beveiliging Voorkeuren.

  • Onder de Enable SSL opties, klik op Configureren voor zowel SSL 2 en SSL 3. Zorg ervoor dat de aanvaarding van de 40 - en 56-bits codering cijfers zijn uitgeschakeld.

  • Probeer toegang tot de site. Als het gebruik van minder dan 128 bit beveiliging, dan krijgt u een fout in uw browser venster: "Netscape en deze server kan niet goed communiceren omdat ze geen gemeenschappelijke encryptie methoden"

IE-gebruikers kunnen vinden encryptie van een website-niveau door de volgende stappen:

  • Ga naar de website die u wilt controleren.

  • Klik met de rechtermuisknop op de pagina van de website en selecteer Eigenschappen.

  • Klik op de knop Certificaten.

  • In het vak Velden, selecteert Encryption type. De Details doos toont u het niveau van versleuteling, 40-bits of 128-bits. (Zie de volgende sectie voor meer informatie over SSL-encryptie niveaus.)

E-bedrijven kunnen ervoor kiezen om het proces van het certificaat voor het controleren van bezoekers van de site te vereenvoudigen door een beschrijving van de veiligheidsmaatregelen die zij hebben uitgevoerd in een Veiligheids-en privacy statement op hun sites. Bijvoorbeeld, sites die gebruik maken van VeriSign SSL-certificaten kunnen ook na de Secure Site Seal op hun home page, veiligheid verklaring pagina, en de aankoop pagina's. Het zegel is een algemeen erkend symbool van vertrouwen waarmee bezoekers van de site certificaten in real-time van VeriSign controleren met een klik.

SGC en 128-bits Step-Up

Om ervoor te zorgen dat sterke, 128-bit encryptie beschermt de e-commerce transacties voor alle gebruikers, moeten bedrijven 128-bits-id's, installeren zoals VeriSign Global Server ID's, op hun servers. Toch zal de uitvoer browsers die alleen 40-bits-versleuteling met 40-bit SSL server certificaten mogelijk maken een sterke, 128-bits versleuteling bij interactie met 128-bit server certificaten, omdat deze certificaten worden uitgerust met een speciale extensie die Server Gated Cryptography maakt ( SGC) voor Microsoft browsers en "Internationale Step-Up" voor Netscape browsers.

De uitbreiding maakt 128-bit encryptie met export-versie browsers door te vragen twee "handdrukken" als de browser van een gebruiker toegang heeft tot een pagina beschermd door een Global Server ID. Wanneer een export-versie Netscape of Microsoft-browser verbinding met de webserver, initieert de browser een verbinding met slechts een 40-bits codering. Als de server certificaat wordt overgedragen, de browser controleert het certificaat tegen de ingebouwde lijst van erkende CA. Hier, erkent zij dat de server een certificaat omvat de SGC of International Step-Up extensie, en dan onmiddellijk renegotiates de SSL-parameters voor de verbinding met een SSL-sessie te starten met een 128-bits codering. In de daaropvolgende verbindingen, de browser gebruikt onmiddellijk de 128-bits codering voor full-sterkte encryptie.

een artikel afkomstig van Dave O `Brien

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions