SSL

от Уикипедия, свободната енциклопедия
OSI модел
7. Приложен слой
NNTP • SIP • SSI • DNS • FTP • Gopher • HTTP • NFS • NTP • SMPP • SMTP • DHCP • SNMP • SSH • Telnet • Netconf • други...
6. Представителен слой
MIME • XDR • TLS • SSL
5. Сесиен слой
Named Pipes • NetBIOS • SAP • L2TP • PPTP
4. Транспортен слой
TCP • UDP • SCTP • DCCP • SPX
3. Мрежов слой
IP (IPv4, IPv6) • ICMP • IPsec • IGMP • IPX • AppleTalk • IS-IS • OSPF • RIP • BGP • IGRP • EIGRP
2. Канален слой
MAC адрес • ATM • SDLC • HDLC • ARP • CSLIP • SLIP • PLIP • IEEE 802.3 • Frame Relay • ITU-T G.hn DLL • PPP • X.25 • Суич
1. Физически слой
EIA/TIA-232 • EIA/TIA-449 • ITU-T V-Series • I.430 • I.431 • POTS • PDH • SONET/SDH • PON • OTN • DSL • IEEE 802.3 • IEEE 802.11 • IEEE 802.15 • IEEE 802.16 • IEEE 1394 • ITU-T G.hn PHY • USB • Bluetooth • Хъб

SSL, съкращение от Secure Sockets Layer, е криптографски протокол за връзка клиент – сървър, разработен от Netscape Communications Corporation за пренасяне на информация през интернет. В протокола SSL са установени множество проблеми със сигурността, които са коригирани в неговия наследник TLS.

Описание[редактиране | редактиране на кода]

SSL протоколът дава възможност на различни програми в конфигурация „клиент – сървър“ да комуникират помежду си, без да могат да бъдат „подслушвани“ и подправяни. Клиентската програма и сървърът установяват връзка чрез специална процедура, наречена ръкостискане. По време на тази процедура клиентът и сървърът „съгласуват“ различни условия и параметри, чрез които се осъществява сигурността на връзката.

Ръкостискането се осъществява веднага след като клиентската програма осъществи връзка със сървър, на който има включен SSL протокол, и му се предоставят редица функции за шифроване и хеширане. От този списък се избира най-силната функция, която клиентът поддържа и впоследствие бива уведомен коя точно функция е избрана. След това сървърът изпраща своята идентификация под формата на цифров сертификат. Сертификатът обикновено съдържа информация за органите, които са го издали (Certificate Authority), името на сървъра и публичния ключ, с който ще се криптира връзката. Потребителят след това има възможност да провери валидността на сертификата. За да може да се генерират сесийни ключове, използвани за всяка връзка, клиентът криптира произволно генерирано число, използвайки публичния ключ, и изпраща резултата на сървъра. Единствено сървърът ще може след това да декриптира информацията, като използва своя частен ключ. Двете страни създават публични и частни ключове с произволно генерираното число, с които криптират и декриптират цялата предадена информация. С това ръкостискането приключва и връзката вече е защитена от подслушване. Ако която и да е от горните стъпки не бъде изпълнена, ръкостискането се проваля и връзката няма да бъде осъществена.

Целият този процес се извършва напълно автоматично и остава невидим за потребителя. Пример за такъв процес е посещението от потребител на онлайн магазин, който има инсталиран свой собствен SSL сертификат.

Ниво на криптиране и защита[редактиране | редактиране на кода]

Криптирането, което позволява връзката да бъде защитена, представлява сложен математически процес. Чрез него цялата информация се криптира и декриптира от клиента и сървъра. Дължината и нивото на защита на един SSL сертификат се определя от дължината на ключа, която характеризира всеки един SSL сертификат. Най-често разпространените SSL сертификати, които се предлагат, са с дължина 40 бита, 56 бита, 128 бита и 256 бита. Размерът на ключа определя и какво ниво на сигурност дава този SSL сертификат. Според приблизителни изчисления дешифрирането на информация, криптирана чрез SSL сертификат, без да се разполага със съответния частен ключ, може да отнеме няколко трилиона години, ако, разбира се, недоброжелателят разполага със съответните средства.

Типове SSL сертификати[редактиране | редактиране на кода]

SSL сертификатите са разделени на три основни типа – обикновени SSL сертификати, Wildcard SSL сертификати и EV SSL сертификати. Обикновените SSL сертификати могат да бъдат закупени от всеки. Все пак тези сертификати си имат ограничение, тъй като те може да се използват единствено за един-единствен домейн. Ако има нужда да се използва друг домейн или поддомейн, ще трябва да се инсталира нов сертификат.

Wildcard сертификатите могат да се използват за много допълнителни поддомейни, създадени към главния домейн, на който е инсталиран сертификатът. Съществуват и EV SSL сертификати. Този тип сертификати се издават единствено на юридически лица. Тези сертификати удостоверяват автентичността и произхода на фирмени уебсайтове, като това създава допълнително доверие в неговите потребители.

Уебсайтовете, които използват криптирана връзка с SSL или TLS имат URL с префикс „https:“, вместо „http:“.

Вижте също[редактиране | редактиране на кода]

  • TLS – наследникът на SSL