Není možné vytvořit šifrované spojení Kaspersky. Získejte šifrování: jak vytvořit bezpečný protokol připojení HTTPS. Jak získat funkční připojení HTTPS
V dnešní době je poměrně těžké najít člověka, který nepoužívá internet.
Mnoho uživatelů tráví v jeho otevřených prostorách poměrně hodně času. velký početčas. Proto je poptáván více než kdy jindy.
Co ale dělat, když všechny plány naruší náhle se objevující varování? vaše připojení není zabezpečené.
V tomto článku se podíváme na to, proč tato chyba PROTI různé prohlížeče a co by se mělo dělat, pokud k tomu dojde.
Obsah:
Nejprve se podívejme na výskyt tohoto problému při používání.
Význam takové zprávy
Tato zpráva se často objevuje při návštěvě zabezpečených stránek. Takové stránky při interakci s Prohlížeč FireFox použijte speciální metodu šifrování - #encryption. To se provádí za účelem vyloučení možnosti prohlížení přenášené informace vetřelci.
Abyste pochopili, že právě takové stránky navštěvujete, věnujte pozornost řádku zobrazujícím adresu stránky, kterou navštěvujete. Ve stavovém řádku ( #stavový řádek) chráněný web zobrazí ikonu jako uzavřený zámek. Zobrazí se také v adresní řádek (#location_bar).
Kromě toho prohlížeč také zobrazí název domény webu ve zvýrazněném stavovém řádku žlutá. To je nezbytné, aby se zajistilo, že uživatel nemůže být za tímto účelem uveden v omyl.
Takové stránky mohou obsahovat nejen chráněné informace, ale také nechráněné informace, ke kterým má každý volný přístup.
Pokud jsou informace na webu nechráněné, FireFox zobrazí ve stavovém řádku ikonu visacího zámku s lomítkem. V adresním řádku a stavovém řádku také nebude název domény. Pokud budete takovým informacím věnovat pozornost, budete okamžitě schopni pochopit, že stránka, kterou navštěvujete, je částečně chráněna.
Chcete-li tento problém vyřešit, budete muset přeinstalovat antivirus nebo v jeho nastavení zakázat odposlech zabezpečených připojení.
Pokud například používáte ochranu systému, otevřete „Nastavení“ a přejděte na kartu « Aktivní ochrana» .
Zde budete muset kliknout na tlačítko „Konfigurovat“ umístěné vedle webového štítu.
V okně, které se otevře, zrušte zaškrtnutí políčka výběru na řádku "Povolit skenování HTTPS". Nakonec musíte potvrdit změny provedené v nastavení kliknutím na tlačítko „OK“.
Pokud používáte produkt jako - budete muset udělat následující akce:
- otevřete okno s nastavením antiviru;
- v levé dolní části tohoto okna klikněte na tlačítko „Nastavení“;
- použijte bod "Dodatečně" přejděte na kartu „Síť“;
- zrušte výběr panelu nabídek "Skenovat šifrovaná připojení";
- zaškrtněte políčko vedle parametru "Nekontrolovat šifrovaná připojení";
- Potvrďte změny kliknutím na tlačítko „OK“.
Na internetu to není těžké najít nezbytné informace a pro ostatní antivirové produkty.
Váš prohlížeč může vykazovat nedostatek důvěry v certifikát nejen na málo známých stránkách, ale i na takových gigantech, jako je Google. Nejčastěji se s tím mohou majitelé setkat. To je způsobeno tím, že jsou aktivována nastavení Microsoft Family Settings umístěná v uživatelských účtech.
Dalším krokem je odstranění všech existujících členů rodiny pomocí funkce "Odebrat z rodiny" na kartě dodatečné parametry.
Na závěr byste měli rodinu opustit sami pomocí stejnojmenné možnosti.
Čtvrtá chyba
Spočívá v nedostatku důvěry v certifikát, protože certifikát je podepsán sám sebou.
Tento druh certifikáty jsou navrženy tak, aby chránily před odposlechem, ale neprozrazují žádné informace o příjemci.
Nejčastěji toho využívají neveřejné weby, takže toto varování můžete snadno obejít.
Pátá chyba
Problém je v tom, že vámi poskytnutý certifikát patří úplně jinému internetovému zdroji.
Tento problém se vyskytuje poměrně často a především z toho důvodu, že vydaný certifikát je platný pro jednu část navštěvovaného webu.
Například jste navštívili https://example.com a obdrželi varování o podobné chybě a byl vydán certifikát pro https://www example.com. Pokud přejdete na druhou možnost, nezobrazí se žádná varování.
Úložiště certifikátů
Vznik podobné zprávy může také dojít v důsledku poškození souboru cert9.db, který ukládá všechny vaše certifikáty.
V takovém případě bez otevření FireFoxu odstraňte výše uvedený soubor, aby jej bylo možné obnovit při příštím spuštění.
Chcete-li to provést, postupujte takto:
- otevřete nabídku a vyberte „Nápověda“;
- přejděte na kartu "Informace pro řešení problémů";
- otevřete složku profilu umístěnou v sekci "Podrobnosti aplikace";
- znovu otevřete nabídku a vyberte „Exit“;
- vyberte soubor db a odstranit jej;
- restartujte prohlížeč.
Při návštěvě jednoho z mých blogů se nějak začala objevovat chyba antiviru Kaspersky - “ Nelze zaručit pravost domény, ke které je navazováno šifrované připojení". Už jsem se s tím na internetu setkal a vím, jak otravné toto okno může být – uživatel potřebuje udělat 2-3 kliknutí a strávit 5-10 sekund času, aby se dostal na web. Pokud bych si nebyl 100% jistý, že tam musím jít (a to jsem tam šel poprvé z vyhledávání), tak s velkou pravděpodobností stránku prostě zavřu.
Možná to není tak vážné, ale i když vezmeme v úvahu skutečnost, že ne každý má nainstalovaný Kaspersky, nechtěl jsem ztratit potenciální návštěvníky. Obecně jsem začal problém řešit. Nejprve vám ukážu, jak přesně to vypadá:
Varování se zobrazí ihned po zadání webového zdroje v pravém dolním rohu. Uživatel je požádán, aby přerušil „neautentické spojení“ pro své vlastní dobro, nebo aby stránku navštívil na vlastní nebezpečí a riziko.
Téměř všechny důvody chyby ověřování názvu domény souvisí s nějakým problémem s certifikátem (digitálním podpisem šifrovaného připojení HTTPS). Certifikát může být:
- odvoláno uživatelem;
- vydané ne zcela legálně;
- není určen k poskytnutí důkazu pravosti;
- mít porušení ve struktuře nebo řetězci certifikátů;
- obsahovat jinou doménu, než na které byl nainstalován.
Ve všech těchto případech se zobrazí varování jako na obrázku výše. A tady je 2 různá řešení, v závislosti na tom, zda to funguje na vašem projektu nebo na webovém zdroji třetí strany.
Chyba ověření domény na vašem webu
Vzhledem k tomu, že podle definice nastává situace, kdy jsou chyby v certifikátu zabezpečeného protokolu, musíte zjistit, co přesně je na něm špatně (třeba kontaktováním společnosti, kde jste si jej objednali). V mém konkrétním případě nebyla příčina problému zcela jasná, protože... na blogu Protokol HTTPS NENÍ nainstalován!
A pak jsem si vzpomněl, jak jsem na internetu četl, že vyhledávače (nebo prohlížeče) při návštěvě konkrétní URL automaticky zkontrolují, zda má HTTPS připojení, a teprve poté požadují HTTP.
Rozhodl jsem se zkusit nahradit zabezpečený protokol https://design-mania.ru místo obvyklého http://design-mania.ru a ukázalo se, že se stránka otevřela i na druhé adrese. Je pravděpodobné, že antivirus jednal podle stejné logiky, a protože na blogu není žádný certifikát, způsobilo to chybu.
Obecně jsem kontaktoval technickou podporu svého poskytovatele hostingu FastVPS, kde mi situaci objasnili technicky zdatným jazykem:
Proto pokud začnete mít podobná chyba na vlastním webu, klidně napište hostiteli, aby zjistil důvody a nastavil příslušná nastavení. Po provedení změn nezapomeňte vymazat mezipaměť prohlížeče a soubory cookie.
Zakázání ověřování domény v Kaspersky
Pokud je problém zapnutý server třetí strany, pak může být otravné neustálé spouštění varování Kaspersky Anti-Virus a ztráta času jejich zpracováním. Zde jsou 2 řešení:
- úplně zakázat skenování v programu;
- přidat Konkrétní URL projektovat do výjimek.
Okamžitě si vzpomenu na podobný - zjevně se „Casper“ snaží hrát na jistotu v jakékoli nejasné situaci.
Chcete-li zakázat analýzu zabezpečených připojení:
1. Otevřete hlavní okno programy Kaspersky internetová bezpečnost(bohužel, neznám rozhraní ostatních). Dále klikněte na ikonu ozubeného kola (Nastavení), kde byste měli vybrat „Upřesnit“ - „Síť“.
2. Poté najděte možnost „Zkontrolovat zabezpečená připojení“ a vyberte v ní první položku – „nekontrolovat“.
3. Objeví se vyskakovací okno s upozorněním, že se úroveň sníží - s tím souhlasíte.
Chcete-li vytvořit výjimku pro konkrétní web:
1. Nejprve uděláme podobné akce na předchozí metodu: přejděte do nastavení, kde na kartě „Upřesnit“ vyberte „Síť“.
2. Pro možnost kontroly připojení je níže odkaz „Konfigurovat výjimky“.
V zásadě je to vše. Více informací Najdete ho v online nápovědě vašeho antiviru. Pokud po všech manipulacích problém nezmizí, zbývají 2 možnosti: prostě skončit nebo kontaktovat technickou podporu společnosti Kaspersky. Chyba, že nelze zaručit pravost domény, se teoreticky může objevit při použití jiného antivirového softwaru. Myslím, že v tomto případě je algoritmus podobný - najděte v nastavení, kde zakázat kontrolu certifikátů na stránkách nebo vytvořit výjimky z pravidel.
P.S. Dalším zajímavým čtením je podrobný kontrolní seznam, jak a kdy provádět SEO analýzu textu. Vzhledem k čemu důležitá role obsah se nyní přehrává, to je užitečné vědět.
Propustili jsme nová kniha„Obsahový marketing v v sociálních sítích: Jak se dostat do hlav vašich předplatitelů a přimět je, aby si vaši značku zamilovali.“
Svět je posedlý internetovou bezpečností. Pokud jste v trendu a korespondujete výhradně v telegramu, přečtěte si o tom, jak vytvořit zabezpečené připojení na webu. V každém případě se bude hodit a pokud jste internetový obchod, pak se bez něj neobejdete. Po cestě vám řekneme o certifikátech: co to je a k čemu jsou potřeba.
Co je HTTPS
Toto je protokol zabezpečeného připojení. Šifruje informace vyměňované mezi serverem a prohlížečem uživatele – to pomáhá chránit informace o heslech, číslech kreditních karet a adresách E-mailem. Používání HTTPS je výkonné a v očích vyhledávačů je o něco atraktivnější – Google řadí zabezpečené stránky výše než nezabezpečené. Zapnout HTTPS protokol na vašem webu, musíte nejprve nainstalovat SSL certifikát na server.
Proč potřebujete certifikát SSL?
Tvoří jedinečný digitální podpis webu, který pomáhá chránit připojení. Bez SSL certifikátu protokol HTTPS nezískáte, ať se budete snažit sebevíc. Obsahuje:
- doména webu;
- celý právní název společnosti vlastníka;
- fyzická adresa společnosti;
- doba platnosti certifikátu;
- Podrobnosti o vývojáři SSL.
K připojení libovolného budete také potřebovat certifikát platební systém, například "Yandex.Money". Logika je jednoduchá – nikdo vám nedovolí riskovat cizí peníze.
Jak vybrat SSL certifikát
Jsou rozděleny do dvou typů, v závislosti na stupni ochrany a.
Ověření domény SSL
Nejjednodušší varianta. Bude fungovat poté, co potvrdíte vlastnictví domény. Můžete to udělat třemi způsoby:
- Prostřednictvím e-mailu. Obdržíte e-mail s pokyny pro ověření. Buď mail od doména Whois nebo e-mailové schránky správce nebo správce webu.
- Prostřednictvím záznamu DNS. Pokud máte nastavený e-mailový server, vytvořte jej zvláštní vstup v DNS. Pomocí něj systém potvrdí, že jste skutečně vlastníkem webu. Metoda je automatizovaná a vhodná pro ty, jejichž e-mail Whois je skrytý v jejich nastavení.
- Prostřednictvím hash souboru. Umístěte na server speciální soubor TXT, aby certifikační úřad mohl určit jeho přítomnost.
Toto ověření je vhodné, pokud máte osobní blog nebo malý offline podnik, protože vám neumožňuje chránit subdomény a chování finanční operace. Navíc pro potvrzení čistoty domény a vašich záměrů nemusíte dělat nic složitého a hotový certifikát je hotový rychle.
Ověření podnikání
Tento typ certifikátu SSL je spolehlivější, protože potvrzujete, že je společnost připojena k webu. Chcete-li to provést, musíte do ověřovacího centra odeslat několik dokumentů a přijmout hovor firemní číslo. Certifikáty Business Validation se dělí na 3 typy:
- Rozšířené ověření SSL. Jedná se o certifikáty Extended Validation. Potřebuje je každý, kdo pracuje s velkým množstvím peněz: banky, velké internetové obchody, finanční společnosti, platební systémy.
- Zástupný znak SSL. Takový certifikát chrání jak samotný web, tak jeho subdomény. Navíc jich může být libovolný počet a mohou se na nich nacházet různé servery. Povinné, pokud používáte subdomény s různými oblastmi nebo různými projekty.
- SAN SSL. Hlavní výhodou tohoto typu certifikátu je podpora alternativních doménových jmen: externích i interních.
- CodeSigning SSL. Potvrdí kód a softwarových produktů z webu. Vhodné pro vývojáře jakýchkoli aplikací.
Mohu si na svůj web nainstalovat bezplatný certifikát SSL?
Ano. Většina z těchto produktů je placená, ale existují i možnosti, za které nemusíte platit peníze. Jedná se o základní certifikáty s ověřením domény. Neumožní vám připojit online pokladnu ke zdroji, ale budou moci chránit připojení uživatele k serveru. Takové SSL jsou vhodné pro malé informační weby nebo offline podniky. Příkladem je základní certifikát StartSSL.
Instalace certifikátu SSL
Nejprve je potřeba vygenerovat žádost o CSR pro získání certifikátu. Obsahuje veškeré informace o majiteli domény a veřejný klíč. Většina poskytovatelů SSL vám to umožňuje během procesu objednávání certifikátu, ale můžete také vygenerovat požadavek na straně webového serveru.
Během procesu generování klíče CSR musíte zadat:
- Název serveru: „site.com“ nebo „*.site.com“, pokud dostáváte certifikát WIldcard. Hvězdička znamená libovolný počet libovolných znaků před tečkou.
- Kód země: RU, UA, KZ atd.
- Region, například Saratov Region.
- Město.
- Úplný název organizace nebo jméno vlastníka webu.
Požadavek CSR je odeslán do ověřovacího centra. V důsledku toho obdržíte certifikát SSL a soubor se soukromým klíčem, který nelze ztratit ani zveřejnit.
Poté musíte certifikát nainstalovat na webový server. Podívejme se na případy s Apache a nginx.
Apache
Chcete-li to provést, musíte na server nahrát všechny certifikáty: hlavní i mezilehlé. Nejprve potřebujete poslední v adresáři /usr/local/ssl/crt (ve výchozím nastavení se může lišit ve vašem případě). Všechny certifikáty tam budou uloženy.
Poté si stáhněte hlavní certifikát, otevřete jej v libovolném textový editor a zkopírujte celý obsah spolu s řádky „BEGIN“ a „END“.
V adresáři /ssl/crt/ vytvořte soubor s názvem vashsite.crt a vložte do něj obsah certifikátu.
Přesuňte soubor soukromého klíče do adresáře /usr/local/ssl/private/
Do souboru VirtualHost přidejte řádky:
SSLengine zapnutý
SSLCertificateKeyFile /usr/local/ssl/private/private.key
SSLCertificateFile /usr/local/ssl/crt/yoursite.crt
SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
Musíte zadat platné cesty k souborům. Uložte změny a restartujte server.
nginx
Zde je proces instalace certifikátu SSL mírně odlišný. Nejprve musíte zkombinovat kořenový, mezilehlý a SSL certifikát do jednoho. Chcete-li to provést, vytvořte soubor s názvem vashsite.crt a vložte do něj obsah certifikátů spolu s řádky „BEGIN“ a „END“ (pořadí: SSL, střední, root). Prázdné řádky tam by nemělo být.
Téměř totéž je třeba udělat se soukromým klíčem – vytvořte soubor vashsite.key a přeneste obsah klíče staženého z webu dodavatele.
Umístěte oba soubory (yoursite.crt a vashsite.key) do adresáře /etc/ssl/ (toto je výchozí nastavení, ale může se lišit).
V konfiguračním souboru upravte VirtualHost. Přidat:
server(
poslouchat 443;
ssl zapnuto;
ssl_certificate /etc/ssl/yoursite.crt;
ssl_certificate_key /etc/ssl/yoursite.key;
server_name yoursite.com;
Pokud se adresář s certifikátem a klíčem liší od výchozího, změňte jej.
Nyní uložte změny a restartujte nginx.
Jak získat funkční připojení HTTPS
Po instalaci certifikátů SSL bude stránka přístupná na dvou adresách: http://yoursite.com a https://yoursite.com. Musíte si nechat jen to poslední. Chcete-li to provést, nakonfigurujte soubor robots.txt a proveďte přesměrování 301 ze starého webu.
V "robotech" musíte aktualizovat hostitele. Příklad: Host: https://yoursite.com. Chcete-li nakonfigurovat přesměrování, musíte do souboru .htacsess přidat následující řádky:
RewriteCond %(SERVER_PORT) !^443$
RewriteRule ^(.*)$ https://yoursite.com/$1 .
Teď už zbývá jen informovat vyhledávače o změnách. Ve webmasteru Yandex přidejte stránku s https a určete ji jako hlavní stránku starého webu.
Výsledek
Zjistili jsme, co je https, jak jej nainstalovat na váš web a jak vše správně nakonfigurovat. Tento protokol se již stal standardem připojení a časem na něj přejdou všechny živé weby. Tento proces podporují vyhledávače – přítomnost zavedený protokol chráněný připojení HTTPS se stal jedním z hodnotících faktorů. Proto, pokud se chcete dostat nahoru, budete si ho muset nainstalovat.
Moderní Prohlížeče Google Chrome, Yandex, Opera, Firefox a mnoho dalších plní své hlavní úkoly dobře a vývojáři tohoto softwaru věnují pozornost Speciální pozornost bezpečnostní. Někdy to uživatelům způsobuje určité nepříjemnosti.
Proč k chybě dochází?
Existuje několik důvodů, proč se taková chyba může objevit v prohlížečích, a mezi nimi vynikají následující:
- Problém s SSL certifikáty. Stránky je musí poskytovat prohlížečům, a když se tak nestane, prohlížeč uživateli „neumožní“ přístup na stránky a zobrazí zmíněnou chybu.
- Prohlížeč kontroluje připojení, a když je v řetězci uzel DNS a z určitých důvodů jej nelze ověřit, připojení se zablokuje. Podobná situace nastává u připojení VPN nebo u proxy serverů.
- Prohlížeče přeruší připojení, pokud web nemá certifikát https a potřebujete zadat osobní údaje.
Jak obejít chybu „Nelze navázat zabezpečené připojení“?
Pokud se potřebujete dostat na konkrétní stránku, ale není to možné kvůli chybě „Nelze nainstalovat zabezpečené připojení“, můžete to obejít. Vezměte prosím na vědomí, že to ohrozí váš počítač, takže to dělejte pouze jako poslední možnost. Podívejme se na algoritmus akcí na příkladu Yandex.Browser:
- Otevřete nastavení prohlížeče.
- Přejděte na kartu „Zobrazit pokročilá nastavení“ ve spodní části.
- Najděte nabídku https/ssl a klikněte na tlačítko „Upřesnit“.
- Chcete-li obejít ochranu, která chybu způsobuje, zrušte zaškrtnutí políček „Ověření serveru“ a „Důvěryhodný server DNS“.
Doplňky prohlížeče
V prohlížečích Chrome, Yandex a mnoha dalších můžete nainstalovat doplňky, z nichž některé brání otevření určitých stránek. Zkuste vše vypnout nainstalované doplňky a otevřete web. Pokud se otevře bez chyby, začněte postupně povolovat doplňky, abyste zjistili, který blokuje přístup ke zdroji, o který máte zájem, a odeberte jej nebo jej ponechte deaktivovaný.
Jiné způsoby řešení chyby
Chyba „Nelze navázat zabezpečené připojení“ se může objevit při otevírání jednotlivých stránek z řady dalších důvodů. Pokud deaktivace kontroly certifikátu nepomůže, zkuste následující:
- Aktualizujte nebo přeinstalujte prohlížeč.
- Nainstalujte správné datum, časové pásmo a počítačový čas.
- Zkuste přejít na web z vyhledávač a ne prostřednictvím uložené záložky.
- Někdy jsou problémem viry na pevném disku, kterých se může zbavit antivirový program.
Nemůžeme vyloučit dočasný problém na webu, který se pokoušíte otevřít. V tomto případě chyba po určité době sama zmizí.
- Překlad
Jak vůbec funguje HTTPS? To je otázka, se kterou už několik dní zápasím v pracovním projektu.
Jako webový vývojář jsem pochopil, že používat HTTPS k ochraně uživatelských dat je velmi, velmi dobrý nápad, ale nikdy jsem úplně nepochopil, jak HTTPS vlastně funguje.
Jak jsou data chráněna? Jak mohou klient a server navázat zabezpečené spojení, když někdo již poslouchá jejich kanál? Co je bezpečnostní certifikát a proč bych měl někomu platit za jeho získání?
Potrubí
Než se vrhneme na to, jak to funguje, pojďme si krátce říci, proč je důležité zabezpečit připojení k internetu a před čím HTTPS chrání.Když prohlížeč odešle požadavek na vaši oblíbenou webovou stránku, musí žádost projít mnoha různé sítě, z nichž kterýkoli by mohl být potenciálně použit k odposlechu nebo narušení navázaného spojení.
Z vašeho vlastní počítač na další vaše počítače lokální síť, prostřednictvím směrovačů a přepínačů, prostřednictvím vašeho ISP a prostřednictvím mnoha dalších zprostředkujících poskytovatelů – obrovské množství organizací přenáší vaše data. Pokud alespoň v jednom z nich skončí útočník, má možnost vidět, jaká data se přenášejí.
Požadavky se obvykle odesílají pomocí běžného protokolu HTTP, ve kterém se odesílá požadavek klienta i odpověď serveru otevřený formulář. A existuje mnoho dobrých argumentů, proč HTTP standardně nepoužívá šifrování:
Chce to víc výpočetní výkon
Přeneseno více dat
Ukládání do mezipaměti nelze použít
Ale v některých případech, kdy komunikační kanál vysílá výhradně důležitá informace(jako jsou hesla nebo data kreditní karty), je nutné zajistit dodatečná opatření, bránící odposlouchávání takových spojení.
Transport Layer Security (TLS)
Nyní se ponoříme do světa kryptografie, ale nebudeme k tomu potřebovat žádné speciální zkušenosti - zvážíme jen ty nej obecné záležitosti. Kryptografie vám tedy umožňuje chránit spojení před potenciálními útočníky, kteří chtějí spojení ovlivnit nebo je jednoduše odposlouchávat.TLS - nástupce SSL - je protokol nejčastěji používaný k zajištění bezpečnosti HTTP připojení(tzv. HTTPS). TLS se nachází o úroveň níže HTTP protokol v modelu OSI. Zjednodušeně to znamená, že během procesu provádění požadavku se nejprve stanou všechny „věci“ spojené s TLS připojením a teprve potom vše, co souvisí s HTTP připojením.
TLS je hybridní kryptografický systém. To znamená, že používá několik kryptografických přístupů, na které se podíváme dále:
1) Asymetrické šifrování (kryptosystém veřejného klíče) pro generování sdíleného tajného klíče a autentizaci (tedy ověření, že jste tím, za koho se vydáváte).
2) Použití symetrického šifrování Tajný klíč pro další šifrování požadavků a odpovědí.
Kryptosystém s veřejným klíčem
Kryptosystém s veřejným klíčem je typ kryptografický systém, kdy každá strana má obě otevřené i soukromý klíč, vzájemně matematicky související. Veřejný klíč se používá k zašifrování textu zprávy do „blábolu“, zatímco soukromý klíč se používá k dešifrování a načtení původního textu.Jakmile byla zpráva zašifrována pomocí veřejného klíče, lze ji dešifrovat pouze pomocí odpovídajícího soukromého klíče. Žádná klávesa nemůže vykonávat obě funkce. Veřejný klíč je zveřejněn v otevřený přístup bez rizika vystavení systému hrozbám, ale soukromý klíč by se neměl dostat do rukou nikomu, kdo nemá práva k dešifrování dat. Takže máme klíče - veřejný a soukromý. Jednou z nejpůsobivějších výhod asymetrického šifrování je to, že obě strany dříve úplně znalý přítel přítel, může vytvořit zabezpečené připojení, zpočátku si vyměňovat data přes otevřené, nezabezpečené připojení.
Klient a server používají své vlastní soukromé klíče a publikovaný veřejný klíč k vytvoření sdíleného tajného klíče pro relaci.
To znamená, že pokud je někdo mezi klientem a serverem a pozoruje spojení, stále nebude schopen zjistit soukromý klíč klienta, soukromý klíč serveru ani tajný klíč relace.
Jak je tohle možné? Matematika!
Algoritmus Diffie-Hellman
Jedním z nejběžnějších přístupů je algoritmus výměny klíčů Diffie-Hellman (DH). Tento algoritmus umožňuje klientovi a serveru dohodnout se na sdíleném tajném klíči, aniž by museli přenášet tajný klíč přes spojení. Útočníci naslouchající kanálu tak nebudou schopni zjistit tajný klíč, i když zachytí všechny datové pakety bez výjimky.Jakmile byly klíče vyměněny pomocí algoritmu DH, výsledný tajný klíč lze použít k šifrování další komunikace v rámci této relace pomocí mnohem jednoduššího symetrického šifrování.
Trocha matematiky...
Důležité jsou matematické funkce, které jsou základem tohoto algoritmu charakteristický rys- dají se poměrně snadno vypočítat v dopředném směru, ale prakticky nepočítat ve směru vzad. To je přesně oblast, kde do hry vstupují velmi velká prvočísla.Nechť Alice a Bob jsou dvě strany, které si vyměňují klíče pomocí DH algoritmu. Nejprve se na nějakém základě dohodnou vykořenit(obvykle malé číslo, jako je 2, 3 nebo 5) a velmi velké číslo prvočíslo primární(více než 300 číslic). Obě hodnoty jsou odesílány jako čistý text komunikačním kanálem, aniž by hrozilo ohrožení připojení.
Připomeňme, že Alice i Bob mají své vlastní soukromé klíče (více než 100 číslic), které se nikdy nepřenášejí komunikačními kanály.
Směs je přenášena komunikačním kanálem směs, odvozené od soukromých klíčů i hodnot primární A vykořenit.
Tím pádem:
Alicin směs = (kořen ^ Alicino tajemství) % prvočíslo
Bobova směs = (kořen ^ Bobovo tajemství) % prvočíslo
kde % je zbytek dělení
Alice tedy vytváří svou směs na základě schválených hodnot konstant ( vykořenit A primární), Bob dělá totéž. Jakmile získali hodnoty směs navzájem, produkují další matematické operace získat soukromý klíč relace. A to:
Aliciny výpočty
(Bobova směs ^ Alicino tajemství) % prim
Bobovy výpočty
(Alicina směs ^ Bobovo tajemství) % prim
Výsledkem těchto operací je stejné číslo pro Alici i Boba a toto číslo se stane soukromým klíčem pro tuto relaci. Všimněte si, že ani jedna ze stran nemusela poslat svůj soukromý klíč komunikačním kanálem a výsledný tajný klíč také nebyl odeslán komunikačním kanálem. otevřené spojení. Báječný!
Pro ty, kteří jsou méně matematicky důvtipní, nabízí Wikipedia vynikající obrázek s vysvětlením tento proces Použití míchání barev jako příklad:
Všimněte si, jak počáteční barva (žlutá) skončí jako stejná „smíšená“ barva pro Boba i Alice. Jediná věc, která se přenáší otevřený kanál komunikace jsou napůl smíšené barvy, ve skutečnosti nemají význam pro každého, kdo poslouchá komunikační kanál.
Symetrické šifrování
Výměna klíčů probíhá pouze jednou za relaci, během navazování spojení. Když se strany již dohodly na tajném klíči, dojde k interakci klient-server pomocí symetrické šifrování, který je mnohem efektivnější pro přenos informací, protože není vyžadována žádná další potvrzovací režie.Pomocí dříve získaného tajného klíče a dohody o režimu šifrování mohou klient a server bezpečně komunikovat šifrováním a dešifrováním zpráv přijatých od sebe navzájem pomocí tajného klíče. Útočník, který se připojí ke kanálu, uvidí pouze „odpad“, který se pohybuje po síti tam a zpět.
Autentizace
Algoritmus Diffie-Hellman umožňuje dvěma stranám získat soukromý tajný klíč. Jak si ale mohou být obě strany jisté, že spolu skutečně mluví? O autentizaci jsme ještě nemluvili.Co když zavolám svému příteli, provedeme výměnu DH klíčů, ale najednou se ukáže, že můj hovor byl zachycen a já vlastně mluvil s někým jiným?! Stále budu moci bezpečně komunikovat s touto osobou - nikdo jiný nás nemůže poslouchat - ale nebude to osoba, se kterou si myslím, že komunikuji. Není to moc bezpečné!
K vyřešení problému s autentizací potřebujeme infrastrukturu veřejného klíče, která zajistí, že subjekty budou tím, za koho se vydávají. Tato infrastruktura je navržena pro vytváření, správu, distribuci a rušení digitálních certifikátů. Certifikáty jsou ty nepříjemné věci, za které musíte platit, aby váš web fungoval přes HTTPS.
Ale co to vlastně certifikát je a jak nám poskytuje bezpečnost?
Certifikáty
K nejhrubšímu přiblížení, digitální certifikát je soubor, který používá elektronický digitální podpis (více o tom za minutu) a spojuje otevřený (veřejný) klíč počítače s jeho vlastnictvím. Digitální podpis na certifikátu znamená, že někdo osvědčí, že daný veřejný klíč patří konkrétní osobě nebo organizaci.Certifikáty jsou v podstatě závazné názvy domén s konkrétním veřejným klíčem. Tím se zabrání možnosti, že útočník poskytne svůj veřejný klíč tím, že se bude vydávat za server, ke kterému klient přistupuje.
Ve výše uvedeném příkladu telefonu by se mi hacker mohl pokusit ukázat svůj veřejný klíč předstíráním, že je mým přítelem – ale podpis na jeho certifikátu by nebyl podpisem někoho, komu důvěřuji.
Aby byl certifikát důvěryhodný pro jakýkoli webový prohlížeč, musí být podepsán akreditovanou certifikační autoritou (Certifikační autorita, CA). CA jsou společnosti, které vykonávají ruční kontrola, že osoba, která se pokouší získat certifikát, splňuje následující dvě podmínky:
1. je skutečně existující;
2. má přístup k doméně, pro kterou se snaží certifikát získat.
Jakmile se CA přesvědčí, že žadatel je skutečný a skutečně ovládá doménu, CA podepíše certifikát pro daný web, čímž v podstatě orazítkuje skutečnost, že veřejný klíč webu skutečně patří a je možné mu věřit.
Váš prohlížeč již obsahuje seznam akreditovaných certifikačních autorit. Pokud server vrátí certifikát, který není podepsán akreditovanou CA, zobrazí se velké červené varování. Jinak by každý mohl podepisovat falešné certifikáty.
Takže i kdyby hacker vzal veřejný klíč jeho serveru a vygeneroval digitální certifikát potvrzující, že tento veřejný klíč je spojen s webem facebook.com, prohlížeč tomu neuvěří, protože certifikát není podepsán akreditovanou CA.
Další věci, které potřebujete vědět o certifikátech
Rozšířená validace
Kromě běžných certifikátů X.509 existují certifikáty Extended validation, které poskytují více vysoká úroveň důvěra. Vydáním takového certifikátu CA ještě více kontroluje osobu, která certifikát obdrží (obvykle pomocí pasových údajů nebo účtů).Při obdržení takového certifikátu prohlížeč zobrazí v adresním řádku kromě obvyklé ikony s visacím zámkem také zelený pruh.
