Wikipedie

Secure Sockets Layer: Porovnání verzí

Interaktivně procházet historii
← Přejít na předchozí porovnáníPřejít na další porovnání →
Smazaný obsah Přidaný obsah
VizuálníWikitext
Bez shrnutí editace
m Editace uživatele „195.113.86.69“ vrácena do předchozího stavu, jehož autorem je „Tlusťa“.
Řádek 1:
{{Internetové protokoly}}
ahoj
'''Secure Sockets Layer''', '''SSL''' (doslova ''vrstva bezpečných [[socket]]ů'') je [[protokol (informatika)|protokol]], resp. vrstva vložená mezi vrstvu transportní (např. [[TCP/IP]]) a aplikační (např. [[Hyper Text Transfer Protocol|HTTP]]), která poskytuje zabezpečení komunikace [[šifrování]]m a [[autentizace|autentizaci]] komunikujících stran.
 
== Využití ==
Protokol SSL se nejčastěji využívá pro bezpečnou komunikaci s internetovými servery pomocí [[HTTPS]], což je zabezpečená verze protokolu [[Hyper Text Transfer Protocol|HTTP]]. Po vytvoření SSL spojení (''session'') je komunikace mezi serverem a klientem šifrovaná a tedy zabezpečená.
 
== Princip ==
 
Vaše příspěvky udržují Wikipedii v chodu!
Secure Sockets Layer
Z Wikipedie, otevřené encyklopedie
(Přesměrováno z SSL)
Skočit na: Navigace, Hledání
Internetové protokoly
Aplikační vrstva
 
* BitTorrent
* DNS
* DHCP
* FTP
* HTTP
* HTTPS
* IMAP
* IRC
* Ident
* NNTP
* NTP
* POP3
* RTP
* SIP
* SMTP
* SNMP
* SSH
* Telnet
* Websphere MQ
 
Transportní vrstva
 
* DCCP
* IL
* RUDP
* SCTP
* TCP
* UDP
 
Síťová vrstva
 
* ARP
* IPv4
* IPv6
* RARP
 
Linková vrstva
 
* Ethernet
* FDDI
* PPP
* Token ring
* Wi-Fi
 
Fyzická vrstva
 
* 10Base2
* 10Base-T
* EIA-422
* EIA-485
* RS-232
* RS-449
 
Secure Sockets Layer, SSL (doslova vrstva bezpečných socketů) je protokol, resp. vrstva vložená mezi vrstvu transportní (např. TCP/IP) a aplikační (např. HTTP), která poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran.
Obsah
[skrýt]
 
* 1 Využití
* 2 Princip
* 3 Chyby v používání
* 4 Doplňující informace
* 5 Externí odkazy
 
[editovat] Využití
 
Protokol SSL se nejčastěji využívá pro bezpečnou komunikaci s internetovými servery pomocí HTTPS, což je zabezpečená verze protokolu HTTP. Po vytvoření SSL spojení (session) je komunikace mezi serverem a klientem šifrovaná a tedy zabezpečená.
 
[editovat] Princip
 
Ustavení SSL spojení funguje na principu asymetrické šifry, kdy každá z komunikujících stran má dvojici šifrovacích klíčů - veřejný a soukromý. Veřejný klíč je možné zveřejnit a pokud tímto klíčem kdokoliv zašifruje nějakou zprávu, je zajištěno, že ji bude moci rozšifrovat jen majitel použitého veřejného klíče svým soukromým klíčem.
 
Ustavení SSL spojení (''SSL handshake'', tedy potřásání rukou) pak probíhá následovně:
# Klient pošle serveru požadevek na SSL spojení, spolu s různými doplňujícími informacemi (verze SSL, nastavení šifrování atd.).
 
# Server pošle klientovi odpověď na jeho požadavek, která obsahuje stejný typ informací a hlavně certifikát serveru.
1. Klient pošle serveru požadevek na SSL spojení, spolu s různými doplňujícími informacemi (verze SSL, nastavení šifrování atd.).
# Podle přijatého certifikátu si klient ověří autentičnost serveru. Certifikát také obsahuje veřejný klíč serveru.
2. Server pošle klientovi odpověď na jeho požadavek, která obsahuje stejný typ informací a hlavně certifikát serveru.
# Na základě dosud obdržených informací vygeneruje klient základ šifrovacího klíče, kterým se bude šifrovat následná komunikace. Ten zašifruje veřejným klíčem serveru a pošle mu ho.
3. Podle přijatého certifikátu si klient ověří autentičnost serveru. Certifikát také obsahuje veřejný klíč serveru.
# Server použije svůj soukromý klíč k rozšifrování základu šifrovacího klíče. Z tohoto základu vygenerují jak server, tak klient hlavní šifrovací klíč.
4. Na základě dosud obdržených informací vygeneruje klient základ šifrovacího klíče, kterým se bude šifrovat následná komunikace. Ten zašifruje veřejným klíčem serveru a pošle mu ho.
# Klient a server si navzájem potvrdí, že od teď bude jejich komunikace šifrovaná tímto klíčem. Fáze handshake tímto končí.
5. Server použije svůj soukromý klíč k rozšifrování základu šifrovacího klíče. Z tohoto základu vygenerují jak server, tak klient hlavní šifrovací klíč.
# Je ustaveno zabezpečené spojení šifrované vygenerovaným šifrovacím klíčem.
6. Klient a server si navzájem potvrdí, že od teď bude jejich komunikace šifrovaná tímto klíčem. Fáze handshake tímto končí.
# Aplikace od teď dál komunikují přes šifrované spojení. Například [[Hyper Text Transfer Protocol|POST]] požadavek na server se do této doby neodešle.
7. Je ustaveno zabezpečené spojení šifrované vygenerovaným šifrovacím klíčem.
8. Aplikace od teď dál komunikují přes šifrované spojení. Například POST požadavek na server se do této doby neodešle.
 
Během první fáze ustanovení bezpečného spojení si klient a server dohodnou kryptografické algoritmy, které budou použity. V dnešní implementaci jsou následující volby:
 
* pro výměnu klíčů: RSA, Diffie-Hellman, DSA nebo Fortezza;
* pro symetrickou šifru: RC2, RC4, IDEA, DES, 3DES nebo AES;
* pro jednocestné hašovací funkce: MD5 nebo SHA.
 
[editovat] Chyby v používání
 
Důvěra k mnoha CA
V PC je předinstalováno několik CA (Certificate authority - Certifikační autorita). Těmto se při prohlížení stránek https:// automaticky důvěřuje a uživatel si to ani nemusí uvědomit. Chyba je v tom, že v úložišti pro CA může být i nějaká testovací CA. Ta samozřejmě důvěryhodná není!
 
Podepsaný certifikát je dobrý certifikát
Další častá chyba je, že uživatelé předpokládají, že podepsaný certifikát je správný certifikát. To je samozřejmě špatně, neboť certifikát mohl být podepsán útočníkovou CA. Je důležité kontrolovat, kdo certifikát vydal.
 
Návrat k TCP
Uživatel má vepsat URL adresu, která má na začátku https://, ale připojení se nezdaří (např. prohlížeč napíše, že vypršela doba na připojení). Uživatel si řekne, že někde nastala chyba (třeba že se překlepl) a vepíše adresu znova bez „s“. Tedy zůstane mu jen http:// a SSL se nepoužije.
 
Povolení nebezpečných šifer
Existuje několik šifrovacích algoritmů. Některé jsou bezpečné a jiné nikoli. Chyba je v tom, že někde může být povoleno použít již překonané šifrovací algoritmy. Uživatel by si měl tedy zkontrolovat, že používá ty (v současné době) bezpečné.
 
Považovat SSL za magii
SSL není žádná magie, i když se tak může zdát. Vše se opírá o matematiku a logiku. Matematika v šifrách je složitá, ale běžný uživatel s ní nepřijde do styku. Mělo by ho zajímat jen jaká šifra je silná a jaké CA důvěřuje.Také by měl znát postupy, jimiž se příslušná CA řídí při vydávání certifikátů.
 
[editovat] Doplňující informace
 
* Adresy stránek zabezpečených pomocí SSL začínají https:// . Prohlížeč také zabezpečené stránky označuje ikonkou zámku ve stavové liště. Moderní prohlížeče zobrazují ikonku zámku rovněž v řádku adresy a podbarvují tuto řádku různými barvami (zelená pro plně vyhovující, žlutá nebo oranžová pro částečně vyhovující (např. vyhovující certifikát, ale vydaný pro jinou doménu), červená pro nevyhovující certifikát).
* Standardní port pro komunikaci přes HTTPS/SSL je 443, standardní port HTTP je 80.
* HTTPS/SSL dokáže zajistit důvěrnost dat jen na cestě od klienta k serveru (a naopak). Je na provozovateli serveru, jak potom s důvěrnými daty po rozšifrování naloží. Výjimkou není uložení v nešifrované podobě do nechráněné databáze.
 
[editovat] Externí odkazy
 
* SSL 3.0 Specification
* Introducing SSL and Certificates
* SSL Security Forum
 
Citováno z „http://cs.wikipedia.org/wiki/Secure_Sockets_Layer“
 
Kategorie: Aplikační protokoly IP
Zobrazení
 
* Článek
* Diskuse
* Editovat
* Historie
 
Během první fáze ustanovení bezpečného spojení si klient a server dohodnou kryptografické algoritmy, které budou použity.
Osobní nástroje
V dnešní implementaci jsou následující volby:
* pro výměnu klíčů: [[RSA]], [[Diffie-Hellman]], [[DSA]] nebo [[Fortezza]];
* pro symetrickou šifru: [[RC2]], [[RC4]], [[IDEA]], [[DES]], [[DES|3DES]] nebo [[Advanced Encryption Standard|AES]];
* pro jednocestné hašovací funkce: [[MD5]] nebo [[Hašovací funkce|SHA]].
 
== Chyby v používání ==
* Moje diskuse
;Důvěra k mnoha CA:V PC je předinstalováno několik CA (Certificate authority - Certifikační autorita). Těmto se při prohlížení stránek https:// automaticky důvěřuje a uživatel si to ani nemusí uvědomit. Chyba je v tom, že v úložišti pro CA může být i nějaká testovací CA. Ta samozřejmě důvěryhodná není!
* Přihlaste se
 
;Podepsaný certifikát je dobrý certifikát:Další častá chyba je, že uživatelé předpokládají, že podepsaný certifikát je správný certifikát. To je samozřejmě špatně, neboť certifikát mohl být podepsán útočníkovou CA. Je důležité kontrolovat, kdo certifikát vydal.
Navigace
 
;Návrat k TCP:Uživatel má vepsat URL adresu, která má na začátku https://, ale připojení se nezdaří (např. prohlížeč napíše, že vypršela doba na připojení). Uživatel si řekne, že někde nastala chyba (třeba že se překlepl) a vepíše adresu znova bez „s“. Tedy zůstane mu jen http:// a SSL se nepoužije.
* Hlavní strana
* Portál Wikipedie
* Aktuality
* Pod lípou
* Poslední změny
* Náhodný článek
* Nápověda
* Podpořte Wikipedii
 
;Povolení nebezpečných šifer:Existuje několik šifrovacích algoritmů. Některé jsou bezpečné a jiné nikoli. Chyba je v tom, že někde může být povoleno použít již překonané šifrovací algoritmy. Uživatel by si měl tedy zkontrolovat, že používá ty (v současné době) bezpečné.
Hledání
Nástroje
 
;Považovat SSL za magii:SSL není žádná magie, i když se tak může zdát. Vše se opírá o matematiku a logiku. Matematika v šifrách je složitá, ale běžný uživatel s ní nepřijde do styku. Mělo by ho zajímat jen jaká šifra je silná a jaké CA důvěřuje.Také by měl znát postupy, jimiž se příslušná CA řídí při vydávání certifikátů.
* Odkazuje sem
* Související změny
* Načíst soubor
* Načíst na Commons
* Speciální stránky
* Verze k tisku
* Trvalý odkaz
* Citovat stránku
 
== Doplňující informace ==
V jiných jazycích
* Adresy stránek zabezpečených pomocí SSL začínají <nowiki>https://</nowiki> . Prohlížeč také zabezpečené stránky označuje ikonkou zámku ve stavové liště. Moderní prohlížeče zobrazují ikonku zámku rovněž v řádku adresy a podbarvují tuto řádku různými barvami (zelená pro plně vyhovující, žlutá nebo oranžová pro částečně vyhovující (např. vyhovující certifikát, ale vydaný pro jinou doménu), červená pro nevyhovující certifikát).
* Standardní port pro komunikaci přes HTTPS/SSL je 443, standardní port [[Hyper Text Transfer Protocol|HTTP]] je 80.
* HTTPS/SSL dokáže zajistit důvěrnost dat jen na cestě od klienta k serveru (a naopak). Je na provozovateli serveru, jak potom s důvěrnými daty po rozšifrování naloží. Výjimkou není uložení v nešifrované podobě do nechráněné databáze.
 
== Externí odkazy ==
* Български
*[http://wp.netscape.com/eng/ssl3/ SSL 3.0 Specification]
* English
*[http://www.pseudonym.org/ssl/ssl_intro.html Introducing SSL and Certificates]
* Gaeilge
*[http://www.ssl-forum.com/ SSL Security Forum]
* עברית
* Italiano
* 日本語
* 한국어
* Lietuvių
* Nederlands
* Русский
* Slovenščina
* Svenska
* Türkçe
* Українська
 
[[Kategorie:Aplikační protokoly IP]]
Powered by MediaWiki
Wikimedia Foundation
 
[[bg:SSL]]
* Stránka byla naposledy editována v 08:12, 31. 5. 2007.
[[en:Transport Layer Security]]
* Veškerý text je dostupný za podmínek GNU Free Documentation License (vizte Autorské právo pro podrobnosti).
[[ga:SSL]]
* Ochrana osobních údajů
[[he:SSL]]
* O Wikipedii
[[it:Secure Sockets Layer]]
* Vyloučení odpovědnosti
[[ja:Secure Socket Layer]]
[[ko:SSL]]
[[lt:SSL]]
[[nl:Secure Sockets Layer]]
[[ru:SSL]]
[[sl:Secure Sockets Layer]]
[[sv:SSL]]
[[tr:Secure Sockets Layer]]
[[uk:SSL]]
Citováno z „https://cs.wikipedia.org/wiki/Secure_Sockets_Layer