Comment Les Certificats De Serveur de SSL Fonctionnent


  Share  
|

Les certificats de SSL tirent profit du SSL pour fonctionner seamlessly entre les emplacements de Web et les navigateurs’ de Web de visiteurs. Le protocole de SSL emploie une combinaison de chiffrage principal public asymétrique et de chiffrage symétrique plus rapide.

Les navigateurs de Netscape Navigator et de Microsoft Internet Explorer Ont les mécanismes intégrés de sécurité pour empêcher des utilisateurs de soumettre inconsciemment leurs canaux peu sûrs d'excédent personnel de l'information. Si un utilisateur essaye de soumettre l'information à un emplacement sans garantie (un emplacement sans certificat de serveur de SSL), les navigateurs, par défaut, montreront un avertissement.

En revanche, si un utilisateur soumet la carte de degré de solvabilité ou toute autre information à un emplacement avec un certificat valide de serveur et un raccordement de SSL, l'avertissement n'apparaît pas. Le raccordement bloqué est sans couture, mais les visiteurs peuvent être sûrs que des transactions avec un emplacement sont fixées en recherchant les sélections suivantes :

  • Le URL dans les https de vitrines “de navigateur” au début, au lieu du HTTP.

  • Dans le Netscape Communicator, le cadenas dans le coin bas-gauche de la fenêtre de navigateur sera fermé au lieu d'ouvert.

  • Dans l'Internet Explorer, une icône de cadenas apparaît dans la barre au fond de la fenêtre d'IE

Forces de SSL : SSL 40-Bit et 128-Bit

Le SSL vient dans deux forces, 40-bit et 128-bit, qui se rapportent à la longueur de la clef de session produite par chaque transaction chiffrée. Plus la clef est longue, plus il est de déchiffrer le code de chiffrage plus difficile. le chiffrage de SSL 128-bit est le monde’s le plus fort ; selon des laboratoires de RSA, cela prendrait trillion d'années à la fente en utilisant aujourd'hui’la technologie de s. le chiffrage 128-bit est approximativement 3 x 1026 plus forts que le chiffrage 40-bit.

Microsoft et Netscape offrent deux versions de leurs navigateurs, exportation et domestique de Web, qui permettent différents niveaux de chiffrage selon le type de certificat de serveur de SSL avec lequel le navigateur communique. D'abord, les certificats de serveur de SSL 40-bit (tels que des certificats’de SSL de VeriSign s) permettent SSL 40-bit en communiquant avec l'exporter-version Netscape et les navigateurs de Microsoft Internet Explorer (IE) (employés par la plupart des personnes aux ETATS-UNIS et mondiaux) et le chiffrage de SSL 128-bit en communiquant avec la domestique-version Microsoft et les navigateurs de Netscape. En second lieu, les certificats de serveur de SSL 128-bit (tels que des identifications’globales de serveur de VeriSign s) permettent le chiffrage de SSL 128-bit (le monde’s le plus fort) avec le domestique et exportent des versions des navigateurs de Microsoft et de Netscape.

Information : Le Serveur de SSL Délivre un certificat Des Étapes

Le processus commence en établissant une poignée de main “de SSL”—permettant au serveur de s'authentifier à l'utilisateur de navigateur, et puis permettant au serveur et au navigateur de coopérer à la création des clefs symétriques utilisées pour le chiffrage, le déchiffrage, et la détection de bourreur :

  1. Un client entre en contact avec un emplacement et accède à un URL fixé—une page fixée par un certificat de SSL (indiqué par un URL qui commence par “des https :” au lieu du HTTP “juste :” ou par un message du navigateur). Ceci pourrait typiquement être une forme d'ordre en ligne rassemblant l'information privée du client, tel que l'adresse, le numéro de téléphone, et le nombre de carte de degré de solvabilité ou toute autre information de paiement.

  2. Le navigateur’du client s envoie automatiquement au serveur le nombre’de version de SSL du navigateur s, arrangements de chiffre, données aléatoirement produites, et l'autre information que le serveur doit communiquer avec le client en utilisant le SSL.

  3. Le serveur répond, automatiquement envoyant au navigateur’du client s l'emplacement’s certificat numérique, avec le nombre’de version de SSL du serveur s, arrangements de chiffre, et ainsi de suite.

  4. Le navigateur’du client s examine l'information contenue dans le certificat’du serveur s, et vérifie cela :

    1. Le certificat de serveur est valide et a une date valide.

    2. Le CA qui a publié le serveur a été signé par un CA de confiance dont le certificat est construit dans le navigateur.

    3. La clef publique’de publication de CA s, établie dans le navigateur, valide la signature’numérique de l'émetteur s.

    4. Le Domain Name indiqué par le certificat de serveur assortit le Domain Name’réel du serveur s.

    Si le serveur ne peut pas être authentifié, on avertit l'utilisateur qu'un raccordement chiffré et authentifié ne peut pas être établi.

  5. Si le serveur peut être avec succès authentifié, le navigateur’de Web du client s produit d'une clef “unique de session” pour chiffrer toutes les communications avec l'emplacement en utilisant le chiffrage asymétrique.

  6. Le navigateur’de l'utilisateur s chiffre la clef de session elle-même avec la clef’publique de l'emplacement s de sorte que seulement l'emplacement puisse lire la clef de session, et l'envoie au serveur.

  7. Le serveur déchiffre la clef de session en utilisant sa propre clef privée.

  8. Le navigateur envoie un message au serveur l'informant que de futurs messages du client seront chiffrés avec la clef de session.

  9. Le serveur envoie alors un message au client l'informant que de futurs messages du serveur seront chiffrés avec la clef de session.

  10. Une session SSL-FIXÉE est maintenant établie. Le SSL emploie alors le chiffrage symétrique (qui est beaucoup plus rapide que le chiffrage asymétrique de PKI) pour chiffrer et déchiffrer des messages dans la canalisation “SSL-FIXÉE.”

  11. Après que la session soit complète, on élimine la clef de session.

Cela tout prend seulement des secondes et n'exige aucune action par l'utilisateur

Afin de permettre entièrement le chiffrage 128-bit avec une identification globale de serveur, il’s important pour produire du bon genre de clef privée pendant le processus d'obtenir un certificat de SSL. Une étape importante dans le processus produit d'une demande de signature de certificat (CSR) dans le logiciel de serveur de Web. En produisant d'un CSR, les administrateurs de serveur de Web devraient faire attention à choisir une clef 1024-bit privée, qui permet à l'identification globale de serveur d'établir le chiffrage de SSL 128-bit, plutôt qu'une clef 512-bit privée, qui permet seulement le chiffrage 40-bit.

Les utilisateurs de Netscape peuvent suivre ces étapes pour voir quel niveau de chiffrage protège leurs transactions :

  • Allez à la Page Web bloquée que vous voulez vérifier.

  • Cliquez le bouton de sécurité dans le navigateur’s toolbar. La zone de dialogue d'information de sécurité indique si l'emplacement de Web emploie le chiffrage.

  • Si elle , cliquer le bouton ouvert d'information de page pour montrer plus d'informations sur les dispositifs’de sécurité de l'emplacement s, y compris le type de chiffrage utilisé.

Vous pouvez également vérifier pour voir quel niveau de SSL est activé sur votre serveur de Web par après ces étapes :

  • Employer un client 128-bit, tel que la version domestique du Netscape Navigator, cliquent des préférences d'Options/Security.

  • Sous les options de SSL de permettre, le clic configurent pour SSL 2 et SSL 3. Assurez-vous que l'acceptation pour les chiffres de 40- et de chiffrage 56-bit sont arrêtées.

  • Essayez d'accéder à l'emplacement. S'il employant la sécurité de moins de 128 bits, alors vous recevra une erreur dans votre fenêtre de navigateur : “Netscape et ce serveur ne peuvent pas communiquer solidement parce qu'ils n'ont aucune méthode commune de chiffrage”

Les utilisateurs d'IE peuvent découvrir un chiffrage de l'emplacement’s de Web de niveau par après ces étapes :

  • Allez à l'emplacement de Web que vous voulez vérifier.

  • Right-clic à la page de l'emplacement’s de Web et aux propriétés choisies.

  • Cliquez le bouton de certificats.

  • Dans les domaines enfermez dans une boîte, choisissez le type de chiffrage. La boîte de détails vous montre le niveau du chiffrage, du 40-bit ou du 128-bit. (voyez la section suivante pour plus d'informations sur des niveaux de chiffrage de SSL.)

les E-affaires peuvent choisir de simplifier le processus du certificat vérifiant les visiteurs d'emplacement en décrivant les mesures de sécurité qu'elles ont mises en application dans un Privacy Statement de sécurité et sur leurs emplacements. Par exemple, les emplacements qui emploient des certificats de SSL de VeriSign peuvent également signaler le joint bloqué d'emplacement sur leur Home Page, page de rapport de sécurité, et pages d'achat. Le joint est un symbole largement identifié de la confiance qui permet à des visiteurs d'emplacement de vérifier des certificats en temps réel de VeriSign avec un clic.

SGC et 128-Bit survolteurs

Pour s'assurer que fort, le chiffrage 128-bit protège des transactions d'e-commerce pour tous les utilisateurs, les entreprises devraient installer les identifications 128-bit, telles que des identifications’globales de serveur de VeriSign s, sur leurs serveurs. Cependant, les navigateurs d'exportation qui permettent seulement le chiffrage 40-bit avec des certificats de serveur de SSL 40-bit permettront fort, le chiffrage 128-bit quand agir l'un sur l'autre avec le serveur 128-bit délivre un certificat parce que ces certificats sont équipés d'une prolongation spéciale qui permet la Cryptographie à déchenchements périodiques par serveur (SGC) pour des navigateurs de Microsoft et “survolteur international” pour des navigateurs de Netscape.

La prolongation permet le chiffrage 128-bit avec des navigateurs d'exporter-version en incitant deux “poignées de main” quand un navigateur’de l'utilisateur s accède à une page protégée par une identification globale de serveur. Quand une exporter-version Netscape ou le navigateur de Microsoft se relie au serveur de Web, le navigateur lance un raccordement avec seulement un chiffre 40-bit. Quand le certificat de serveur est transféré, le navigateur vérifie le certificat contre son liste intégrée de CAs approuvé. Ici, il identifie que le certificat de serveur inclut le SGC ou la prolongation survoltrice internationale, et puis renégocie immédiatement les paramètres de SSL pour que le raccordement lance une session de SSL avec un chiffre 128-bit. Dans les raccordements suivants, le navigateur emploie immédiatement le chiffre 128-bit pour le chiffrage de plein-force.

c'est un article supplémentaire par Dave O`Brien


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions