TLS: Το εικονίδιο του πρωτοκόλλου πίσω από κάθε λουκέτο

SSL → TLS: η χρονολογική ιστορία Η

Netscape Communications δημιούργησε την πρώτη εφαρμογή SSL το 1994 για να εξασφαλίσει τις ηλεκτρονικές αγορές στο ολοκαίνουργιο πρόγραμμα περιήγησης Netscape Navigator. Το SSL 1.0 δεν κυκλοφόρησε ποτέ δημόσια επειδή είχε κρίσιμα ελαττώματα. Το SSL 2.0 που κυκλοφόρησε τον Φεβρουάριο του 1995, κατέρρευσε αμέσως και το SSL 3.0 ακολούθησε το 1996 ως μια σχεδόν συνολική επανεγγραφή. Το ιστορικό της έκδοσης από τότε:

• TLS 1.0 (Ιανουάριος 1999, RFC 2246) — ουσιαστικά SSL 3.1.
• TLS 1.1TLS 1.1XPLZl1346 Επιθέσεις CBC μέσω ρητών διανυσμάτων αρχικοποίησης.
• TLS 1.2 (Αύγουστος 2008, RFC 5246) — προστέθηκαν κρυπτογράφηση AEAD, SHA-256, διαμορφώσιμοι αλγόριθμοι υπογραφής. Κυριάρχησε για μια δεκαετία.
• TLS 1.3 (Αύγουστος 2018, RFC 8446) — σημαντικός επανασχεδιασμός. Καταργήθηκε η παλαιού τύπου cruft, η υποχρεωτική εμπρόθεσμη μυστικότητα, η μείωση του λανθάνοντος χρόνου χειραψίας. Το

SSL 3.0 καταργήθηκε επίσημα τον Ιούνιο του 2015 (RFC 7568) μετά το POODLE. Τα TLS 1.0 και 1.1 καταργήθηκαν τον Μάρτιο του 2021 (RFC 8996). Το 2026, οι σύγχρονοι διακομιστές θα πρέπει να αρνηθούν οτιδήποτε κάτω από το TLS 1.2 και να προτιμήσουν το TLS 1.3.

Πώς λειτουργεί πραγματικά η χειραψία

Κάθε σύνδεση TLS ξεκινά με μια χειραψία που κάνει τρία πράγματα: συμφωνήστε σε μια σουίτα κρυπτογράφησης, αποδείξτε την κοινή ταυτότητα του διακομιστή και εξάγετε το υπόλοιπο κλειδί session.

TLS 1.2 χειραψία (η κλασική ροή)

1. ClientHello: ο πελάτης στέλνει υποστηριζόμενες εκδόσεις TLS, σουίτες κρυπτογράφησης και έναν τυχαίο αριθμό. ο διακομιστής επιλέγει μια σουίτα κρυπτογράφησης, στέλνει τον τυχαίο αριθμό της.
2. Certificate: ο διακομιστής στέλνει την αλυσίδα πιστοποιητικών X.509, ώστε ο πελάτης να μπορεί να επαληθεύσει την ταυτότητά του. εφήμερη ανταλλαγή κλειδιών).
3. ClientKeyExchange: ο πελάτης στέλνει το δημόσιο κλειδί DH του. Και οι δύο πλευρές αντλούν πλέον το ίδιο κοινό μυστικό.
4. Finished: και οι δύο πλευρές επιβεβαιώνουν τη χειραψία στέλνοντας ένα MAC σε ολόκληρη τη μεταγραφή. Σε έναν σύνδεσμο λανθάνοντος χρόνου 100 ms, κάθε νέα σύνδεση HTTPS τρώει 200 ms πριν μετακινηθεί οποιοδήποτε πραγματικό περιεχόμενο. Η χειραψία

   TLS 1.3 (η σύγχρονη ροή)

   TLS 1.3 συμπτύσσει τη χειραψία σε ένα ταξίδι μετ' επιστροφής στο κοινό case:

   1. ClientHello: περιλαμβάνει το δημόσιο κλειδί DH του πελάτη για κάθε ομάδα κρυπτογράφησης που υποστηρίζει ο πελάτης. πτήση.
   2. Ο πελάτης επικυρώνει και απαντά με το δικό του Ολοκληρώθηκε.

   Ένα ταξίδι μετ' επιστροφής, δύο πτήσεις. Με την επανάληψη της περιόδου λειτουργίας (0-RTT), ο πελάτης μπορεί ακόμη και να αρχίσει να στέλνει δεδομένα με το πρώτο του μήνυμα — εις βάρος ορισμένων ιδιοτήτων εμπρόθεσμης μυστικότητας για αυτά τα αρχικά δεδομένα. Έσβησε:

   • Στατική ανταλλαγή κλειδιών RSA (διατάραξη του απορρήτου).Κρυπτογράφηση λειτουργίας
   • CBC (ευάλωτοι σε BEAST και Lucky Thirteen).
   • RC4 κρυπτογράφηση ροής (από πολύ καιρό σπασμένο και χαμένο από μακροπρόθεσμα τα haZ89XPLZ
   • PLZ85XPL). για υπογραφές.
   • Επαναδιαπραγμάτευση (αντικαταστάθηκε από έλεγχο ταυτότητας μετά τη χειραψία).
   • Συμπίεση (κατηγορία CRIME επιθέσεων). από ~300 σε TLS 1.2 κάτω σε 5 σε TLS 1.3. Λιγότερο σχοινί για να κρεμαστείτε.

     Το ιστορικό επιθέσεων που διαμόρφωσε το TLS

     • BEAST (2011) — επίθεση επιλεγμένου απλού κειμένου στη λειτουργία CBC στο TLS 1.0. Διορθώθηκε σε 1.1+ μέσω ρητών IV.
     • CRIME (2012) — χρησιμοποιήθηκε συμπίεση TLS για την ανάκτηση των cookie περιόδου λειτουργίας. Διορθώθηκε με την απενεργοποίηση της συμπίεσης.
     • BREACH (2013) — ισοδύναμο συμπίεσης σε επίπεδο HTTP του CRIME. Μετριάζεται με την απενεργοποίηση της συμπίεσης HTTP σε ευαίσθητες αποκρίσεις.
     • Heartbleed (Απρίλιος 2014) — Σφάλμα OpenSSL, όχι πρόβλημα προδιαγραφών TLS. Διαρροή μνήμης διακομιστή συμπεριλαμβανομένων ιδιωτικών κλειδιών. Εκδήλωση μαζικής εναλλαγής πιστοποιητικών στον ιστό.
     • POODLE (Οκτώβριος 2014) — εναλλακτικό SSL 3.0 με εκμετάλλευση. Σκοτώθηκε το SSL 3.0 σε προγράμματα περιήγησης εντός εβδομάδων.
     • Logjam (2015) — έδειξε ότι μικρές ομάδες Diffie-Hellman (ειδικά η Ομάδα 2 1024-bit που χρησιμοποιείται ευρέως σε IPsec/IKE) ήταν κοντά σε επιτιθέμενους έθνους-κράτους. Αναγκαστική μετανάστευση σε όλο τον κλάδο σε μεγαλύτερες ομάδες και ελλειπτική καμπύλη DH.
     • Lucky Thirteen (2013) — χρονική επίθεση στη λειτουργία CBC. Διόρθωση σε επίπεδο βιβλιοθήκης στο OpenSSL και σε άλλα.

     Κάθε επίθεση αύξησε το πρωτόκολλο. Με το TLS 1.3, οι περισσότερες από αυτές τις κλάσεις είναι αδύνατες από τη σχεδίαση.

     Αρχές πιστοποιητικών και το πρόβλημα εμπιστοσύνης Ο έλεγχος ταυτότητας

     TLS βασίζεται σε Αρχές πιστοποιητικών (CA) που εμπιστεύονται τα προγράμματα περιήγησης από προεπιλογή. Τρεις κορυφαίες ανά μερίδιο αγοράς από το 2019: IdenTrust, DigiCert και Sectigo. Let's Encrypt — η δωρεάν, αυτοματοποιημένη ΑΠ που κυκλοφόρησε το 2016 — οδήγησε στη μεγαλύτερη ώθηση υιοθέτησης στην ιστορία του HTTPS.

     Η δομική αδυναμία: κάθε αξιόπιστη ΑΠ μπορεί να εκδώσει πιστοποιητικό για οποιονδήποτε τομέα. Μια παραβιασμένη ή εξαναγκασμένη ΑΠ μπορεί να εκδώσει ένα έγκυρο πιστοποιητικό για την τράπεζά σας. Certificate Transparency (CT) αρχεία καταγραφής — δημόσιες εγγραφές μόνο με προσάρτημα κάθε πιστοποιητικού που έχει εκδοθεί ποτέ — εισήχθησαν για τον εντοπισμό αυτού. Τα προγράμματα περιήγησης απαιτούν πλέον να εμφανίζονται πιστοποιητικά στα αρχεία καταγραφής CT προτού τα αποδεχτούν.

     Το φόρουμ CA/Browser ενέκρινε τη μείωση της μέγιστης ισχύος πιστοποιητικού σε 47 ημέρες έως το 2029, σφίγγοντας το παράθυρο κατά το οποίο μια παραβιασμένη ΑΠ μπορεί να προκαλέσει ζημιά.

     Encrypted (ECH)

     Ένα πράγμα διαρρέει το κλασικό TLS: το πεδίο Ένδειξη ονόματος διακομιστή (SNI) στο ClientHello, το οποίο λέει στον διακομιστή με ποιο όνομα κεντρικού υπολογιστή συνδέεστε, ώστε να μπορεί να παρουσιάσει το σωστό πιστοποιητικό. Το SNI είναι απλό κείμενο, επομένως οι παρατηρητές δικτύου μαθαίνουν κάθε τομέα που επισκέπτεστε, παρόλο που το υπόλοιπο της σύνδεσης είναι κρυπτογραφημένο. Η Cloudflare και η Apple έχουν στείλει υποστήριξη ECH. Ο Firefox και ο Chrome το κυκλοφόρησαν πίσω από τις σημαίες μέχρι το 2024 και κινούνται προς την προεπιλογή. Για χρήστες σε εχθρικά δίκτυα, το ECH είναι η επόμενη αναβάθμιση απορρήτου μετά το καθολικό HTTPS.

     DTLS — TLS για UDP

     DTLS (Datagram TLS) είναι η παραλλαγή TLS που λειτουργεί μέσω UDP. Τροφοδοτεί το WebRTC (βίντεο/φωνή προγράμματος περιήγησης), την υποκείμενη ασφάλεια του QUIC και πολλά πρωτόκολλα VPN. Το DTLS 1.3 (RFC 9147, 2022) ταιριάζει με τους εκσυγχρονισμούς χειραψίας και κρυπτογράφησης του TLS 1.3. Το

     Post-quantum TLS

     Diffie-Hellman ανταλλαγή κλειδιών — η βάση του TLS που μπορεί να διασπαστεί από τον υπολογιστή με αρκετά μεγάλη μυστικότητα — είναι αρκετά μεγάλη. Η επιδιόρθωση είναι η ανταλλαγή υβριδικών κλειδιών που συνδυάζει έναν κλασικό αλγόριθμο (X25519) με έναν μετα-κβαντικό υποψήφιο (συνήθως ML-KEM-768, παλαιότερα γνωστό ως Kyber). Το

     Chrome ενεργοποίησε το υβριδικό X25519MLKEM768 από προεπιλογή, το VPN είναι αρκετά όψιμα. το έστειλε μέχρι το 2025. Η ευρύτερη κυκλοφορία προστατεύει τη σημερινή κυκλοφορία από την επίθεση "harvest now, decrypt later" — ένας αντίπαλος καταγράφει κρυπτογραφημένη κίνηση σήμερα, περιμένει κβαντικούς υπολογιστές και μετά αποκρυπτογραφεί ιστορικά. Τα σύγχρονα προγράμματα περιήγησης εμφανίζουν την έκδοση πρωτοκόλλου, τη σουίτα κρυπτογράφησης και λεπτομέρειες πιστοποιητικού. Εάν βλέπετε TLS 1.0 ή 1.1, ο ιστότοπος χρησιμοποιεί καταργημένες διαμορφώσεις. Εάν βλέπετε το TLS 1.3 με AES-256-GCM ή ChaCha20-Poly1305, χρησιμοποιείτε μοντέρνα κρυπτογράφηση. Οι δύο όροι χρησιμοποιούνται συχνά εναλλακτικά στην καθομιλουμένη, αλλά το TLS είναι το υποκείμενο κρυπτογραφικό πρωτόκολλο. Το HTTPS είναι απλώς HTTP-over-TLS.