Phương pháp nào được sử dụng để xác định cửa sổ Lớp cổng bảo mật?

Trước khi chọn một chứng chỉ SSL cụ thể, bạn cần xem xét các yêu cầu thực tế, tình hình công ty và mức độ khẩn cấp để có được chứng chỉ SSL. Dưới đây là một số gợi ý cần suy nghĩ khi chọn loại chứng chỉ SSL của bạn.  

• Tình trạng sẵn có và đăng ký miền

Bạn phải có sẵn một miền đã đăng ký và sẵn sàng đăng ký chứng chỉ SSL. Bởi vì ngay cả mức độ xác thực thấp nhất cũng liên quan đến việc kiểm tra xem bạn có sở hữu một tên miền hay không. Nếu bạn đã nghĩ đến việc sử dụng tên máy chủ nội bộ của mình để nhận vấn đề về chứng chỉ, hãy nhớ rằng điều đó không thể thực hiện được nữa. Các quy tắc được triển khai từ năm 2015 trở đi hạn chế các CA cấp chứng chỉ cho tên máy chủ nội bộ hoặc IP dành riêng vì những tên này không thể được xác minh để xác định công ty duy nhất điều hành chúng.  

• Xác định mức độ tin cậy mà bạn cần cho chứng chỉ của mình.  

Bạn đang chạy một blog trang web đơn giản? . Nếu bạn đang điều hành một trang web kinh doanh nhưng không thực hiện bất kỳ giao dịch tài chính hoặc truyền dữ liệu cá nhân nào, chứng chỉ OV có thể phù hợp với bạn. Nhưng nếu bạn đang điều hành một trang web Thương mại điện tử, mức xác thực được đề xuất sẽ được cung cấp cùng với chứng chỉ EV.  

• Số miền bạn cần chứng chỉ cho.  

Nếu bạn chỉ sử dụng một miền, bạn có thể sử dụng chứng chỉ tiêu chuẩn với mức độ tin cậy mà bạn chọn, có thể là EV, OV hoặc DV.  

Nếu bạn muốn bảo mật nhiều miền, chẳng hạn như trang web của bạn. com, trang web của bạn. trong, trang web của bạn. net, v.v., bạn sẽ phải mua chứng chỉ đa miền. Chứng chỉ đa miền đắt hơn và được gọi luân phiên là chứng chỉ SAN vì chúng được sử dụng cho Tên miền thay thế chủ đề.  

Để bảo mật nhiều tên miền phụ, hãy nói như blog. trang web của bạn. com, giỏ hàng. trang web của bạn. com, bạn cần sử dụng miền Ký tự đại diện, miền này cho phép bạn bao gồm toàn bộ phạm vi miền phụ bằng *. trang web của bạn. định dạng com. Nhưng sử dụng ký tự đại diện có thể là một lựa chọn tốn kém nếu bạn chỉ có một số tên miền phụ. Trong trường hợp đó, bạn có thể chọn chứng chỉ đa miền để bao gồm tất cả các miền phụ của mình

TLS dựa trên SSL và được phát triển để thay thế nhằm đối phó với các lỗ hổng đã biết trong SSLv3

SSL là thuật ngữ thường được sử dụng và ngày nay thường dùng để chỉ TLS

Bảo mật được cung cấp

SSL/TLS cung cấp mã hóa dữ liệu, tính toàn vẹn và xác thực dữ liệu

Điều này có nghĩa là khi sử dụng SSL/TLS, bạn có thể tự tin rằng

• Chưa có ai đọc tin nhắn của bạn
• Không ai đã thay đổi tin nhắn của bạn
• Bạn đang liên lạc với người dự định (máy chủ)

Khi gửi tin nhắn giữa hai bên, bạn có hai vấn đề cần giải quyết

• Sao bạn biết là chưa có ai đọc tin nhắn?
• Làm thế nào để bạn biết rằng không có ai đã thay đổi tin nhắn?

Các giải pháp cho những vấn đề này là để

• mã hóa nó. – Điều này làm cho nội dung không thể đọc được để bất kỳ ai xem tin nhắn đó chỉ là vô nghĩa
• Ký tên– Điều này cho phép người nhận tin tưởng rằng chính bạn là người đã gửi tin nhắn và tin nhắn đó không bị thay đổi

Cả hai quá trình này đều yêu cầu sử dụng các khóa

Các khóa này chỉ đơn giản là các số (phổ biến là 128 bit) sau đó được kết hợp với thông báo bằng một phương pháp cụ thể, thường được gọi là thuật toán- e. g. RSA, để mã hóa hoặc ký tin nhắn

Khóa đối xứng và khóa công khai và khóa riêng

Hầu như tất cả các phương pháp mã hóa được sử dụng ngày nay đều sử dụng khóa công khai và khóa riêng

Chúng được coi là an toàn hơn nhiều so với cách sắp xếp khóa đối xứng cũ

Với khóa đối xứng, một khóa được sử dụng để mã hóa hoặc ký tin nhắn và cùng một khóa được sử dụng để giải mã tin nhắn

Điều này cũng giống như chìa khóa (chìa khóa cửa, chìa khóa xe hơi) mà chúng ta xử lý trong cuộc sống hàng ngày

Vấn đề với kiểu sắp xếp chìa khóa này là nếu bạn làm mất chìa khóa, bất kỳ ai tìm thấy nó đều có thể mở khóa cửa của bạn

Với khóa Công khai và Riêng tư, hai khóa được sử dụng có liên quan về mặt toán học (chúng thuộc về một cặp khóa), nhưng khác nhau

Điều này có nghĩa là một tin nhắn được mã hóa bằng khóa chung không thể được giải mã bằng cùng một khóa chung

Để giải mã tin nhắn, bạn cần có khóa riêng

Nếu kiểu sắp xếp chìa khóa này đã được sử dụng với ô tô của bạn. Sau đó, bạn có thể khóa xe và để chìa khóa trong ổ khóa vì cùng một chìa khóa không thể mở khóa xe

Kiểu sắp xếp khóa này rất an toàn và được sử dụng trong tất cả các hệ thống mã hóa/chữ ký hiện đại

Khóa và chứng chỉ SSL

SSL/TLS sử dụng hệ thống khóa công khai và khóa riêng để mã hóa dữ liệu và tính toàn vẹn của dữ liệu

Khóa công khai có thể được cung cấp cho bất kỳ ai, do đó có thuật ngữ khóa công khai

Vì điều này, có một câu hỏi về niềm tin, cụ thể là

Làm thế nào để bạn biết rằng một khóa công khai cụ thể thuộc về người/tổ chức mà nó tuyên bố là

Ví dụ: bạn nhận được một chìa khóa xác nhận là thuộc về ngân hàng của bạn

Làm thế nào để bạn biết rằng nó thuộc về ngân hàng của bạn?

Câu trả lời là sử dụng chứng thư số

Giấy chứng nhận phục vụ mục đích giống như hộ chiếu trong cuộc sống hàng ngày

Hộ chiếu đã thiết lập một liên kết giữa ảnh và một người và liên kết đó đã được xác minh bởi cơ quan đáng tin cậy (cơ quan hộ chiếu)

Chứng chỉ kỹ thuật số cung cấp liên kết giữa khóa công khai và thực thể (doanh nghiệp, tên miền, v.v.) đã được xác minh (đã ký) bởi bên thứ ba đáng tin cậy (Cơ quan cấp chứng chỉ)

Chứng chỉ kỹ thuật số cung cấp một cách thuận tiện để phân phối các khóa mã hóa công khai đáng tin cậy

Nhận chứng chỉ kỹ thuật số

Bạn nhận được chứng chỉ kỹ thuật số từ cơ quan cấp Chứng chỉ (CA) được công nhận. Giống như bạn nhận được hộ chiếu từ văn phòng hộ chiếu

Trong thực tế, thủ tục là rất giống nhau

Bạn điền vào các biểu mẫu thích hợp, thêm các khóa công khai của bạn (chúng chỉ là các số) và gửi chúng đến cơ quan cấp chứng chỉ. (đây là Yêu cầu chứng chỉ)

Cơ quan cấp chứng chỉ thực hiện một số kiểm tra (tùy thuộc vào cơ quan) và gửi lại cho bạn các khóa được đính kèm trong chứng chỉ

Chứng chỉ được ký bởi cơ quan cấp Chứng chỉ và đây là thứ đảm bảo các khóa

Bây giờ, khi ai đó muốn khóa công khai của bạn, bạn gửi cho họ chứng chỉ, họ xác minh chữ ký trên chứng chỉ và nếu nó xác minh, thì họ có thể tin tưởng vào khóa của bạn

Ví dụ sử dụng

Để minh họa, chúng ta sẽ xem xét một trình duyệt web điển hình và kết nối máy chủ web sử dụng SSL. (https)

Kết nối này được sử dụng trên Internet để gửi email trong Gmail, v.v. và khi thực hiện giao dịch ngân hàng trực tuyến, mua sắm, v.v.

1. Trình duyệt kết nối với máy chủ bằng SSL (https)
2. Máy chủ phản hồi với Chứng chỉ máy chủ chứa khóa chung của máy chủ web
3. Trình duyệt xác minh chứng chỉ bằng cách kiểm tra chữ ký của CA. Để làm điều này, chứng chỉ CA cần phải có trong cửa hàng đáng tin cậy của trình duyệt (Xem sau)
4. Trình duyệt sử dụng Khóa công khai này để đồng ý khóa phiên với máy chủ
5. Trình duyệt web và máy chủ mã hóa dữ liệu qua kết nối bằng khóa phiên

Đây là một video bao gồm những điều trên một cách chi tiết hơn

Các loại chứng chỉ số

Nếu bạn đang cố mua chứng chỉ cho trang web hoặc sử dụng để mã hóa MQTT, bạn sẽ gặp hai loại chính

• Chứng chỉ xác thực tên miền (DVC)
• Chứng chỉ xác thực mở rộng (EVC)

Sự khác biệt trong hai loại là mức độ tin cậy trong chứng chỉ đi kèm với xác nhận nghiêm ngặt hơn

Mức độ mã hóa mà họ cung cấp là giống hệt nhau

Chứng chỉ xác thực tên miền (DV) là chứng chỉ X. 509 thường được sử dụng cho Bảo mật tầng vận chuyển (TLS) trong đó danh tính của người đăng ký đã được xác thực bằng cách chứng minh một số quyền kiểm soát đối với miền DNS. -WikI

Quá trình xác nhận thường hoàn toàn tự động khiến chúng trở thành hình thức chứng chỉ rẻ nhất. Chúng lý tưởng để sử dụng trên các trang web như trang web này cung cấp nội dung và không được sử dụng cho dữ liệu nhạy cảm

Chứng chỉ xác thực mở rộng (EV) là chứng chỉ được sử dụng cho các trang web và phần mềm HTTPS chứng minh pháp nhân kiểm soát trang web hoặc gói phần mềm. Để có được chứng chỉ EV yêu cầu cơ quan cấp chứng chỉ (CA) xác minh danh tính của thực thể yêu cầu

Chúng thường đắt hơn các chứng chỉ được xác thực miền vì chúng liên quan đến xác thực thủ công

Hạn chế sử dụng chứng chỉ- Ký tự đại diện và SAN

Nói chung, chứng chỉ hợp lệ để sử dụng trên một tên miền đủ điều kiện (FQDN)

Đó là chứng chỉ được mua để sử dụng trên www. tên miền của tôi. com không thể được sử dụng trên mail. tên miền của tôi. com hoặc www. tên miền khác. com

Tuy nhiên nếu bạn cần bảo mật nhiều tên miền phụ cũng như tên miền chính thì bạn có thể mua chứng chỉ Wildcard

Chứng chỉ ký tự đại diện bao gồm tất cả các miền phụ dưới một tên miền cụ thể

Ví dụ: chứng chỉ ký tự đại diện cho *. tên miền của tôi. com có ​​thể được sử dụng trên

• email. tên miền của tôi. com
• www. tên miền của tôi. com
• ftp. tên miền của tôi. com
• vân vân

Nó không thể dùng để bảo mật cả mydomain. com và myotherdomain. com

Để bao gồm một số tên miền khác nhau trong một chứng chỉ duy nhất, bạn phải mua chứng chỉ có SAN (Tên thay thế chủ đề)

Những thứ này thường cho phép bạn bảo mật 4 tên miền bổ sung ngoài tên miền chính. Ví dụ: bạn có thể sử dụng cùng một chứng chỉ trên

• www. tên miền của tôi. com
• www. tên miền của tôi. tổ chức
• www. tên miền của tôi. bọc lưới
• www. tên miền của tôi. đồng
• www. tên miền của tôi. đồng. vương quốc anh

Bạn cũng có thể thay đổi tên miền được bảo hiểm nhưng sẽ cần cấp lại chứng chỉ

Tại sao sử dụng Giấy chứng nhận thương mại?

Rất dễ dàng để tạo chứng chỉ SSL và khóa mã hóa của riêng bạn bằng các công cụ phần mềm miễn phí

Các khóa và chứng chỉ này cũng an toàn như khóa thương mại và trong hầu hết các trường hợp có thể được coi là an toàn hơn

Chứng chỉ thương mại là cần thiết khi bạn cần hỗ trợ rộng rãi cho chứng chỉ của mình

Điều này là do hỗ trợ cho các cơ quan cấp chứng chỉ thương mại chính được tích hợp vào hầu hết các trình duyệt web và hệ điều hành

Nếu tôi đã cài đặt chứng chỉ tự tạo của riêng mình trên trang này khi bạn truy cập, bạn sẽ thấy một thông báo như bên dưới cho bạn biết rằng trang này không đáng tin cậy

===============

Mã hóa chứng chỉ và phần mở rộng tệp

Chứng chỉ có thể được mã hóa thành

• Tệp nhị phân (. DER)
• Tệp ASCII (base64) (. PEM)

Các phần mở rộng tập tin phổ biến được sử dụng là

• DER
• PEM (Thư điện tử nâng cao bảo mật)
• CRT
• CHỨNG NHẬN

Ghi chú. Không có mối tương quan thực sự giữa phần mở rộng tệp và mã hóa. Điều đó có nghĩa là một. tệp crt có thể là tệp. tập tin được mã hóa der hoặc. tập tin được mã hóa pem

Câu hỏi – Làm thế nào để tôi biết nếu bạn có một. der hoặc. tập tin được mã hóa pem?

Trả lời- Bạn có thể sử dụng các công cụ openssl để tìm loại mã hóa và chuyển đổi giữa các mã hóa. Xem hướng dẫn này – DER vs. CRT so với. CER so với. Chứng chỉ PEM

Bạn cũng có thể mở tệp và nếu đó là văn bản ASCII thì đó là tệp. Chứng chỉ được mã hóa PEM

Ví dụ về chứng chỉ

Bởi vì. chứng chỉ được mã hóa pem là các tệp ASCII, chúng có thể được đọc bằng trình soạn thảo văn bản đơn giản

Điều quan trọng cần lưu ý là chúng bắt đầu và kết thúc bằng các dòng Chứng chỉ bắt đầu và Chứng chỉ kết thúc

Chứng chỉ có thể được lưu trữ trong tệp riêng của chúng hoặc cùng nhau trong một tệp duy nhất được gọi là gói

Gói CA gốc và chứng chỉ băm

Mặc dù chứng chỉ gốc tồn tại dưới dạng các tệp đơn lẻ nhưng chúng cũng có thể được kết hợp thành một gói

Trên các hệ thống Linux dựa trên Debian, các chứng chỉ gốc này được lưu trữ trong thư mục /etc/ssl/certs cùng với một tệp có tên ca-certificates. crt

Tệp này là một gói tất cả các chứng chỉ gốc trên hệ thống

Nó được tạo bởi hệ thống và có thể được cập nhật nếu các chứng chỉ mới được thêm vào bằng cách sử dụng lệnh update-ca-certificates. Xem tại đây

các chứng chỉ ca. tệp crt trông như thế này

Thư mục certs cũng chứa từng chứng chỉ riêng lẻ hoặc liên kết tượng trưng tới chứng chỉ cùng với hàm băm

Các tệp băm được tạo bởi lệnh c_rehash và được sử dụng khi một thư mục được chỉ định chứ không phải một tệp. Ví dụ: công cụ mosquitto_pub có thể được chạy dưới dạng

mosquitto_pub --cafile /etc/ssl/certs/ca-certificates.crt

or

mosquitto_pub --capath /etc/ssl/certs/

Chứng chỉ gốc, Chứng chỉ trung gian và Chuỗi và Gói chứng chỉ

Cơ quan cấp chứng chỉ có thể tạo cơ quan cấp chứng chỉ cấp dưới chịu trách nhiệm cấp chứng chỉ cho khách hàng

Để khách hàng xác minh tính xác thực của chứng chỉ, khách hàng cần có khả năng xác minh chữ ký của tất cả các CA trong chuỗi, điều này có nghĩa là khách hàng cần truy cập vào chứng chỉ của tất cả các CA trong chuỗi

Máy khách có thể đã cài đặt chứng chỉ gốc, nhưng có thể không phải chứng chỉ của các CA trung gian

Do đó, chứng chỉ thường được cung cấp như một phần của gói chứng chỉ

Gói này sẽ bao gồm tất cả các chứng chỉ CA trong chuỗi trong một tệp duy nhất, thường được gọi là CA-Bundle. crt

Nếu chứng chỉ của bạn được gửi riêng lẻ, bạn có thể tạo gói của riêng mình bằng cách làm theo các bước tại đây

Băng hình

• Đây là video của tôi bao gồm các điểm trên
• Đây là một video của Microsoft mà tôi tìm thấy giải thích những điều trên

Câu hỏi và câu trả lời phổ biến

Q- Cửa hàng đáng tin cậy là gì?

A- Đó là danh sách các chứng chỉ CA mà bạn tin tưởng. Tất cả các trình duyệt web đều có danh sách các CA đáng tin cậy

Q- Tôi có thể thêm CA của riêng mình vào cửa hàng đáng tin cậy của trình duyệt không?

A- Có trên Windows nếu bạn nhấp chuột phải vào chứng chỉ, bạn sẽ thấy tùy chọn cài đặt

Q- Chứng chỉ tự ký là gì?

A- Chứng chỉ tự ký là chứng chỉ được ký bởi cùng một thực thể mà chứng chỉ xác minh. Nó giống như bạn phê duyệt đơn xin hộ chiếu của riêng bạn. xem wiki

Q Dấu vân tay chứng chỉ là gì?

A- Đó là hàm băm của chứng chỉ thực tế và có thể được sử dụng để xác minh chứng chỉ mà không cần cài đặt chứng chỉ CA

Điều này rất hữu ích trong các thiết bị nhỏ không có nhiều bộ nhớ để lưu trữ các tệp CA

Nó cũng được sử dụng khi xác minh chứng chỉ theo cách thủ công

Xem tại đây để biết thêm chi tiết

Q- Điều gì xảy ra nếu chứng chỉ máy chủ bị đánh cắp?

A- Nó có thể bị thu hồi. Có một số cách mà khách hàng (trình duyệt) có thể kiểm tra xem chứng chỉ có bị thu hồi hay không, xem tại đây

Phương thức bảo mật Secure Socket Layer dùng để làm gì?

Tầng nào là Tầng cổng bảo mật?

Bạn sẽ tìm thấy SSL Lớp cổng bảo mật trong lớp OSI nào?

Chức năng nào được sử dụng rộng rãi nhất cho Lớp cổng bảo mật?