Forum » Programiranje » SSL, kaj je kako deluje skratka čimveč o tem
SSL, kaj je kako deluje skratka čimveč o tem
amhisX ::
Žvijo!
Zanima me ali mi kdo zna razložit kaj o SSL protokolu. A se po tem protokolu kriptirajo le podatki ki jih pošlje uporabnik iz forme na web strani do serverja ali so kriptirani tudi podatki, ki jih server pošilja browserju?
Zanima me predvsem dinamika delovanja SSL ter njegova povezava z digitalnimi potrdili.
Zaželjeni tudi kaki dobri linki. Za google že vem ampak saj ne pkodi če povprašam tudi kaj na forumu :)
LP
Zanima me ali mi kdo zna razložit kaj o SSL protokolu. A se po tem protokolu kriptirajo le podatki ki jih pošlje uporabnik iz forme na web strani do serverja ali so kriptirani tudi podatki, ki jih server pošilja browserju?
Zanima me predvsem dinamika delovanja SSL ter njegova povezava z digitalnimi potrdili.
Zaželjeni tudi kaki dobri linki. Za google že vem ampak saj ne pkodi če povprašam tudi kaj na forumu :)
LP
kopernik ::
Kriptiran je ves promet med uporabnikom in strežnikom.
Tematika je kar obsežna in je treba veliko prebrat, da narediš vse, tako kot je treba (certifikati, konfiguracija apache-ja, ipd.).
Ne vem kaj misliš pod "dinamika delovanja". Pač še en izmed mnogih protokolov.
Tukaj imaš nekaj informacij o SSL-u in kako se ga skonfigurira za Apache : ssl
Tematika je kar obsežna in je treba veliko prebrat, da narediš vse, tako kot je treba (certifikati, konfiguracija apache-ja, ipd.).
Ne vem kaj misliš pod "dinamika delovanja". Pač še en izmed mnogih protokolov.
Tukaj imaš nekaj informacij o SSL-u in kako se ga skonfigurira za Apache : ssl
jype ::
Zelo poenostavljeno receno je tako:
A lahko podpise, da verjame, da je B res tisti, za katerega se izdaja.
Uporabnik zaupa A-ju, in potem posledicno tudi verjame, da je B tisti, za katerega se izdaja. Tu je A Verisign, Thawte, SIGEN-CA, NLB-CA, skratka neka organizacija, ki se ukvarja s tem, da preveri B, preden podpise njegov certifikat. Recimo da obstaja tudi C, ki ima certifikat, ki mu verjame B. To bo uporabnik.
Strezniki imajo strezniski certifikat, s katerim lahko vsakemu odjemalcu dokazejo, da A pravi, da so oni zares B. Ko uporabnik (oz. njegov odjemalec, obicajno browser) vidi, da je B zares pravi, se lahko tudi sam predstavi s svojim certifikatom (recimo C). Tako delujejo nekatere spletne banke.
Vsa rec se na omrezju dogaja kriptirano, z vsakic znova generiranimi kljuci za vsako sejo (podrobnosti so malce bolj matematicno zahtevne in naj jih zainteresirani bralec poisce sam), tako da je za tretjo osebo, ki nima dostopa do streznika in odjemalcevega racunalnika, dostop do vsebine komunikacije zelo otezen (ne pa tudi nemogoc, obstaja vrsta nacinov, kako se varnost uporabnika zmanjsa in se daljsa vrsta nacinov, kako se uporabnika zmede, da naredi neumnost, temu recemo social engineering).
Koncni rezultat je "zadovoljiva" varnost prenosa podatkov med zaupanja vrednimi koncnimi tockami v omrezju. Visjo varnost ponuja IPSec, vendar je infrastruktura bolj komplicirana in se nepopolna s stalisca globalnega omrezja (zato se uporablja predvsem za VPN povezave). Matematicni prijemi znotraj IPSec so seveda podobni kot pri SSL.
Novejsa razlicica SSL protokola, TLS, je bolj napredna in ponuja vec moznosti.
A lahko podpise, da verjame, da je B res tisti, za katerega se izdaja.
Uporabnik zaupa A-ju, in potem posledicno tudi verjame, da je B tisti, za katerega se izdaja. Tu je A Verisign, Thawte, SIGEN-CA, NLB-CA, skratka neka organizacija, ki se ukvarja s tem, da preveri B, preden podpise njegov certifikat. Recimo da obstaja tudi C, ki ima certifikat, ki mu verjame B. To bo uporabnik.
Strezniki imajo strezniski certifikat, s katerim lahko vsakemu odjemalcu dokazejo, da A pravi, da so oni zares B. Ko uporabnik (oz. njegov odjemalec, obicajno browser) vidi, da je B zares pravi, se lahko tudi sam predstavi s svojim certifikatom (recimo C). Tako delujejo nekatere spletne banke.
Vsa rec se na omrezju dogaja kriptirano, z vsakic znova generiranimi kljuci za vsako sejo (podrobnosti so malce bolj matematicno zahtevne in naj jih zainteresirani bralec poisce sam), tako da je za tretjo osebo, ki nima dostopa do streznika in odjemalcevega racunalnika, dostop do vsebine komunikacije zelo otezen (ne pa tudi nemogoc, obstaja vrsta nacinov, kako se varnost uporabnika zmanjsa in se daljsa vrsta nacinov, kako se uporabnika zmede, da naredi neumnost, temu recemo social engineering).
Koncni rezultat je "zadovoljiva" varnost prenosa podatkov med zaupanja vrednimi koncnimi tockami v omrezju. Visjo varnost ponuja IPSec, vendar je infrastruktura bolj komplicirana in se nepopolna s stalisca globalnega omrezja (zato se uporablja predvsem za VPN povezave). Matematicni prijemi znotraj IPSec so seveda podobni kot pri SSL.
Novejsa razlicica SSL protokola, TLS, je bolj napredna in ponuja vec moznosti.
amhisX ::
Z dinamiko sem mislil način kriptiranja prometa med strežnikom in odjemlacem ter obratno.
Ali mora strežnik obvezno imeti digitalni certivikat, da lahko vzpostavi varno povezavo preko SSL, al je zadeva možna tudi brez certifikata?
Sam si to prestavljam nekako takole. Strežnik preden pošlje podatke jih kirptira z svojim privatnim ključem, odjemalec pa jih dekriptira z javnim ključem strežnika. Ko pa odjemalec pošilja podatke nazaj strežniku jih kriptira z njegovim javnim ključem, strežnik pa jih dekodira z svojim privatnim ključem?
A je tako al sm mogoče zamoču?
Sam če je tako u čem je fora tega, a pol morebitna neavtorizirana oseba če pride do krptiranih podatkov ki jih server pošilja odjemalcu potem te podatke ravno tako lahko dekriptira z javnim kjlučem serverja? Al je ta varjanta zaščite bolj namenjena zakrivanju podatko,v ki jih uporabnik vnaša v formo, ker to kat se kriptira z javnim ključem strežnika lahko potem le strežnik dekriptira, kar pa strežnik nazaj pošilja odjemalcu je ravno tako dostopno usakemu, ki bi znal priti do javnega ključa strežnika?
To bi bil recimo primer, ko odjemalec nima svojega certifkata, kako pa se zadeva obnaša ko ima tudi odjemalec svoj certifikat?
A za popolno zaščiteno povezavo tudi odjemalec nujno potrebuje svoj certifikat?
Hvala koernic za link, bom prebral.
LP
Ali mora strežnik obvezno imeti digitalni certivikat, da lahko vzpostavi varno povezavo preko SSL, al je zadeva možna tudi brez certifikata?
Sam si to prestavljam nekako takole. Strežnik preden pošlje podatke jih kirptira z svojim privatnim ključem, odjemalec pa jih dekriptira z javnim ključem strežnika. Ko pa odjemalec pošilja podatke nazaj strežniku jih kriptira z njegovim javnim ključem, strežnik pa jih dekodira z svojim privatnim ključem?
A je tako al sm mogoče zamoču?
Sam če je tako u čem je fora tega, a pol morebitna neavtorizirana oseba če pride do krptiranih podatkov ki jih server pošilja odjemalcu potem te podatke ravno tako lahko dekriptira z javnim kjlučem serverja? Al je ta varjanta zaščite bolj namenjena zakrivanju podatko,v ki jih uporabnik vnaša v formo, ker to kat se kriptira z javnim ključem strežnika lahko potem le strežnik dekriptira, kar pa strežnik nazaj pošilja odjemalcu je ravno tako dostopno usakemu, ki bi znal priti do javnega ključa strežnika?
To bi bil recimo primer, ko odjemalec nima svojega certifkata, kako pa se zadeva obnaša ko ima tudi odjemalec svoj certifikat?
A za popolno zaščiteno povezavo tudi odjemalec nujno potrebuje svoj certifikat?
Hvala koernic za link, bom prebral.
LP
amhisX ::
Aha jype hvala za razlago, moj prejšnji post sm pisal ravno ko si ti objavil tvojega :) tako da se opravičujem za morebitna nepotrebna uprašanja :)
Lp
Lp
kopernik ::
Ja, strežnik mora imeti svoj certifikat (pravimo mu strežniški certifikat), uporabniki oz. clienti, pa svojega.
Temu se reče SSL z client avtentikacijo, torej se mora tudi client predstaviti z ustreznim digitalnim potrdilom.
Obstaja tudi SSL brez client avtentikacije, kar pomeni, da se avtenticira samo strežnik, clienti pa ne.
Temu se reče SSL z client avtentikacijo, torej se mora tudi client predstaviti z ustreznim digitalnim potrdilom.
Obstaja tudi SSL brez client avtentikacije, kar pomeni, da se avtenticira samo strežnik, clienti pa ne.
BigWhale ::
SSL sam po sebi ni protokol... Vsaj ne v takem smislu kot je protokol HTTP ali pa FTP.
SSL je samo en 'ovitek' okrog nekega ze obstojecega protokola...
SSL je samo en 'ovitek' okrog nekega ze obstojecega protokola...
amhisX ::
Kaj pa recimo ko imaš instaliran ssl na strežniku oziroma Openssl al kako podobno zadevo in installiran tudi strežniški certifikat, kako potem določiš katerte strani ki jih derver gosti bodo začitene in katere ne?
1234qwer ::
Secure Sockets Layer @ Wikipedia
Evo tukile je najbrž vse kar rabš vedt o SSL-ju, tud RFC linki
Evo tukile je najbrž vse kar rabš vedt o SSL-ju, tud RFC linki
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Dekriptiranje HTTPS povezave v WiresharkuOddelek: Omrežja in internet | 5458 (4710) | ragezor |
| » | Kako jim uspe vdreti na Facebook?Oddelek: Informacijska varnost | 36044 (34023) | Grizzly |
| » | Varnost spletne aplikacije s SSLOddelek: Izdelava spletišč | 1327 (1172) | luciby |
| » | Certifikat na USB ključOddelek: Pomoč in nasveti | 7653 (7384) | StratOS |