Come I Certificati Dell'Assistente dello SSL Funzionano


  Share  
|

I certificati dello SSL approfittano dello SSL per funzionare seamlessly fra i luoghi di fotoricettore ed i browsers’ di fotoricettore degli ospiti. Il protocollo dello SSL usa una combinazione della crittografia chiave pubblica asimmetrica e della crittografia simmetrica più veloce.

I browsers del Microsoft Internet Explorer del Netscape Navigator ed Hanno meccanismi incorporati di sicurezza per impedire agli utenti unwittingly di presentare le loro scanalature insicure dell'eccedenza personale delle informazioni. Se un utente prova a presentare le informazioni ad un luogo non garantito (un luogo senza un certificato dell'assistente dello SSL), i browsers, per difetto, mostreranno un avvertimento.

In opposizione, se un utente presenta la carta di credito o altre informazioni ad un luogo con un certificato valido dell'assistente e un collegamento dello SSL, l'avvertimento non compare. Il collegamento sicuro è senza giunte, ma gli ospiti possono essere sicuri che le transazioni con un luogo sono assicurate cercando le seguenti indicazioni:

  • Il URL nei https delle esposizioni di finestra “del browser” all'inizio, anziché il HTTP.

  • Nel Netscape Communicator, il padlock nel angolo basso-di sinistra della finestra del navigatore sarà chiuso anziché aperto.

  • Nel Internet Explorer, un'icona del padlock compare nella barra alla parte inferiore della finestra dello IE

Resistenze dello SSL: SSL 40-Bit e 128-Bit

Lo SSL viene in due resistenze, 40-bit e 128-bit, che si riferiscono alla lunghezza della chiave di sessione generata tramite ogni transazione cifrata. Più lunga la chiave, più difficile è di rompere il codice di crittografia. la crittografia dello SSL 128-bit è il mondo’s più forte; secondo i laboratori di RSA, occorrerebbe i trilione anni alla crepa usando oggi’la tecnologia di s. la crittografia 128-bit è circa 3 x 1026 più forti della crittografia 40-bit.

Microsoft e Netscape offrono due versioni dei del loro browsers, esportazione e domestico di fotoricettore, che permettono i livelli differenti della crittografia secondo il tipo di certificato dell'assistente dello SSL con cui il browser sta comunicando. In primo luogo, i certificati dell'assistente dello SSL 40-bit (quali i certificati’dello SSL di VeriSign s) permettono lo SSL 40-bit quando comunica con la esport-versione Netscape ed i browsers del Microsoft Internet Explorer (IE) (usati dalla maggior parte della gente negli STATI UNITI ed in tutto il mondo) e la crittografia dello SSL 128-bit quando comunica con la domestico-versione Microsoft ed i browsers del Netscape. In secondo luogo, i certificati dell'assistente dello SSL 128-bit (quali le identificazioni’globali dell'assistente di VeriSign s) permettono la crittografia dello SSL 128-bit (il mondo’s più forte) con sia il domestic che esportano le versioni dei browsers del Netscape e del Microsoft.

Info: L'Assistente dello SSL Certifica I Punti

Il processo comincia stabilendo una stretta di mano “dello SSL”—permettendo che l'assistente si autentichi all'utente del browser ed allora consentendo l'assistente ed il browser di cooperare nella creazione delle chiavi simmetriche usate per la crittografia, il decryption e la rilevazione del compressore:

  1. Un cliente si mette in contatto con un luogo ed accede ad un URL fissato—una pagina fissata da un certificato dello SSL (indicato da un URL che comincia con “i https:” anziché il HTTP “giusto:” o da un messaggio dal browser). Ciò ha potuto tipicamente essere una forma di ordine in linea che raccoglie le informazioni riservate dal cliente, quali l'indirizzo, numero di telefono e numero della carta di credito o altre informazioni di pagamento.

  2. Il browser’del cliente s automaticamente trasmette all'assistente il numero’di versione dello SSL del browser s, le regolazioni di cifra, dati a caso generati ed altre informazioni che l'assistente deve comunicare con il cliente usando lo SSL.

  3. L'assistente risponde, automaticamente trasmettendo al browser’del cliente s il luogo’s certificato digitale, con il numero’di versione dello SSL dell'assistente s, le regolazioni di cifra e così via.

  4. Il browser’del cliente s esamina le informazioni contenute nel certificato’dell'assistente s e verifica quello:

    1. Il certificato dell'assistente è valido ed ha una data valida.

    2. Il CA che ha pubblicato l'assistente è stato firmato da un CA di fiducia di cui il certificato è costruito nel browser.

    3. La chiave pubblica’di pubblicazione di CA s, sviluppata nel browser, convalida la firma’digitale dell'emittente s.

    4. Il Domain Name specificato dal certificato dell'assistente abbina il Domain Name’reale dell'assistente s.

    Se l'assistente non può essere autenticato, l'utente è avvertito che un collegamento cifrato e autenticato non può essere stabilito.

  5. Se l'assistente può essere autenticato con successo, il web browser’del cliente s genera una chiave “unica di sessione” per cifrare tutte le comunicazioni con il luogo usando la crittografia asimmetrica.

  6. Il browser’dell'utente s cifra la chiave in se di sessione con la chiave’pubblica del luogo s in moda da soltanto potere leggere il luogo la chiave di sessione e la trasmette all'assistente.

  7. L'assistente decrypts la chiave di sessione usando la relativa propria chiave riservata.

  8. Il browser trasmette un messaggio all'assistente che lo informa che i messaggi futuri dal cliente saranno cifrati con la chiave di sessione.

  9. L'assistente allora trasmette un messaggio al cliente che lo informa che i messaggi futuri dall'assistente saranno cifrati con la chiave di sessione.

  10. Una sessione SSL-FISSATA ora è stabilita. Lo SSL allora usa la crittografia simmetrica (che è molto più veloce della crittografia asimmetrica di PKI) per cifrare e decrypt i messaggi all'interno della conduttura “SSL-FISSATA.”

  11. Dopo che la sessione sia completa, la chiave di sessione è eliminata.

Tutta occorre soltanto i secondi e non richiede azione dall'utente

Per completamente permettere crittografia 128-bit con un'identificazione globale dell'assistente, esso’s importante generare il giusto genere di chiave riservata durante il processo di ottenere un certificato dello SSL. Un punto importante nel processo sta generando una richiesta di sign del certificato (CSR) all'interno del software di web server. Nella generazione del CSR, i coordinatori di web server dovrebbero fare attenzione selezionare una chiave riservata 1024-bit, che permette all'identificazione globale dell'assistente di stabilire la crittografia dello SSL 128-bit, piuttosto che una chiave riservata 512-bit, che permette soltanto la crittografia 40-bit.

Gli utenti del Netscape possono seguire questi punti per vedere che livello della crittografia sta proteggendo le loro transazioni:

  • Vada al Web page che sicuro desiderate controllare.

  • Scatti il tasto di sicurezza in navigatore’s toolbar. La finestra di dialogo di sicurezza Info indica se il Web site usa la crittografia.

  • Se, scattare il tasto aperto della pagina Info per visualizzare le più informazioni sulle caratteristiche’di sicurezza del luogo s, compreso il tipo di crittografia ha usato.

Potete anche controllare per vedere quale livello dello SSL è attivato sul vostro web server dopo da questi punti:

  • Usando un cliente 128-bit, quale la versione domestica del Netscape Navigator, scatta le preferenze di Options/Security.

  • Sotto le opzioni dello SSL di permett, lo scatto configura per sia lo SSL 2 che lo SSL 3. Assicurisi che l'accettazione per le cifre di crittografia 56-bit e di 40- è spenta.

  • Provi ad accedere al luogo. Se che usando una sicurezza dei più meno di 128 bit, allora voi riceverà un errore nella vostra finestra di browser: “Netscape e questo assistente non possono comunicare saldamente perché non hanno metodi comuni di crittografia”

Gli utenti dello IE possono scoprire una crittografia’di Web site s livellata dopo da questi punti:

  • Vada al Web site che desiderate controllare.

  • Di destra-scatto sulla pagina’di Web site s e sulle proprietà prescelte.

  • Scatti il tasto dei certificati.

  • Nei campi inscatoli, selezioni il tipo di crittografia. La scatola dei particolari vi mostra il livello della crittografia, di 40-bit o di 128-bit. (veda la seguente sezione per le più informazioni sui livelli di crittografia dello SSL.)

i E-commerci possono scegliere facilitare il processo del certificato che controlla per vedere se ci sono ospiti del luogo descrivendo le misure che di sicurezza hanno effettuato in una legge sulla privacy e di sicurezza sui loro luoghi. Per esempio, i luoghi che usano i certificati dello SSL di VeriSign possono anche inviare la guarnizione sicura del luogo al loro Home Page, pagina di dichiarazione di sicurezza e pagine dell'acquisto. La guarnizione è un simbolo ampiamente riconosciuto di fiducia che permette agli ospiti del luogo di controllare i certificati in tempo reale da VeriSign con uno scatto.

SGC e 128-Bit step-Up

Per accertarsi che forte, la crittografia 128-bit protegga le transazioni di e-commercio per tutti gli utenti, i commerci dovrebbero installare le identificazioni 128-bit, quali le identificazioni’globali dell'assistente di VeriSign s, sui loro assistenti. Tuttavia, i browsers dell'esportazione che consentono soltanto la crittografia 40-bit con i certificati dell'assistente dello SSL 40-bit permetteranno forte, la crittografia 128-bit quando interagirsi con l'assistente 128-bit certifica perché questi certificati sono dotati di un'estensione speciale che permette il cryptography gated assistente (SGC) per i browsers del Microsoft e “step-Up internazionale” per i browsers del Netscape.

L'estensione permette la crittografia 128-bit con i browsers di esport-versione richiamando due “strette di mano” quando un browser’dell'utente s accede ad una pagina protetta da un'identificazione globale dell'assistente. Quando una esport-versione Netscape o il browser del Microsoft collega al web server, il browser inizia un collegamento con soltanto una cifra 40-bit. Quando il certificato dell'assistente è trasferito, il browser verifica il certificato contro la relativa lista incorporata di CAs approvato. Qui, riconosce che il certificato dell'assistente include lo SGC o l'estensione step-Up internazionale ed allora immediatamente negozia di nuovo i parametri dello SSL affinchè il collegamento inizii una sessione dello SSL con una cifra 128-bit. Nei collegamenti successivi, il browser immediatamente usa la cifra 128-bit per la crittografia di pieno-resistenza.

ciò è un articolo aggiunto da Dave O`Brien


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions