TSL: что это и для чего нужен TLS-протокол

Transport Layer Security или, как его чаще называют, TLS – это криптографический протокол безопасности сети Интернет, обеспечивающий шифрование, аутентификацию и защищенный обмен данных между двумя взаимодействующими веб-серверами. Он используется в соединениях HTTPS, которые защищены соответствующими сертификатами.

Один из примеров применения защищенного TLS-соединения – это электронная почта. Протокол безопасности обеспечивает шифрование электронного письма и предотвращает неправомерный к нему доступ третьих лиц во время передачи от одного пользователя к другому, то есть от сервера к серверу.

Протокол был разработан в далеком 1995 году, после чего его совершенствовали в соответствие с современными стандартами безопасности. TLS 1.2 отвечает за выполнение 3 уровней безопасности: шифрование, аутентификация и целостность. Шифрование обеспечивает конфиденциальность передаваемых данных, аутентификация проверяет валидность сторон, осуществляющих обмен информацией. Также протокол следит за целостностью передаваемых данных.

Первая версия протокола TLS была разработана в 1990-х годах и имела название SSL 2.0, однако достаточно быстро была обновлена до версии SSL 3.0. Спустя несколько лет в этой версии протокола были обнаружены многочисленные уязвимости, и на основе протокола SSL 3.0 был внедрен новый стандарт под именем TLS 1.0, который впоследствии был заменен стандартом TLS 1.1, обладающим расширенными возможностями и меньшей уязвимостью к киберугрозам.

Сегодня мы используем протокол TLS 1.2 – новейшую и самую актуальную версию TSL, которая регулярно обновляется в отличие от своих предшественников.

Также стоит отметить, что протокол TLS был разработан для работы над Transmission Control Protocol, более известный как TCP. А для работы над протоколами User Datagram Protocol, или UDP, существует специальная версия протокола – DTLS. Поэтому отличие TCP от UDP обуславливает также разницу между протоколами TLS и DTLS.

TLS (англ. transport layer security) дословно расшифровывается как протокол защиты транспортного уровня. Из названия понятно, что главной задачей TLS-шифрования является обеспечение защищенной передачи данных между серверами или компьютерами в сети Интернет. Мы говорим о защищенной, а не безопасной передаче данных, поскольку TLS-протокол является лишь частью сложного механизма обеспечения безопасности процесса обмена информацией и не обеспечивает ее самостоятельно.

Как уже было сказано, протокол TLS осуществляет три основные функции: шифрование, аутентификация и целостность. Для понимания того, как именно эти функции реализуются, нужно разобраться в механизме работы данного криптографического интернет-протокола.

Любое действие в сети, будь то поисковый запрос, переход с одной страницы сайта на другую или любое другое взаимодействие является взаимодействием пользователя и сервера. Каждое такое взаимодействие является транзакцией, а множество транзакций – сессией. Так, протокол TLS SSL обеспечивает защиту транзакций и сессий в 3 этапа: TLS Handshake, False Start и Chain of Trust.

TLS Handshake – это своеобразное рукопожатие, в ходе которого взаимодействующие узлы решают, какая версия протокола и параметры соединения будут использованы для дальнейшего общения. Как же TLS-соединение выполняется на практике?

На первом этапе пользователь отправляет серверу запрос “hello”, сигнализируя о том, что хочет установить связь. Этот запрос содержит информацию об алгоритмах шифрования, которые подходят данному узлу сети.

Далее сервер выбирает из представленного списка подходящий тип шифрования и отправляет пользователю ответное приветствие, содержащее сертификат SSL и открытый ключ.

На следующем этапе происходит создание клиентом секретного ключа на основе открытого ключа сервера и отправка его серверу, с которым происходит взаимодействие. С этого момента оба узла будут использовать только закрытые ключи, а симметричная криптография сделает связь более быстрой и менее ресурсозатратной.

В свою очередь, сервер расшифровывает отправленный клиентом премастер-ключ и использует его для создания симметричного ключа.

Теперь, когда симметричное шифрование установлено, клиент и сервер могут безопасно обмениваться зашифрованными сообщениями.

Описанный выше процесс рукопожатия затрачивает большое количество вычислительных ресурсов, поэтому также предусмотрен и другой механизм, позволяющий избежать повторных процедур проверки и соединения для каждой последующей транзакции. Этот процесс называется TLS False Start или фальстарт.

Так, если транзакции выполняются в пределах одной сессии, протокол TLS попросту использует те данные, которые были обработаны и одобрены в начале сессии. При этом каждая сессия имеет свой срок службы, по истечению которого происходит запуск новой сессии, начинающейся с уже известной нам процедуры рукопожатия.

Процедура False Start повышает производительность протокола и значительно снижает вычислительные затраты.

TLS Chain of Trust – это еще одна неотъемлемая процедура TLS протокола, которая отвечает за аутентификацию узлов, то есть проверку авторства передаваемой информации. Эта цепочка доверия многократно проверяет подлинность – соответствие сертификатов заданным стандартам, и в случае, если сертификат скомпрометирован, отзывает данные и прерывает транзакцию и сессию в целом.

Проверить сайт на наличие TLS сертификата можно непосредственно в поисковой строке или с помощью соответствующих сервисов. Сделать это очень просто. Для этого необходимо перейти на сайт одного из сервисов проверки протоколов, вставить в соответствующее поле адрес интересующего веб-сайта и подтвердить операцию. По окончанию проверки вы увидите протоколы, которые этот сайт поддерживает. Среди них должен оказаться протокол TLS 1.2. Если же вместо этого указаны протоколы SSL 2.0 или SSL 3.0, такому сайту нельзя доверять.

С одной стороны SSL и TSL – это абсолютно взаимозаменяемые понятия, поскольку и SSL, и TSL представляют собой криптографический протокол, обеспечивающий защиту связи в компьютерной сети.

Но стоит учитывать, что это разные версии криптографического протокола, и на данный момент безопасной является лишь одна – TLS 1.2, которая регулярно обновляется и актуализируется, в отличие от своей предшественницы – SSL, имеющей уязвимости к некоторым современным угрозам в киберпространстве.

Хотя TSL является протоколом безопасности, он не может обеспечить 100% защиту в интернете, как не могут ее обеспечить и протоколы более высокого уровня, такие как HTTPS. Поэтому к обеспечению собственной безопасности в сети стоит подходить комплексно, не теряя при этом бдительности при совершении всевозможных онлайн-операций.

Повысить уровень интернет-безопасности можно следующим образом:

• Используйте антивирусное программное обеспечение. При условии его регулярного и своевременного обновления оно поможет защитить девайс от заражения вредоносным ПО.
• Используйте VPN. Подключаясь к интернету через публичный Wi-Fi обязательно используйте прокси или VPN. Принцип работы прокси-сервера и VPN заключается в перенаправлении трафика и его шифровании. Разница между этими двумя сервисами состоит в том, что прокси-серверы работают на более низком программном уровне и перенаправляют трафик только конкретного браузера или приложения. А VPN перенаправляет весь интернет-трафик, при этом платные и надежные VPN-сервисы предлагают такую услугу сразу для нескольких устройств.
• Используйте надежные пароли. Для обеспечения кибербезопасности важно устанавливать сложные и уникальные пароли, причём для каждого аккаунта – свой. В этом поможет мастер паролей, который подберет, запомнит и будет хранить в одном месте данные входа для всех ваших аккаунтов.
• Будьте внимательны к деталям. Рекомендуется внимательно читать электронные письма и игнорировать те, что содержат активные ссылки. Также держите конфиденциальные данные вдали от посторонних глаз и руководствуйтесь принципами цифровой гигиены.

Такие простые привычки уберегут вас от кражи данных и связанных с этим финансовых потрясений и других переживаний.