Serpstat использует файлы cookie для обеспечения работоспособности сервиса, улучшения навигации, предоставления возможности связаться с командой поддержки, а также маркетинговых активностей Serpstat.

Нажав кнопку "Принять и продолжить", вы соглашаетесь с Политики конфиденциальности

Принять и продолжить

Сообщить об ошибке

Отменить
2153
How-to Читать 5 минут 9 апреля 2019

Как обновить версию протокола TLS на сайте

Как обновить протокол TLS и какую версию выбрать
АУДИТ САЙТА — СЕРТИФИКАТ HTTPS
Инструкцию одобрил
SEO-специалист в Luxeo
Протокол TLS — усовершенствованная модификация SSL, которая обеспечивает защиту данных при их передаче в интернете. Использование устаревшего протокола SSL ведет к уязвимостям, которых можно избежать, перейдя на TLS.

Что такое протокол TLS

Протокол TLS — аббревиатура «transport layer security», которая переводится с английского как протокол «защиты транспортного уровня». Данный протокол создан с той же целью, что и его предшественник SSL — для защиты данных в интернете. При этом он обладает дополнительными возможностями, которые позволяют использовать протокол не только в браузерах, но и в мессенджерах, IP-телефонии.

Данный протокол регулярно улучшается и обновляется компанией IETF для обеспечения надежного шифрования, аутентификации и целостности данных. Последняя версия спецификации на данный момент — TLS 1.3, появившаяся в августе 2018 года.

Необходимость в обновленном протоколе защиты данных возникла еще в 1999 году, поскольку в протоколе SSL были обнаружены уязвимости. Сейчас все версии SSL-протокола были успешно атакованы с помощью POODLE. Указанная атака позволяет подменять данные пользователя и побайтно расшифровывать информацию, передаваемую по защищенному каналу данных.

Чем отличаются протоколы SSL и TLS

Учитывая, что протокол TLS создан на основе SSL, два данных варианта достаточно сходны. Фактически можно считать, что версия TLS 1.0 — это SSLv3.1. Развитием протоколов занимаются различные компании — SSL создан компанией Netscape, TLS — IEFL.

TLS имеет некоторые различия с SSL-протоколом: отличаются ключи и список наборов шрифтов, есть разница в псевдослучайной функции PRF и функции хэширования HMAC, используемой для построения блока симметричных ключей при шифровании данных. В TLS-протокол добавлен ряд алгоритмов, обеспечивающих безопасность канала передачи данных.

Фактически многие пользователи продолжают называть протокол TLS «SSL-шифрованием». Такой термин получил повсеместное распространение и, как правило, используется поставщиками, которые на самом деле предлагают TLS-защиту:
TLS 1.2 и SSL шифрование

SSL vs TLS

Многие веб-разработчики задаются вопросом, какой выбрать протокол — SSL или TLS. Учитывая выявленную уязвимость, SSL-протокол должен быть заменен на TLS согласно рекомендациям специалистов по безопасности. При покупке сертификата безопасности необходимо обращать внимание на то, какие стандарты шифрования использует компания, предоставляющая защищенный канал связи:
Сертификат SSL vs TLS протокол
В характеристиках сертификата обязательно должно быть указано, что используется одна из последних версий спецификации протокола TLS. Стоит учитывать версию, поскольку в протоколах TLS 1.0 и TLS 1.1 были обнаружены уязвимости, которые устранили в более новых спецификациях.

TLS 1.0 vs 1.2 — как установить самую безопасную версию протокола

Протокол TLS 1.2 — более новая и защищенная версия, которую предпочтительно использовать для защиты информации на сайтах — такие рекомендации дают специалисты-криптографы.

Специалисты Google выявили фундаментальный изъян в используемом в TLS 1.0 и 1.1 шифре RC4.Тесты определили, что данные версии недостаточно безопасны, выявленная уязвимость классифицирована как CVE-2014-8730.

Чтобы обеспечить надежную защиту данных, в современных протоколах используются 256-битные ключи шифрования, которые почти невозможно успешно атаковать.

Для проверки текущей версии протокола, используемого на сайте, можно воспользоваться сервисом SSL-checker. Данный инструмент позволяет получить подробный отчет об используемых на проекте версиях SSL и TLS.

Для проверки введем адрес домена и нажмем «Check SSL/TLS»:
TLS SSL Checker online
В отчете будут описаны все версии протоколов, которые используются для защиты информации:
Проверка SSL и TLS онлайн
Если на сайте выявлены проблемы безопасности, необходимо обновить версию протокола TLS. Настройки будут отличаться для различных типов сервера.

Например, чтобы прописать обновление версии TLS на сервере Nginx, нужно включить параметр SSL на слушающих сокетах, расположив его в блоке server. Дополнительно необходимо указать адрес файлов с сертификатом сервера и секретным ключом:
server {
    listen              443 ssl;
    server_name         www.site.com;
    ssl_certificate    www.site.com.crt;
    ssl_certificate_key www.certifikate-key.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ...
}
После настройки сервера в соответствии с инструкциями на сайте будет работать безопасная версия сертификата TLS 1.2.

Заключение

Протокол TLS представляет собой видоизмененную версию SSL, предназначенную для создания безопасного канала передачи данных в сети. Чтобы обеспечить максимальную защиту данных на сайте, необходимо установить проверенную версию протокола.

На данный момент криптографы считают безопасными и стабильно работающими версии от TLS 1.2 и выше.

Чтобы установить безопасную версию SSL-сертификата, нужно обращать внимание на его характеристики, поскольку протокол TLS должен быть не ниже версии 1.2. Полученный сертификат необходимо прописать в настройках сервера с указанием необходимой версии TLS.
Эта статья — часть модуля «Аудит сайта» в Serpstat
«Аудит сайта» в Serpstat
Аудит всего сайта или отдельной страницы в один клик. Полный список ошибок, отсортированный по критичности, пути их устранения и рекомендации. Любая периодичность проверки и автоматическая рассылка отчетов на почту.
Запустить аудит сайта

Сэкономьте время на изучении Serpstat

Хотите получить персональную демонстрацию сервиса, тестовый период или эффективные кейсы использования Serpstat?

Оставьте заявку и мы свяжемся с вами ;)

Оцените статью по 5-бальной шкале

5 из 5 на основе 1 оценок
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.
Хотите узнать новые фишки по интернет-маркетингу?
Подпишитесь на нашу рассылку — только полезные статьи, реальные кейсы и новости Serpstat раз в неделю.

Поделитесь статьей с вашими друзьями

Войти Регистрация

Вы исчерпали лимит запросов.

Или email
Забыли пароль?
Или email
Back To Login

Не волнуйтесь! Напишите свой электронный адрес и мы пришлем вам новый пароль.

Вы уверены?

Awesome!

To complete your registration you need to enter your phone number

Назад

Мы отправили код подтверждения на ваш номер телефона

Your phone Resend code Осталось запросов

Что-то пошло не так.

Свяжитесь с нашей службой поддержки
Или подтвердите регистрацию с помощью Телеграм бота Перейдите по этой ссылке
Выберите один из проектов

Знакомство с сервисом

Ознакомьтесь с основными возможностями Serpstat удобным способом!

Отправьте заявку для ознакомления с сервисом и мы свяжемся с вами в кратчайшие сроки. Наш специалист предложит подходящий вариант, который может включать персональную демонстрацию, пробный период, материалы для обучения и повышения экспертизы, личную консультацию, а также комфортные условия для начала работы с Serpstat.

Имя

Email

Телефон

Будем рады вашему комментарию
Увеличить лимиты

Улучшить тариф

Экспорт недоступен для вашего тарифного плана. Вам необходимо улучшить свой тариф до Lite или выше, чтобы получить доступ к инструменту Подробнее

Зарегистрироваться

Спасибо, мы с вами свяжемся в ближайшее время

Пригласить
Просмотр Редактирование

E-mail
Сообщение
необязательно
E-mail
Сообщение
необязательно

У вас закончились лимиты

Вы достигли лимита на количество созданных проектов и больше не можете создавать новые проекты. Увеличьте лимиты или удалите существующие проекты.

Я хочу больше лимитов