Как обновить версию протокола TLS на сайте

Как обновить протокол TLS и какую версию выбрать

АУДИТ САЙТА — СЕРТИФИКАТ HTTPS

Инструкцию одобрил
SEO-специалист в Luxeo

Илья Беланенко

Протокол TLS — усовершенствованная модификация SSL, которая обеспечивает защиту данных при их передаче в интернете. Использование устаревшего протокола SSL ведет к уязвимостям, которых можно избежать, перейдя на TLS.

Что такое протокол TLS

Протокол TLS — аббревиатура «transport layer security», которая переводится с английского как протокол «защиты транспортного уровня». Данный протокол создан с той же целью, что и его предшественник SSL — для защиты данных в интернете. При этом он обладает дополнительными возможностями, которые позволяют использовать протокол не только в браузерах, но и в мессенджерах, IP-телефонии.

Данный протокол регулярно улучшается и обновляется компанией IETF для обеспечения надежного шифрования, аутентификации и целостности данных. Последняя версия спецификации на данный момент — TLS 1.3, появившаяся в августе 2018 года.

Необходимость в обновленном протоколе защиты данных возникла еще в 1999 году, поскольку в протоколе SSL были обнаружены уязвимости. Сейчас все версии SSL-протокола были успешно атакованы с помощью POODLE. Указанная атака позволяет подменять данные пользователя и побайтно расшифровывать информацию, передаваемую по защищенному каналу данных.

Чем отличаются протоколы SSL и TLS

Учитывая, что протокол TLS создан на основе SSL, два данных варианта достаточно сходны. Фактически можно считать, что версия TLS 1.0 — это SSLv3.1. Развитием протоколов занимаются различные компании — SSL создан компанией Netscape, TLS — IEFL.

TLS имеет некоторые различия с SSL-протоколом: отличаются ключи и список наборов шрифтов, есть разница в псевдослучайной функции PRF и функции хэширования HMAC, используемой для построения блока симметричных ключей при шифровании данных. В TLS-протокол добавлен ряд алгоритмов, обеспечивающих безопасность канала передачи данных.

Фактически многие пользователи продолжают называть протокол TLS «SSL-шифрованием». Такой термин получил повсеместное распространение и, как правило, используется поставщиками, которые на самом деле предлагают TLS-защиту:

SSL vs TLS

Многие веб-разработчики задаются вопросом, какой выбрать протокол — SSL или TLS. Учитывая выявленную уязвимость, SSL-протокол должен быть заменен на TLS согласно рекомендациям специалистов по безопасности. При покупке сертификата безопасности необходимо обращать внимание на то, какие стандарты шифрования использует компания, предоставляющая защищенный канал связи:

В характеристиках сертификата обязательно должно быть указано, что используется одна из последних версий спецификации протокола TLS. Стоит учитывать версию, поскольку в протоколах TLS 1.0 и TLS 1.1 были обнаружены уязвимости, которые устранили в более новых спецификациях.

TLS 1.0 vs 1.2 — как установить самую безопасную версию протокола

Протокол TLS 1.2 — более новая и защищенная версия, которую предпочтительно использовать для защиты информации на сайтах — такие рекомендации дают специалисты-криптографы.

Специалисты Google выявили фундаментальный изъян в используемом в TLS 1.0 и 1.1 шифре RC4.Тесты определили, что данные версии недостаточно безопасны, выявленная уязвимость классифицирована как CVE-2014-8730.

Чтобы обеспечить надежную защиту данных, в современных протоколах используются 256-битные ключи шифрования, которые почти невозможно успешно атаковать.

Для проверки текущей версии протокола, используемого на сайте, можно воспользоваться сервисом SSL-checker. Данный инструмент позволяет получить подробный отчет об используемых на проекте версиях SSL и TLS.

Для проверки введем адрес домена и нажмем «Check SSL/TLS»:

В отчете будут описаны все версии протоколов, которые используются для защиты информации:

Если на сайте выявлены проблемы безопасности, необходимо обновить версию протокола TLS. Настройки будут отличаться для различных типов сервера.

Например, чтобы прописать обновление версии TLS на сервере Nginx, нужно включить параметр SSL на слушающих сокетах, расположив его в блоке server. Дополнительно необходимо указать адрес файлов с сертификатом сервера и секретным ключом:

server {
    listen              443 ssl;
    server_name         www.site.com;
    ssl_certificate    www.site.com.crt;
    ssl_certificate_key www.certifikate-key.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ...
}

После настройки сервера в соответствии с инструкциями на сайте будет работать безопасная версия сертификата TLS 1.2.

Заключение

Протокол TLS представляет собой видоизмененную версию SSL, предназначенную для создания безопасного канала передачи данных в сети. Чтобы обеспечить максимальную защиту данных на сайте, необходимо установить проверенную версию протокола.

На данный момент криптографы считают безопасными и стабильно работающими версии от TLS 1.2 и выше.

Чтобы установить безопасную версию SSL-сертификата, нужно обращать внимание на его характеристики, поскольку протокол TLS должен быть не ниже версии 1.2. Полученный сертификат необходимо прописать в настройках сервера с указанием необходимой версии TLS.

Эта статья — часть модуля «Аудит сайта» в Serpstat

Аудит всего сайта или отдельной страницы в один клик. Полный список ошибок, отсортированный по критичности, пути их устранения и рекомендации. Любая периодичность проверки и автоматическая рассылка отчетов на почту.

Запустить аудит сайта