Как обновить версию протокола TLS на сайте
АУДИТ САЙТА — СЕРТИФИКАТ HTTPS
Инструкцию одобрил
SEO-специалист в Luxeo
SEO-специалист в Luxeo
Протокол TLS — усовершенствованная модификация SSL, которая обеспечивает защиту данных при их передаче в интернете. Использование устаревшего протокола SSL ведет к уязвимостям, которых можно избежать, перейдя на TLS.
Что такое протокол TLS
Протокол TLS — аббревиатура «transport layer security», которая переводится с английского как протокол «защиты транспортного уровня». Данный протокол создан с той же целью, что и его предшественник SSL — для защиты данных в интернете. При этом он обладает дополнительными возможностями, которые позволяют использовать протокол не только в браузерах, но и в мессенджерах, IP-телефонии.
Данный протокол регулярно улучшается и обновляется компанией IETF для обеспечения надежного шифрования, аутентификации и целостности данных. Последняя версия спецификации на данный момент — TLS 1.3, появившаяся в августе 2018 года.
Необходимость в обновленном протоколе защиты данных возникла еще в 1999 году, поскольку в протоколе SSL были обнаружены уязвимости. Сейчас все версии SSL-протокола были успешно атакованы с помощью POODLE. Указанная атака позволяет подменять данные пользователя и побайтно расшифровывать информацию, передаваемую по защищенному каналу данных.
Данный протокол регулярно улучшается и обновляется компанией IETF для обеспечения надежного шифрования, аутентификации и целостности данных. Последняя версия спецификации на данный момент — TLS 1.3, появившаяся в августе 2018 года.
Необходимость в обновленном протоколе защиты данных возникла еще в 1999 году, поскольку в протоколе SSL были обнаружены уязвимости. Сейчас все версии SSL-протокола были успешно атакованы с помощью POODLE. Указанная атака позволяет подменять данные пользователя и побайтно расшифровывать информацию, передаваемую по защищенному каналу данных.
Чем отличаются протоколы SSL и TLS
Учитывая, что протокол TLS создан на основе SSL, два данных варианта достаточно сходны. Фактически можно считать, что версия TLS 1.0 — это SSLv3.1. Развитием протоколов занимаются различные компании — SSL создан компанией Netscape, TLS — IEFL.
TLS имеет некоторые различия с SSL-протоколом: отличаются ключи и список наборов шрифтов, есть разница в псевдослучайной функции PRF и функции хэширования HMAC, используемой для построения блока симметричных ключей при шифровании данных. В TLS-протокол добавлен ряд алгоритмов, обеспечивающих безопасность канала передачи данных.
Фактически многие пользователи продолжают называть протокол TLS «SSL-шифрованием». Такой термин получил повсеместное распространение и, как правило, используется поставщиками, которые на самом деле предлагают TLS-защиту:
TLS имеет некоторые различия с SSL-протоколом: отличаются ключи и список наборов шрифтов, есть разница в псевдослучайной функции PRF и функции хэширования HMAC, используемой для построения блока симметричных ключей при шифровании данных. В TLS-протокол добавлен ряд алгоритмов, обеспечивающих безопасность канала передачи данных.
Фактически многие пользователи продолжают называть протокол TLS «SSL-шифрованием». Такой термин получил повсеместное распространение и, как правило, используется поставщиками, которые на самом деле предлагают TLS-защиту:
SSL vs TLS
Многие веб-разработчики задаются вопросом, какой выбрать протокол — SSL или TLS. Учитывая выявленную уязвимость, SSL-протокол должен быть заменен на TLS согласно рекомендациям специалистов по безопасности. При покупке сертификата безопасности необходимо обращать внимание на то, какие стандарты шифрования использует компания, предоставляющая защищенный канал связи:
В характеристиках сертификата обязательно должно быть указано, что используется одна из последних версий спецификации протокола TLS. Стоит учитывать версию, поскольку в протоколах TLS 1.0 и TLS 1.1 были обнаружены уязвимости, которые устранили в более новых спецификациях.
Чтобы быстро узнать какие проблемы есть у твоего сайта и получить рекомендации по их устранению, нажимай на Проверить свой сайт.
TLS 1.0 vs 1.2 — как установить самую безопасную версию протокола
Протокол TLS 1.2 — более новая и защищенная версия, которую предпочтительно использовать для защиты информации на сайтах — такие рекомендации дают специалисты-криптографы.
Специалисты Google выявили фундаментальный изъян в используемом в TLS 1.0 и 1.1 шифре RC4.Тесты определили, что данные версии недостаточно безопасны, выявленная уязвимость классифицирована как CVE-2014-8730.
Чтобы обеспечить надежную защиту данных, в современных протоколах используются 256-битные ключи шифрования, которые почти невозможно успешно атаковать.
Для проверки текущей версии протокола, используемого на сайте, можно воспользоваться сервисом SSL-checker. Данный инструмент позволяет получить подробный отчет об используемых на проекте версиях SSL и TLS.
Для проверки введем адрес домена и нажмем «Check SSL/TLS»:
Специалисты Google выявили фундаментальный изъян в используемом в TLS 1.0 и 1.1 шифре RC4.Тесты определили, что данные версии недостаточно безопасны, выявленная уязвимость классифицирована как CVE-2014-8730.
Чтобы обеспечить надежную защиту данных, в современных протоколах используются 256-битные ключи шифрования, которые почти невозможно успешно атаковать.
Для проверки текущей версии протокола, используемого на сайте, можно воспользоваться сервисом SSL-checker. Данный инструмент позволяет получить подробный отчет об используемых на проекте версиях SSL и TLS.
Для проверки введем адрес домена и нажмем «Check SSL/TLS»:
В отчете будут описаны все версии протоколов, которые используются для защиты информации:
Если на сайте выявлены проблемы безопасности, необходимо обновить версию протокола TLS. Настройки будут отличаться для различных типов сервера.
Например, чтобы прописать обновление версии TLS на сервере Nginx, нужно включить параметр SSL на слушающих сокетах, расположив его в блоке server. Дополнительно необходимо указать адрес файлов с сертификатом сервера и секретным ключом:
Например, чтобы прописать обновление версии TLS на сервере Nginx, нужно включить параметр SSL на слушающих сокетах, расположив его в блоке server. Дополнительно необходимо указать адрес файлов с сертификатом сервера и секретным ключом:
server {
listen 443 ssl;
server_name www.site.com;
ssl_certificate www.site.com.crt;
ssl_certificate_key www.certifikate-key.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
...
}После настройки сервера в соответствии с инструкциями на сайте будет работать безопасная версия сертификата TLS 1.2.
Заключение
Протокол TLS представляет собой видоизмененную версию SSL, предназначенную для создания безопасного канала передачи данных в сети. Чтобы обеспечить максимальную защиту данных на сайте, необходимо установить проверенную версию протокола.
На данный момент криптографы считают безопасными и стабильно работающими версии от TLS 1.2 и выше.
Чтобы установить безопасную версию SSL-сертификата, нужно обращать внимание на его характеристики, поскольку протокол TLS должен быть не ниже версии 1.2. Полученный сертификат необходимо прописать в настройках сервера с указанием необходимой версии TLS.
На данный момент криптографы считают безопасными и стабильно работающими версии от TLS 1.2 и выше.
Чтобы установить безопасную версию SSL-сертификата, нужно обращать внимание на его характеристики, поскольку протокол TLS должен быть не ниже версии 1.2. Полученный сертификат необходимо прописать в настройках сервера с указанием необходимой версии TLS.
Задавайте вопросы в комментариях или пишите в техподдержку.:) А также вступайте в чат любителей Серпстатить и подписывайтесь на наш канал в Telegram.
Сэкономьте время на изучении Serpstat
Хотите получить персональную демонстрацию сервиса, тестовый период или эффективные кейсы использования Serpstat?
Оставьте заявку и мы свяжемся с вами ;)
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.
Кейсы, лайфхаки, исследования и полезные статьи
Не успеваешь следить за новостями? Не беда! Наш любимый редактор Анастасия подберет материалы, которые точно помогут в работе. Присоединяйся к уютному комьюнити :)
Нажимая кнопку, ты соглашаешься с нашей политикой конфиденциальности.
Комментарии