Как обновить версию протокола TLS на сайте
АУДИТ САЙТА — СЕРТИФИКАТ HTTPS
Протокол TLS — усовершенствованная модификация SSL — secure sockets layer, которая обеспечивает защиту данных при их передаче в интернете. Использование сертификата SSL с устаревшей версией ведет к уязвимостям, которых можно избежать, перейдя на шифрование TLS.
Что такое протокол TLS
Протокол TLS — аббревиатура «transport layer security», которая переводится с английского как протокол «защиты транспортного уровня». Данный протокол создан с той же целью, что и его предшественник SSL — для защиты данных в интернете. При этом он обладает дополнительными возможностями, которые позволяют использовать протокол не только в браузерах Google Chrome, Firefox, Safari, но и в мессенджерах, IP-телефонии.
Данный протокол регулярно улучшается и обновляется компанией IETF для обеспечения надежного шифрования, аутентификации и целостности данных. Последняя версия спецификации на данный момент — TLS 1.3, появившаяся в августе 2018 года.
Необходимость в обновленном протоколе защиты данных возникла еще в 1999 году, поскольку в протоколе SSL были обнаружены уязвимости. Сейчас все версии SSL-протокола были успешно атакованы с помощью POODLE. Указанная атака позволяет подменять данные пользователя и побайтно расшифровывать информацию, передаваемую по защищенному каналу данных.
Данный протокол регулярно улучшается и обновляется компанией IETF для обеспечения надежного шифрования, аутентификации и целостности данных. Последняя версия спецификации на данный момент — TLS 1.3, появившаяся в августе 2018 года.
Необходимость в обновленном протоколе защиты данных возникла еще в 1999 году, поскольку в протоколе SSL были обнаружены уязвимости. Сейчас все версии SSL-протокола были успешно атакованы с помощью POODLE. Указанная атака позволяет подменять данные пользователя и побайтно расшифровывать информацию, передаваемую по защищенному каналу данных.
Чем отличаются протоколы SSL и TLS
Учитывая, что протокол TLS создан на основе SSL, два данных варианта достаточно сходны. Фактически можно считать, что версия TLS 1.0 — это SSLv3.1. Развитием протоколов занимаются различные компании — SSL создан компанией Netscape, TLS — IEFL.
TLS имеет некоторые различия с SSL-протоколом: отличаются ключи и список наборов шрифтов, есть разница в псевдослучайной функции PRF и функции хэширования HMAC, используемой для построения блока симметричных ключей при шифровании данных. В TLS-протокол добавлен ряд алгоритмов, обеспечивающих безопасность канала передачи данных.
Фактически многие пользователи продолжают называть протокол TLS «SSL-шифрованием». Такой термин получил повсеместное распространение и, как правило, используется поставщиками, которые на самом деле предлагают шифрование TLS:
TLS имеет некоторые различия с SSL-протоколом: отличаются ключи и список наборов шрифтов, есть разница в псевдослучайной функции PRF и функции хэширования HMAC, используемой для построения блока симметричных ключей при шифровании данных. В TLS-протокол добавлен ряд алгоритмов, обеспечивающих безопасность канала передачи данных.
Фактически многие пользователи продолжают называть протокол TLS «SSL-шифрованием». Такой термин получил повсеместное распространение и, как правило, используется поставщиками, которые на самом деле предлагают шифрование TLS:
Хостинг-провайдер, предоставляющий TLS-защиту
Как узнать версию TLS на сайте
Онлайн-проверка TLS/SSL
В отчете будут описаны все версии протоколов, которые используются для защиты информации:
Результаты проверки TLS и SSL
SSL vs TLS
Многие веб-разработчики задаются вопросом, какой выбрать протокол — SSL или TLS. Учитывая выявленную уязвимость, вместо SSL-протокола необходимо включить TLS согласно рекомендациям специалистов, поскольку установка SSL сертификата небезопасна. Рассматривая сертификаты SSL TLS, необходимо обращать внимание на то, какие стандарты шифрования использует компания, предоставляющая защищенный канал связи:
Хостинг-провайдер дает возможность выбрать версию TLS-протокола
В характеристиках сертификата обязательно должно быть указано, что используется одна из последних версий спецификации протокола TLS. Стоит учитывать версию, поскольку в протоколах TLS 1.0, TLS 1.1 и TLS 1.2 были обнаружены уязвимости, которые устранили в более новых спецификациях.
Чтобы быстро узнать какие проблемы есть у твоего сайта и получить рекомендации по их устранению, нажимай на Проверить свой сайт.
Как обновить до TLS 1.3
Протокол TLS 1.3 — более новая и защищенная версия, которую предпочтительно использовать для защиты информации на сайтах, в этой спецификации существенно поменяли принцип установления соединения, сделав при этом протокол архитектурно стройнее. В 2022 году допускается использование версии TLS 1.2, однако желательно перейти на новую. Старые версии имеют существенные изъяны и не рекомендуются.
Специалисты Google выявили фундаментальный изъян в используемом в TLS 1.0 и 1.1 шифре RC4.Тесты определили, что данные версии недостаточно безопасны, выявленная уязвимость классифицирована как CVE-2014-8730.
Чтобы обеспечить надежную защиту данных, в современных протоколах используются 256-битные ключи шифрования, которые почти невозможно успешно атаковать. Версия TLS 1.3 не совместима с предыдущими спецификациями и при этом построена на другом инженерном принципе. Новая версия протокола применяет шифры лишь в режиме аутентифицированного шифрования,в которм не нужно использовать MAC. Алгоритм шифрования и так гарантирует целостность данных.
Специалисты Google выявили фундаментальный изъян в используемом в TLS 1.0 и 1.1 шифре RC4.Тесты определили, что данные версии недостаточно безопасны, выявленная уязвимость классифицирована как CVE-2014-8730.
Чтобы обеспечить надежную защиту данных, в современных протоколах используются 256-битные ключи шифрования, которые почти невозможно успешно атаковать. Версия TLS 1.3 не совместима с предыдущими спецификациями и при этом построена на другом инженерном принципе. Новая версия протокола применяет шифры лишь в режиме аутентифицированного шифрования,в которм не нужно использовать MAC. Алгоритм шифрования и так гарантирует целостность данных.
Если на сайте выявлены проблемы безопасности, необходимо обновить версию протокола TLS. Настройки будут отличаться для различных типов сервера. Например, чтобы прописать обновление версии TLS на сервере Nginx, необходимо сначала обновить его до последней версии и проверить версию OpenSSL — для TLS 1.3 нужны Nginx 1.14 и OpenSSL1.1.1 или выше, а затем внести изменения в файл конфигурации:
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name site.com;
# RSA
ssl_certificate /etc/letsencrypt/site.com/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/example.com/site.com.key;
# ECDSA
ssl_certificate /etc/letsencrypt/site.com_ecc/fullchain.cer;
ssl_certificate_key /etc/letsencrypt/site.com_ecc/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
}FAQ
Влияет ли SSL/TLS на SEO?
Еще с 2014 года алгоритмы Google учитывают наличие SSL-сертификата, считая его положительным фактором, поскольку для поисковика безопасность пользователей является одним из основных приоритетов. Для выхода в топ одного сертификата SSL будет недостаточно, однако он необходим, чтобы сайт мог успешно конкурировать с другими ресурсами и не отпугивать пользователей сообщением о небезопасности перехода в браузере.
Заключение
Протокол TLS представляет собой видоизмененную версию SSL, предназначенную для создания безопасного канала передачи данных в сети. Чтобы обеспечить максимальную защиту данных на сайте, необходимо установить проверенную версию протокола.
На данный момент криптографы считают безопасными и стабильно работающими вариантом использование версии TLS 1.3 и/или TLS 1.2.
Чтобы установить безопасную версию SSL-сертификата, нужно обращать внимание на его характеристики, поскольку протокол TLS должен быть не ниже версии 1.2. Полученный сертификат необходимо прописать в настройках сервера с указанием необходимой версии TLS.
На данный момент криптографы считают безопасными и стабильно работающими вариантом использование версии TLS 1.3 и/или TLS 1.2.
Чтобы установить безопасную версию SSL-сертификата, нужно обращать внимание на его характеристики, поскольку протокол TLS должен быть не ниже версии 1.2. Полученный сертификат необходимо прописать в настройках сервера с указанием необходимой версии TLS.
Задавайте вопросы в комментариях или пишите в техподдержку.:) А также вступайте в чат любителей Серпстатить и подписывайтесь на наш канал в Telegram.
Serpstat — набор инструментов для поискового маркетинга!
Находите ключевые фразы и площадки для обратных ссылок, анализируйте SEO-стратегии конкурентов, ежедневно отслеживайте позиции в выдаче, исправляйте SEO-ошибки и управляйте SEO-командами.
Набор инструментов для экономии времени на выполнение SEO-задач.
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.
Кейсы, лайфхаки, исследования и полезные статьи
Не успеваешь следить за новостями? Не беда! Наш любимый редактор подберет материалы, которые точно помогут в работе. Только полезные статьи, реальные кейсы и новости Serpstat раз в неделю. Присоединяйся к уютному комьюнити :)
Нажимая кнопку, ты соглашаешься с нашей политикой конфиденциальности.