Протокол защиты SSL/TLS
Что такое Протокол SSL и как он защищает нашу информацию?
Протокол SSL (Secure Sockets Layer) — это криптографический протокол, который шифрует связь между браузером и веб‑сервером, защищая передаваемые данные. Разработанный Netscape в 1990‑х, он стал первым стандартом, позволившим безопасно передавать конфиденциальную информацию через интернет без риска перехвата.
Сегодня Протокол SSL технически устарел. Его преемник — TLS (Transport Layer Security) — заменил его в 1999 году, предложив более надежные алгоритмы. Тем не менее термин «SSL» до сих пор используется в индустрии как обозначение слоя шифрования, который активирует протокол HTTPS и отображает значок замка в адресной строке.
Стандарт PCI DSS v4.0 запрещает использование SSL и ранних версий TLS как средства защиты, за исключением проверенных терминалов POS/POI, не подверженных уязвимостям.
Как работает Протокол SSL на веб‑странице
Безопасное соединение устанавливается через процесс, называемый handshake:
- Браузер запрашивает у сервера подтверждение личности.
- Сервер отправляет SSL‑сертификат с публичным ключом и данными удостоверяющего центра (CA).
- Браузер проверяет подлинность сертификата, отсутствие отзыва и доверенность CA.
- Если всё корректно, браузер генерирует сеансовый ключ, шифрует его публичным ключом сервера и отправляет обратно.
- Сервер расшифровывает ключ приватным ключом и устанавливает защищённую сессию.
- С этого момента весь трафик передаётся с помощью симметричного сквозного шифрования.
Нормативные требования и безопасность Протокола SSL/TLS
Требование 4 стандарта PCI DSS v4.0 обязывает защищать PAN и другие чувствительные данные с помощью сильной криптографии при передаче по публичным сетям, используя только проверенные и неотозванные сертификаты.
PSD2 и технические стандарты EBA по SCA требуют от поставщиков платежных услуг обеспечивать конфиденциальность пользовательских данных в каждом обмене сообщениями.
Любому ecommerce, который принимает платежи картами, необходим действующий SSL/TLS‑сертификат (TLS 1.2 или выше), чтобы соответствовать требованиям безопасности и избежать маркировки сайта как «Небезопасный».
Уязвимости, которые сделали Протокол SSL небезопасным
Ряд атак выявил критические слабости SSL и ускорил переход на современные версии TLS:
| Атака | Год | Суть уязвимости |
|---|---|---|
| BEAST | 2011 | Уязвимость режима CBC в SSL 3.0 и TLS 1.0, позволявшая расшифровывать сессии |
| Heartbleed | 2014 | Ошибка в OpenSSL, утечка до 64 KB памяти сервера |
| POODLE | 2014 | Принудительное понижение до SSL 3.0 для эксплуатации ошибки в padding |
| DROWN | 2016 | Активный SSLv2 на сервере позволял взламывать современные TLS‑соединения |
Heartbleed затронул около 17% всех серверов с поддержкой SSL, раскрыв приватные ключи и данные миллионов пользователей.
Преимущества и недостатки Протокола SSL/TLS в эксплуатации
Преимущества актуального SSL/TLS‑сертификата:
- Защищает данные карт и учетные данные от перехвата.
- Соответствует требованиям PCI DSS и PSD2 по безопасной передаче данных.
- Повышает доверие покупателей благодаря HTTPS и значку замка.
- Google использует HTTPS как фактор ранжирования в SEO.
Операционные недостатки:
- Просроченный сертификат вызывает предупреждения браузера и снижает конверсию.
- Устаревшие протоколы (SSL 3.0, TLS 1.0) создают ложное ощущение безопасности.
- Требует постоянного обслуживания: продления, мониторинга отзывов и обновления криптографии.
Был ли этот термин полезным?
Оставить комментарий