TLS पर गहराई से नज़र

2020 के आसपास से TLS1.1 का समर्थन समाप्त होने के कारण

पुराने सर्वरों की जांच करने की आवश्यकता पड़ी।

TLS1.1 को बनाए रखने पर, AWS, Azure आदि क्लाउड सेवाओं के बीच संचार में त्रुटि हो सकती है,

या भुगतान आदि बाहरी API संचार में त्रुटि हो सकती है, या ब्राउज़र संस्करण के आधार पर समस्याएँ उत्पन्न हो सकती हैं।

टॉमकैट

- ऐसा प्रतीत होता है कि 6.x संस्करण से नीचे के संस्करण TLS1.2 का समर्थन नहीं करते हैं। जावा 7 या उच्चतर JRE के माध्यम से इसे TLS1.2 में बदलना होगा।

https://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html

Nginx

- ऐसा प्रतीत होता है कि 1.1.13 संस्करण TLS1.2 का समर्थन करता है।

https://nginx.org/en/CHANGES-1.2

TLS का सिद्धांत

क्लाइंट हेलो: क्लाइंट सर्वर को कनेक्शन अनुरोध भेजता है। (समर्थित TLS संस्करण और एन्क्रिप्शन सूट शामिल हैं)

सर्वर हेलो: सर्वर उपयोग किए जाने वाले TLS संस्करण, एन्क्रिप्शन सूट और SSL प्रमाणपत्र भेजता है, जिससे विश्वसनीयता सिद्ध होती है।

कुंजी विनिमय और सत्र कुंजी निर्माण: क्लाइंट और सर्वर कुंजी विनिमय एल्गोरिथम के माध्यम से एक साझा सत्र कुंजी बनाते हैं।

पूर्ण संदेश: क्लाइंट और सर्वर अपनी-अपनी कुंजी से एन्क्रिप्ट किए गए पूर्ण संदेश भेजते हैं।

डेटा ट्रांसफर: सत्र कुंजी का उपयोग करके डेटा को एन्क्रिप्ट किया जाता है और आदान-प्रदान किया जाता है।

समाप्ति: डेटा ट्रांसफर पूरा होने पर, सत्र समाप्ति संदेशों का आदान-प्रदान किया जाता है और सत्र कुंजी जानकारी हटा दी जाती है।

TLS 1.2 और 1.1 में क्या अंतर है?

TLS ट्रांसमिशन चरण में एक सुरक्षा प्रोटोकॉल है, जो HTTPS का आधार है। यह प्रमाणीकरण, अखंडता और एन्क्रिप्शन प्रदान करता है।

1.2, 1.1 की तुलना में सुरक्षा और प्रदर्शन के मामले में बेहतर माना जाता है।

- 1.1 md5 और sha-1 हैश एल्गोरिथम का उपयोग करता है।

- 1.1 BEAST, Man-in-the-middle और Cipher Suite हमलों के प्रति संवेदनशील हो सकता है।

* BEAST: हमलावर HTTPS कनेक्शन को इंटरसेप्ट करके दुर्भावनापूर्ण सामग्री इंजेक्ट करता है।

* Man-in-the-middle: हमलावर संचार को इंटरसेप्ट करके डेटा चुराता है।

- 1.2 sha-256 एल्गोरिथम का उपयोग करता है। (अधिक शक्तिशाली सुरक्षा एल्गोरिथम)

- 1.2 GCM (Galois/Counter Mode) एन्क्रिप्शन सूट का समर्थन करता है, और यह एन्क्रिप्शन और प्रमाणीकरण को एक साथ करता है, इसलिए यह तेज़ भी है।

साइफर सूट (एन्क्रिप्शन सूट)

क्लाइंट और सर्वर के बीच डेटा का आदान-प्रदान करने के लिए आवश्यक सभी एन्क्रिप्शन तंत्र, जो 4 भागों में बना होता है।

1. कुंजी विनिमय एल्गोरिथम

- एक साझा गुप्त कुंजी को सुरक्षित रूप से एक्सचेंज करने का तरीका उदाहरण: RSA, Diffie-Hellman

2. प्रमाणीकरण एल्गोरिथम

- प्रमाणपत्र के माध्यम से सर्वर की विश्वसनीयता की जाँच करने के लिए उदाहरण: RSA आदि सार्वजनिक कुंजी

3. सममित एन्क्रिप्शन एल्गोरिथम

- सत्र के दौरान डेटा को एन्क्रिप्ट करने और क्लाइंट और सर्वर द्वारा एक ही सत्र कुंजी का उपयोग करके डिक्रिप्ट करने का तरीका उदाहरण: AES

4. संदेश प्रमाणीकरण कोड

- डेटा अखंडता सत्यापन उदाहरण: HMAC-SHA256

एन्क्रिप्शन सूट उपरोक्त चार तत्वों के संयोजन से बना होता है।