Onderwerp
- #TLS
Vanaf ongeveer 2020 is TLS1.1 niet meer ondersteund,
waardoor oude servers gecontroleerd moesten worden.
Als TLS1.1 wordt behouden, kunnen er fouten optreden bij communicatie tussen clouddiensten zoals AWS en Azure, of
bij communicatie met externe API's zoals betalingen, of problemen ontstaan afhankelijk van de browserversie.
Tomcat
- Versies 6.x en lager lijken TLS1.2 niet te ondersteunen. Dit moet via een JRE van Java 7 of hoger naar TLS1.2 worden omgezet.
Nginx
- Versie 1.1.13 lijkt TLS1.2 te ondersteunen.
Het principe van TLS
Client Hello: De client stuurt een verbindingsverzoek naar de server. (Inclusief ondersteunde TLS-versies en cipher suites)
Server Hello: De server stuurt de te gebruiken TLS-versie, cipher suite en SSL-certificaat om de betrouwbaarheid te bewijzen.
Sleuteluitwisseling en sessiesleutelgeneratie: De client en server genereren een gedeelde sessiesleutel via een sleuteluitwisselingsalgoritme.
Voltooiingsbericht: De client en server sturen elk een met hun eigen sleutel gecodeerd voltooiingsbericht.
Gegevens overdracht: Gegevens worden gecodeerd met de sessiesleutel en uitgewisseld.
Afsluiting: Na de gegevensoverdracht worden berichten voor het beëindigen van de sessie uitgewisseld en wordt de sessiesleutel-informatie verwijderd.
Wat is het verschil tussen TLS 1.2 en 1.1?
TLS is een beveiligingsprotocol voor de transmissiefase en vormt de basis van HTTPS. Het biedt authenticatie, integriteit en encryptie.
1.2 zou beter zijn dan 1.1 op het gebied van beveiliging en prestaties.
- 1.1 gebruikt md5 en sha-1 hash-algoritmen.
- 1.1 kan kwetsbaar zijn voor BEAST, Man-in-the-middle en Cipher Suite-aanvallen.
* BEAST: Een aanvaller onderschept een HTTPS-verbinding en voegt kwaadaardige inhoud toe.
* Man-in-the-middle: Een aanvaller onderschept de communicatie en steelt gegevens.
- 1.2 gebruikt het sha-256 algoritme. (Een sterker beveiligingsalgoritme)
- 1.2 ondersteunt GCM (Galois/Counter Mode) cipher suites, die encryptie en authenticatie tegelijkertijd uitvoeren, waardoor het sneller is.
Cipher Suite (Cipher suite)
Alle noodzakelijke encryptiemechanismen voor de uitwisseling van gegevens tussen client en server, bestaande uit vier componenten.
1. Sleuteluitwisselingsalgoritme
- Methode voor het veilig uitwisselen van een gedeelde geheime sleutel. Bijvoorbeeld RSA, Diffie-Hellman.
2. Authenticatie-algoritme
- Verificatie van de betrouwbaarheid van de server via certificaten. Bijvoorbeeld RSA en andere publieke sleutels.
3. Symmetrisch encryptiealgoritme
- Methode voor het coderen van gegevens tijdens de sessie, waarbij client en server dezelfde sessiesleutel gebruiken voor decodering. Bijvoorbeeld AES.
4. Message Authentication Code
- Gegevens integriteitsverificatie. Bijvoorbeeld HMAC-SHA256.
De cipher suite is een combinatie van bovenstaande vier elementen.
Reacties0