Czym jest TLS/SSL?
TLS (Transport Layer Security) to protokół kryptograficzny zapewniający prywatność, integralność danych i uwierzytelnianie dla komunikacji między dwiema stronami przez sieć. SSL (Secure Sockets Layer) to jego przestarzały poprzednik; współczesne odwołania do „SSL" niemal zawsze oznaczają TLS.
Znane również jako: TLS, SSL, Transport Layer Security, Secure Sockets Layer, HTTPS
TLS to protokół stojący za HTTPS i najszerzej wdrożony protokół bezpieczeństwa w internecie. Uzgadnianie TLS ustanawia bezpieczny kanał w kilku krokach: klient i serwer uzgadniają wersję protokołu i zestaw szyfrów, serwer przedstawia swój certyfikat (weryfikowany przez PKI), przeprowadzają wymianę kluczy w celu wyprowadzenia wspólnych kluczy sesji, a cała późniejsza komunikacja jest szyfrowana tymi symetrycznymi kluczami. Nowoczesne TLS 1.3 uprościło to do jednej wymiany.
Właściwości bezpieczeństwa zapewniane przez TLS to poufność (szyfrowanie uniemożliwia podsłuchiwanie), integralność (kody uwierzytelniania wiadomości wykrywają manipulacje) i uwierzytelnianie (certyfikaty weryfikują tożsamość serwera, a opcjonalnie klienta). Bez TLS dane w sieci są widoczne dla każdego, kto może obserwować ruch — dostawców internetu, operatorów Wi-Fi, administratorów sieci i atakujących przeprowadzających ataki man-in-the-middle.
SSL (wersje 1.0 do 3.0) jest przestarzały ze względu na znane podatności, takie jak POODLE i BEAST. TLS 1.0 i 1.1 są również przestarzałe. TLS 1.2 jest wciąż szeroko obsługiwany, a TLS 1.3 (wydany w 2018 r.) jest aktualnym standardem, oferując lepsze bezpieczeństwo i wydajność dzięki usunięciu przestarzałych zestawów szyfrów i zmniejszeniu opóźnienia uzgadniania. Pomimo przestarzałości „SSL" przetrwał jako potoczne określenie — „certyfikat SSL" i „terminacja SSL" zazwyczaj odnoszą się do TLS w praktyce.
Jak Vaulted używa TLS/SSL
Vaulted serwuje cały ruch przez HTTPS, co oznacza, że każde żądanie między twoją przeglądarką a serwerem jest chronione przez TLS. Szyfruje to szyfrogram i metadane podczas transportu oraz uwierzytelnia, że komunikujesz się z prawdziwym serwerem Vaulted. Samo TLS nie chroniłoby jednak twoich sekretów, gdyby serwer mógł je odczytać. Vaulted dodaje warstwę szyfrowania AES-256-GCM po stronie klienta na TLS, więc serwer otrzymuje tylko szyfrogram, którego nie może odszyfrować — TLS chroni kanał transportu, podczas gdy szyfrowanie po stronie klienta chroni same dane.