? Compras on-line representa uma grande parte da atividade econômica da Internet. No entanto, sem uma maneira de proteger os dados confidenciais enviados entre um navegador e um site, compras on-line nunca teria retirado. Netscape criado em 1994 SSL para criptografar as comunicações de dados sensíveis. SSL e seus sucessores são agora usados para proteger compradores on-line e banqueiros. Definição de SSL
SSL significa " Secure Sockets Layer ". É um método para codificação de dados . SSL opera no nível mais baixo de uma conexão de rede , o soquete , por isso pode ser usado simultaneamente com os protocolos de alto nível como HTTP ou FTP.
História da SSL
Netscape desenvolveu o protocolo SSL em 1994, mas nunca lançada publicamente SSL 1.0. Netscape lançado SSL 2.0 em Februrary 1995. Netscape lançou o SSL 3.0 , em 1996, para corrigir vulnerabilidades no protocolo SSL 2.0 .
Como SSL funciona
Primeiro , o SSL fornece um meio para autenticar a identidade do um servidor (ou seja , um site ) . Isto é conhecido como o " aperto de mão ". Quando um cliente (ou seja , um navegador ) contata o servidor , o servidor responde com um certificado de chave pública. O cliente verifica esta chave por meio de serviços de terceiros , como a VeriSign.
SSL em seguida, fornece um meio para criptografar uma sessão privada entre o servidor eo cliente. Depois de verificar a identidade do servidor , o cliente envia gerado aleatoriamente chaves de sessão para o servidor , usando a chave pública do servidor para criptografar a mensagem. O servidor utiliza a sua chave privada ( correspondente à sua chave pública) para descriptografar a mensagem . Para o restante da sessão, o cliente eo servidor usam as chaves de sessão para criptografar e descriptografar mensagens.
Falhas no SSL 2.0
SSL 2.0 era vulnerável a um ataque " man-in -the-middle " . No ataque man-in -the-middle , um terceiro partido " párias" intercepta todas as mensagens entre o cliente eo servidor . A festa desonestos aparece para o cliente como o servidor e para o servidor como o cliente. Durante o aperto de mão, o partido desonestos substitui o certificado do servidor com o seu próprio para que o cliente erroneamente autoriza o computador desonestos em vez do servidor .
A festa desonestos também substitui as chaves de sessão geradas pelo cliente com as chaves de sessão geradas pelo desonestos. A festa desonestos então é capaz de ler e modificar todas as mensagens passadas entre o servidor eo cliente sem detecção. SSL 2.0 também usou a função MD5 para autenticação de mensagens . A função MD5 é considerado inerentemente inseguro para fins de criptografia
Navegador Suporte
A maioria dos navegadores ainda suportam SSL 2.0
Microsoft Internet Explorer: . . Começando com a versão 7 , os navios do Internet Explorer com SSL 2.0 desativado. No entanto, os usuários ainda podem ativar o SSL 2.0
Mozilla Firefox: . Começando com a versão 2 do Firefox , navios com SSL 2.0 desativado. No entanto, os usuários ainda podem ativar o SSL 2.0.
