F5 GLOSSARY

SSL/TLS 加密

什么是 SSL/TLS 加密?

TLDR:SSL/TLS 能够对客户端和服务器之间的通信进行加密,其中以 Web 浏览器和网站或应用之间的通信为主。 

SSL(安全套接字层)加密及其更现代、更安全的继任者 TLS(传输层安全)加密,可以保护通过互联网或计算机网络发送的数据,从而防止攻击者(和互联网服务提供商)查看或篡改两个节点(通常是用户的 Web 浏览器和网络或应用服务器)之间交换的数据。大多数网站所有者和运营商有义务实施 SSL/TLS,以便保护敏感数据的交换,如密码、支付信息和其他被视为隐私的个人信息。

SSL/TLS 加密是如何工作的?

SSL/TLS 使用非对称和对称加密来保护传输中数据的保密性和完整性。非对称加密用于建立客户端和服务器之间的安全会话,对称加密用于在安全会话中交换数据。 

一个网站必须有一个 SSL/TLS 证书,其 Web服务器/域名才能使用 SSL/TLS 加密。一旦安装了证书,客户和服务器就可以通过以下步骤安全地协商加密级别:

  1. 客户端使用安全的 URL (HTTPS) 联系服务器。
  2. 服务器将其证书和公钥发送给客户端。
  3. 客户端通过受信任的根证书颁发机构对此进行验证,以确保证书合法。
  4. 客户端和服务器协商出各自支持的最强加密类型。
  5. 客户端使用服务器的公钥加密会话(私有)密钥,并将其发送回服务器。
  6. 服务器使用其私钥对客户端通信进行解密,并建立会话。
  7. 现在,会话密钥(对称加密)将用于加密和解密客户端和服务器之间传输的数据。

客户端和服务器开始统一使用 HTTPS (SSL/TLS + HTTP) 进行通信。Web 浏览器会在浏览器地址栏中显示一个“锁”图标指示验证通过。HTTPS 通过 443 端口运行。

一旦您离开网站,这些密钥就会被丢弃。下一次访问时,客户端和服务器会协商一个新的握手,并生成一组新的密钥。

为什么 SSL/TLS 解密对安全至关重要?

SSL/TLS 加密有利于确保通信安全,因为它提高了数据通信的保密性和完整性。然而,由于攻击者也会利用加密来隐藏恶意的有效载荷,并且 IDS/IPS、下一代防火墙、安全 Web 网关 (SWG) 等检查工具需要解密数据来执行检查,因此对此类检查工具来说,有效的 SSL/TLS 解密必不可少。

数据安全保护工具是把双刃剑

攻击者深知组织在解密和检查流量方面仍有不少难关尚未攻克,因此他们会乘隙钻营为自己谋取利益。通过巧用加密,攻击者可以绕过大多数检查设备,将恶意软件投递到网络中。不仅如此,加密数据外泄也能绕过安全工具从而回避审查。

在应对恶意流量入侵时,许多安全检查设备仅是解决扩展问题就已经应接不暇,更不用说解密、检查,然后再重新加密了。为保证数据的安全,组织需要对加密流量有更好的可见性,同时合理分配安全检查区,以有效管控流量、流程和风险。

深入了解 SSL 解密

更多信息:

SSL 可见性解决方案

F5 SSL Orchestrator 产品