Questions sur SSL

Question

J'ai quelques questions sur les certificats SSL.

Je ne les ai jamais utilisés auparavant mais mon projet actuel m'oblige à le faire.

Question 1.

Où devriez-vous utiliser SSL? Comme je connais des endroits comme se connecter, réinitialiser les mots de passe sont des endroits précis pour le mettre. Que diriez-vous une fois qu'ils sont connectés? Toutes les demandes doivent-elles passer par le protocole SSL même si les données qu'il contient ne sont pas considérées comme des données sensibles? Est-ce que cela ralentirait le SSL pour les parties importantes? Ou est-ce que cela ne fait aucune différence? (En quelque sorte, vous avez obtenu que le SSL pourrait tout faire passer par là, peu importe quoi).

Question 2.

Je sais smtp, vous pouvez activer le protocole SSL ainsi. Je suppose que ce serait très bon à utiliser si votre envoi leur dit un mot de passe de repos.

Si j'active ce paramètre, comment puis-je savoir si le protocole SSL fonctionne? Comment est-ce que je sais si cela l'a vraiment permis? Que se passe-t-il si SSL n'est pas activé sur le serveur de messagerie et que cette valeur booléenne est activée? Va-t-il simplement l'envoyer comme non SSL alors?

Answer 1

Avec une connexion SSL, l'une des portions les plus coûteuses (relativement parlant) est l'établissement de la connexion. Selon la façon dont il est configuré, par exemple, il peut créer une clé RSA éphémère (créée à la volée) pour établir une clé de session. Cela peut être un peu cher si beaucoup d'entre eux doivent être créés en permanence. Si, cependant, la création de nouvelles connexions est moins fréquente (et qu'elles sont utilisées pendant de plus longues périodes), alors le coût peut ne pas être pertinent.

Une fois la connexion établie, le coût supplémentaire de SSL n'est pas très élevé bien que cela dépende du type de chiffrement. Par exemple, l'utilisation d'AES 256 bits pour le chiffrement prendra plus de temps que l'utilisation de RC4 128 bits pour le chiffrement. J'ai récemment fait des tests avec des communications sur le même PC où le client et le serveur faisaient écho aux données. En d'autres termes, les communications constituaient presque tout le coût du test. L'utilisation de RC4 128 bits a ajouté environ 30% au coût (mesuré dans le temps) et l'utilisation de l'AES 256 bits a ajouté près de 50% au coût. Mais rappelez-vous, c'était sur un seul PC sur l'adaptateur loopback. Si les données ont été transmises sur un LAN ou un WAN, les coûts relatifs sont nettement inférieurs. Donc, si vous avez déjà une connexion SSL établie, je continuerais à l'utiliser.

En ce qui concerne la vérification que le protocole SSL est effectivement utilisé? Il y a probablement des moyens "officiels" de le vérifier, en utilisant un sniffer de réseau est la version d'un pauvre. J'ai couru Wireshark et reniflé le trafic de réseau et ai comparé une connexion non-SSL et une connexion de SSL et ai regardé les données brutes. Je pouvais facilement voir les données textuelles brutes dans la version non-SSL alors que le SSL «regardait» crypté. Cela, bien sûr, ne signifie absolument rien. Mais cela montre que "quelque chose" arrive aux données. En d'autres termes, si vous pensez que vous utilisez SSL mais que vous pouvez reconnaître le texte brut dans un sniff réseau, quelque chose ne fonctionne pas comme prévu. L'inverse n'est pas vrai, cependant. Juste parce que vous ne pouvez pas le lire, cela ne signifie pas qu'il est crypté.

Answer 2

Utilisez SSL pour toutes les données sensibles, pas seulement les mots de passe, mais aussi les numéros de cartes de crédit, les informations financières, etc. Il n'y a aucune raison de l'utiliser pour d'autres pages.

Certains environnements, tels que ASP.NET, permettent d'utiliser le protocole SSL pour le chiffrement des cookies. Il est bon de le faire pour tous les cookies liés à l'authentification ou aux ID de session, car ils peuvent être utilisés pour falsifier les connexions ou les sessions de relecture. Vous pouvez les activer dans web.config; ils sont désactivés par défaut. ASP.NET a également une option qui exigera que toutes les pages authentifiées utilisent SSL. Les demandes non-SSL sont lancées. Soyez prudent avec celui-ci, car il peut faire apparaître des sessions accrochées. Je recommande de ne pas activer des options comme celle-ci, sauf si vous en avez vraiment besoin.

Désolé, ne pouvez pas aider avec les questions smtp.

Answer 3

Tout d'abord, SSL est utilisé pour crypter les communications entre le client et le serveur. Il le fait en utilisant une clé publique qui est utilisée pour le chiffrement. À mon avis, c'est une bonne pratique de l'utiliser pour tout ce qui a des informations personnellement identifiables ou des informations sensibles. En outre, il convient de souligner qu'il existe deux types d'authentification SSL:

• One Way - où il y a un seul certificat de serveur - c'est le plus commun
• Two Way - dans lequel il est un certificat de serveur et un certificat client - le client vérifie d'abord l'identité du serveur et le serveur ids id du client - example is DOD CAC

Avec les deux, il est important d'avoir à ce jour, signé, certificats par une bonne réputation CALIFORNIE. Cela vérifie l'identité de votre site.

Comme pour la question 2, oui, vous devriez utiliser SSL sur SMTP si vous le pouvez. Si vos e-mails sont acheminés via un routeur non sécurisé, ils peuvent être interceptés s'ils sont envoyés sans cryptage. Je ne suis pas sûr de la question «valeur booléenne activée». Je ne crois pas que la configuration de SSL soit aussi simple que de cocher une case.

Answer 4

Quelques personnes ont déjà répondu à votre question 1.

Pour la question 2 cependant, je ne caractériserais pas SMTP sur SSL comme protégeant le message. Il pourrait y avoir beaucoup de points auxquels le message est exposé. Si vous voulez protéger le message lui-même, vous avez besoin de S/MIME, ou quelque chose de similaire. Je dirais que SMTP sur SSL est plus utile pour protéger vos informations d'identification SMTP, de sorte que quelqu'un ne peut pas saisir votre mot de passe.