שלום , ממה שנקלט אצלי במוח מכל מיני הודעות שרפרפתי עליהם אי פעם , נתקלתי במושג ssl או iis (יכול להיות שאני טועה) אם אני לא טועה זה מקושר לפרוטוקול מאובטח.
השאלה שלי היא מה זה בכלל פרוטוקול מאובטח? למה צריך את זה? מה זה ssl?
איפה נמצאת פירצת האבטחה באתרים בלי הפרוטוקול הזה?
אשמח למידע (בעברית אם אפשר )

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

HTTPS מאפשר תקשורת מוצפנת בינך (הלקוח) לבין האתר (שרת), כך שרק אתה והשרת תידעו מה התוכן של התקשורת.

במילים אחרות - כל מי שנמצא בתווך שבינך ובין השרת - לא יידע מה כתוב שם (אלא אם הוא יפצח את ההצפנה).

לדוגמא אם אתה יושב בבית קפה עם הלפטופ ומתחבר לאינטרנט דרך הראוטר של בית הקפה, אז גם אנשים שמאזינים לתקשורת ה-WiFi וגם בעלי בית הקפה יכולים להאזין לך.
מי שמאזין לתקשורת ה-WiFi יצטרך לפצח שתי הצפנות (של SSL ושל WiFi), ובעלי בית הקפה יצטרך לפצח הצפנה אחת (של SSL, שקיימת בזכות השימוש שלך בפרוטוקול HTTPS), כי הרי הוא בוודאות נמצא בתווך שבינך ובין השרת.

אם אתה מתחבר לאתר כמו הבנק, תרחישים כאלה בעייתים, לכן בנקים משתמשים ב-HTTPS.
אבל אם אתה גולש לאתר חדשות כלשהו, אין ממש בעיה כי אתה לא מעביר פרטים מזהים או פרטים אחרים שיכולים לפגוע בך או לזהות אותך (בדר"כ, אלא אם מדובר בפייסבוק וכד'), לכן בדרך כלל באתרים כאלה אין בעיה, ולכן הם לא משתמשים ב-HTTPS.

ז"א שכל הסיפור של SSL הוא רק להגן עליי בשימוש באינטרנט אלחוטי?
ועוד שאלה, שכנראה לא נכונה בבסיסה, אם כל אחד יכול לקנות SSL , אז כל אחד יכול לפצח את ההצפנה, זה הרי לא הצפנה חד צדדית? או שכל אחד שקונה SSL מקבל איזו הצפנה מיוחדת?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

ציטוט:

ז"א שכל הסיפור של SSL הוא רק להגן עליי בשימוש באינטרנט אלחוטי?

ממש לא.
SSL נועד להצפנת התקשורת כדי שרק המקור והיעד יידעו מהו התוכן.
זה נועד להגן על הצדדים המתקשרים מפני כל מי שנמצא בתווך בין המקור ליעד.
במיקרה, בתקשורת אלחוטית, זה נותן אקסטרא הגנה מפני אנשים חיצוניים שמאזינים לתקשורת.
אבל בתקשורת אלחוטית כמו WiFi יש הצפנות ייעודיות (שהן לא SSL) כדי שמי שמאזין לא יוכל לדעת מה התוכן.
אבל שים לב שבעל בית הקפה עדיין יכול לראות את התקשורת של ה-WiFi, אפילו שזה מוצפן בהצפנה שתקשורת ה- WiFi השתמשה בה (כי בסופו של דבר יש לו גישה מלאה לראוטר שמאפשר לך לגשת לאינטרנט) אלא אם היא מוצפנת באמצעות SSL.

http://he.wikipedia.org/wiki/SSL

אגב אני לא מומחה בתחום אבל זה דבר די בסיסי וסביר להניח שמה שכתבתי - נכון.

ציטוט:

אם כל אחד יכול לקנות SSL , אז כל אחד יכול לפצח את ההצפנה, זה הרי לא הצפנה חד צדדית?

SSL זה פרוטוקול פתוח, אני לא רואה למה צריך לקנות אותו?
יש שיטה שבה זה פועל.. בשביל זה תצטרך לקרוא במידע שזמין באינטרנט.

האשכול מועבר לפורום רשתות ואבטחת מידע.

חשבתי שצריך לקנות את זה :| תודה בכל אופן.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

SSL משתמש בתעודה דיגיטלית הכוללת פרטים על האתר שעבורו היא הונפקה, ובעיקר: שם המתחם שלו. לפני שהתעודה מונפקת על ידי צד ג' שבדפדפן שלך מוגדר לסמוך עליו, נעשים צעדים כדי לאמת שמי שביקש את התעודה, הוא הבעלים של שם המתחם שעבורו התעודה הונפקה. מי שירצה להאזין לך, יצטרך לבצע מספר פעולות: גם ליירט את החיבור בין הלקוחות של האתר שלך לאתר שלך, כך שהוא יקבל את החיבורים לשרת שלו ויפתח חיבור חדש בינו לבין האתר שלך, וגם להצליח לרמות צד ג' כדי שיחתום לו על תעודה ששייכת לדומיין שלא שלו. לחלופין, הוא יצטרך לגנוב את מפתח ההצפנה הפרטי שעבורו הונפקה התעודה שלך, מהשרת שלך (מה שלמשל איפשר הבאג Heartbleed).

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא הבנתי כל כך אותך בקשר לעיקרון התעודה הדיגיטלית.
על פי ויקיפדיה, כאשר אדם נכנס לאתר שלי, השרת שולח לו מאפיינים מסויימים (לא מוסבר שם מהם המאפיינים האלו) ואז השרת שולח את את המאפיינים מוצפנים ( וזה נקרא תעודה דיגיטלית), מה המטרה של לשלוח פעם אחת לא מוצפן ופעם אחת מוצפן לא הבנתי.
לאחר מכן אם נמצאת התאמה , הדפדפן מעביר מייצר מפתח הצפנה ומעביר את המפתח בצורה מוצפנת ע"י מפתח ציבורי לשרת.
מה הסיפור? את המפתח הציבורי כולם יודעים אפשר לפרש את המידע ולהשיג את המפתח האקראי שהדפדפן ייצר. לאחר מכן לקחת את המפתח ולפענח איתו את המידע שנשלח לשרת...
הרי תמיד הדפדפן צריך לדעת איך להצפין וזה נשלח אליו בצורה כלשהי, אז אפשר לעקוב אחרי המפתח שנשלח אליו.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

קראת את זה: http://he.wikipedia.org/wiki/%D7%9E...5% D7%A8%D7%99 ולא הבנת?

לא קראתי מה שדור הביא אבל עכשיו קראתי את מה שהבאת והבנתי.
עכשיו השאלה שלי היא איך ממשים SSL באתר שלי? מה צריך לעשות ואיך זה עובד? אני צריך להתקין משהו על השרת? ואיך זה משתלב עם שפת צד שרת שאני מתכנת בה? נניח PHP אני אקבל את הנתונים מוצפנים ואני צריך איזו שהיא פקודה לפענח אותם? או שהשרת עושה את העבודה וPHP מקבלת את הנתונים לא מוצפנים?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

זה קורה ברמת השרת, בשכבה מתחת ל HTTP - צריך להגדיר את זה בשרת לפיכך. הרבה פעמים זה דורש כתובת IP ׁייחודית עבור האתר שלך, במיוחד אם אתה רוצה תאימות מלאה עם כל הלקוחות (יש לכך סיבה, אבל אני לא רואה טעם להיכנס לזה...). כתובות IP (לפחות ב IPv4) הן משאב נדיר מאוד (הן כבר נגמרו) ולכן כל שימוש בהן בד"כ עולה כסף. המחיר המקובל הוא סביב ה 5$ לחודש אני חושב (ספק האירוח שלך קובע. הוא יכול לקבוע כל סכום שבא לו, זה לא משהו תחת רגולציה...). אם אתה מסוגל לשלם על העניין, או שכבר יש לך IP ייחודי משל עצמך, השאלה היא מי מארח לך את האתר והאם הוא מאפשר לך להשתמש ב SSL. אם כן, יש הליך שצריך לעשות מולו, ותלוי אם הם מאפשרים לך לייבא מפתח פרטי שיצרת לבד או לא... אם כן, אתה יכול לעשות את כל התהליך על המחשב שלך ורק להעלות אליהם את המפתח והתעודה בסוף. אם לא, הם צריכים ליצר את המפתח, וממנו לייצר את ה CSR, שאיתו אתה ניגש לחברה שמנפיקה תעודות SSL מסחריות - משלם להם - מאפשר להם לאמת שאתה אכן הבעלים של הדומיין - ולבסוף אתה מקבל קובץ תעודה דיגיטלית שאותו אתה צריך להתקין אצל ספק האירוח.

ל PHP אין שום קשר לזה - התקשורת מוצפנת בין הדפדפן לשרת, בתוך השרת הכל כרגיל.

נמאס לכם לזכור סיסמאות? לחצו כאן!

סבבה אגוזים, תודה רבה.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו