Dalam laporan sebelumnya tentang perubahan dari HTTP ke HTTPS, ia menyentuh sebentar pada Single Socket Layer (SSL). Singkatnya, SSL dan penggantinya, Transport Layer Security (TLS), diperlukan untuk beroperasi secara online dengan aman.
Dalam artikel ini, mari kita melihat lebih dekat untuk menjawab pertanyaan "apa itu SSL" dan juga bagaimana SSL / TLS melindungi informasi sensitif Anda.
Mengapa Anda Peduli Tentang SSL / TLS?
Namun sebelum menuju ke "Bagaimana", mari kita lihat "Mengapa" Anda ingin menggunakan SSL / TLS.
$config[code] not foundHari-hari ini, keamanan data adalah emas. Siapa pun yang identitasnya dicuri dapat memberi tahu Anda hal itu. Kunci untuk menjaga keamanan informasi Anda adalah dengan menyimpannya di tempat yang aman di mana tidak ada orang lain yang dapat melihatnya.
Sayangnya, itu tidak mungkin online. Saat Anda mentransfer informasi online, ada selalu beberapa titik dalam proses di mana Anda dan pelanggan Anda kehilangan kontrol data.
Anda tahu, sementara pelanggan Anda dapat mengamankan perangkat tempat browser Anda berjalan dan Anda dapat mengamankan server Web Anda, pipa-pipa dunia online berada di luar kendali Anda.
Baik itu perusahaan kabel, perusahaan telepon, atau kabel bawah laut yang dioperasikan pemerintah, data pelanggan Anda akan melewati tangan orang lain secara online dan itulah mengapa itu perlu dienkripsi menggunakan SSL / TLS.
Berikut adalah beberapa contoh jenis informasi yang dapat Anda gunakan SSL / TLS untuk mengamankan online:
- Transaksi kartu kredit
- Login situs web
- Melewati informasi pribadi dan pribadi bolak-balik
- Mengamankan email Anda dari pengintai.
Ya, jika Anda menjalankan bisnis online, SSL / TLS sangat penting untuk kesuksesan Anda yang berkelanjutan. Mengapa? Karena:
- Pelanggan Anda perlu merasa aman ketika mereka melakukan bisnis dengan Anda secara online atau mereka tidak akan melakukan bisnis dengan Anda; dan
- Anda memiliki tanggung jawab kepada pelanggan Anda untuk melindungi informasi sensitif yang mereka pilih untuk dibagikan dengan Anda.
Selanjutnya, mari kita lihat bagaimana SSL / TLS bekerja.
Kunci Publik, Publik dan Sesi adalah, eh … Kunci
Saat Anda menggunakan SSL / TLS untuk mengirimkan data sensitif Anda secara online, browser Anda dan server Web aman yang terhubungnya menggunakan dua kunci terpisah untuk menyiapkan koneksi aman: kunci publik dan kunci privat. Setelah koneksi terpasang, jenis kunci ketiga, kunci sesi, digunakan untuk mengenkripsi dan mendekripsi informasi yang diteruskan bolak-balik.
Begini cara kerjanya:
- Saat Anda terhubung ke server yang aman (mis. Amazon.com), proses "jabat tangan" dimulai:
- Pertama, server akan meneruskan browser Anda dengan sertifikat SSL / TLS dan juga kunci publiknya;
- Browser Anda kemudian akan memeriksa sertifikat server untuk melihat apakah dapat mempercayainya menggunakan faktor-faktor seperti apakah sertifikat itu dikeluarkan oleh sumber yang dapat dipercaya dan apakah sertifikat tersebut belum kedaluwarsa.
- Jika SSL / TLS dapat dipercaya, browser Anda akan mengirim pemberitahuan kembali ke server dan membiarkannya tahu ia siap untuk digunakan. Pesan itu akan dienkripsi menggunakan kunci publik server dan hanya dapat didekripsi menggunakan kunci pribadi server. Termasuk dalam pengakuan itu adalah kunci publik browser Anda.
- Jika server tidak dapat dipercaya, Anda akan melihat peringatan di dalam browser Anda. Anda selalu dapat mengabaikan peringatan itu, tetapi itu tidak bijaksana.
- Server kemudian membuat kunci sesi. Sebelum mengirimnya ke browser Anda, itu mengenkripsi pesan menggunakan kunci publik Anda sehingga hanya browser Anda, menggunakan kunci privasinya, yang dapat mendekripsi.
- Sekarang setelah jabat tangan selesai dan kedua pihak telah menerima kunci sesi dengan aman, browser Anda dan server berbagi koneksi yang aman. Browser dan server Anda menggunakan kunci sesi untuk mengenkripsi dan mendekripsi data sensitif saat dikirim bolak-balik melalui online.
- Setelah sesi selesai, kunci sesi dibuang. Bahkan jika Anda terhubung satu jam kemudian, Anda harus menjalankan proses ini dari awal yang akan menghasilkan kunci sesi baru.
Ukuran diperhitungkan
Ketiga jenis kunci terdiri dari deretan angka yang panjang. Semakin panjang string, semakin aman enkripsi. Di sisi bawah, string yang lebih panjang membutuhkan lebih banyak waktu untuk mengenkripsi dan mendekripsi data dan menempatkan lebih banyak tekanan pada sumber daya server dan browser Anda.
Inilah mengapa kunci sesi ada. Kunci sesi jauh lebih pendek daripada kunci publik dan pribadi. Hasilnya: enkripsi dan dekripsi jauh lebih cepat tetapi kurang keamanan.
Tunggu - keamanan kurang? Bukankah itu buruk? Tidak juga.
Kunci sesi hanya ada untuk waktu yang singkat sebelum dihapus. Dan sementara mereka tidak selama dua jenis kunci lainnya, mereka cukup aman untuk mencegah peretasan dalam waktu singkat bahwa koneksi antara browser Anda dan server aman ada.
Algoritma Enkripsi
Kunci publik dan pribadi dibuat menggunakan salah satu dari tiga algoritma enkripsi.
Kami tidak akan terlalu jauh di sini, Anda benar-benar memerlukan gelar matematika (mungkin beberapa) untuk memahami algoritma enkripsi sepenuhnya, namun berguna untuk mengetahui dasar-dasar ketika tiba saatnya memilih jenis yang akan digunakan situs web Anda sendiri.
Tiga algoritma utama adalah:
- RSA - Dinamai setelah penciptanya (Ron Rivest, Adi Shamir, dan Leonard SEBUAHdlema), RSA telah ada sejak 1977. RSA membuat kunci dengan menggunakan dua bilangan prima acak dalam serangkaian perhitungan. Belajarlah lagi…
- Digital Signature Algorithm (DSA) - dibuat oleh National Security Agency (NSA), DSA membuat kunci menggunakan proses dua langkah yang menggunakan "fungsi hash kriptografi" dalam serangkaian perhitungan. Belajarlah lagi…
- Elliptic Curve Cryptography (EEC) - EEC menciptakan kunci menggunakan "struktur aljabar kurva elips" dalam serangkaian perhitungan yang kompleks. Belajarlah lagi…
Algoritma Enkripsi Yang Harus Anda Pilih?
Selain matematika, algoritma enkripsi apa yang terbaik untuk digunakan?
Saat ini, ECC tampaknya akan menjadi yang teratas. Berkat matematika, kunci yang dibuat dengan algoritma ECC lebih pendek namun tetap seaman kunci lebih lama. Ya, ECC melanggar aturan “masalah ukuran” yang membuatnya ideal untuk koneksi aman pada perangkat yang kurang kuat seperti ponsel atau tablet Anda.
Pendekatan terbaik mungkin adalah pendekatan hybrid, di mana server Anda dapat menerima ketiga jenis algoritma sehingga dapat menangani apa pun yang dilemparkan padanya. Dua kelemahan dari pendekatan ini adalah:
- Server menggunakan lebih banyak sumber daya yang menangani RSA, DSA, dan ECC sebagai lawan dari hanya ECC; dan
- Penyedia sertifikat SSL / TLS Anda mungkin menagih lebih banyak. Namun, lihatlah di sekitar, ada penyedia yang sangat kredibel yang tidak mengenakan biaya tambahan untuk menggunakan ketiganya.
Mengapa TLS Masih Dipanggil SSL?
Seperti yang kami sebutkan di bagian atas posting ini, TLS adalah penerus SSL. Sementara SSL masih digunakan, TLS adalah solusi yang lebih halus dan menghubungkan banyak lubang keamanan yang mengganggu SSL.
Sebagian besar perusahaan hosting dan penyedia sertifikat SSL / TLS masih menggunakan istilah "Sertifikat SSL" alih-alih "Sertifikat TLS".
Namun jelas, penyedia hosting dan sertifikat yang lebih baik memang menggunakan sertifikat TLS - mereka hanya tidak ingin mengubah nama karena akan membingungkan pelanggan mereka.
Kesimpulan
Single Socket Layer (SSL), dan penggantinya, Transport Layer Security (TLS), diperlukan untuk beroperasi secara online dengan aman. Menggunakan string panjang angka yang disebut, "Kunci", SSL / TLS memungkinkan koneksi di mana informasi Anda dan pelanggan Anda dienkripsi sebelum dikirim dan didekripsi ketika tiba.
Intinya: jika Anda menjalankan bisnis online, SSL / TLS sangat penting untuk kesuksesan Anda yang terus-menerus karena itu membangun kepercayaan sekaligus melindungi Anda dan pelanggan Anda.
Foto Keamanan melalui Shutterstock
More in: What Is 5 Comments ▼
