Wykorzystanie TLS i SSL przez inne protokoły

Aby TLS i SSL były użyteczne, muszą być używane w połączeniu z protokołem wyższego poziomu, który rzeczywiście wymienia dane między aplikacjami. W niektórych przypadkach polega to na dołączeniu TLS lub SSL do nowego protokołu na przykład wersja 2 Secure Shell Protocol (SSH) używa TLS. W innych sytuacjach można dodać TLS lub SSL do istniejącego protokołu są na to dwa podstawowe sposoby. Pierwszy polega na użyciu nowego numeru portu dla kombinacji starego protokołu

i protokołu szyfrującego w ten sposób zintegrowano HTTP i SSL, aby utworzyć HTTPS. Innym sposobem integrowania TLS lub SSL z istniejącym protokołem jest dodanie do protokołu nowego polecenia, które inicjuje zaszyfrowaną sesję pod tym samym numerem portu w taki sposób działa ESMTP z rozszerzeniem STARTTLS.

Żaden z tych sposobów nie jest doskonały. Użycie nowego numeru portu jest łatwe do zaimplementowania (nie musisz modyfikować analizatorów poleceń) i pozwala firewallom na łatwe rozróżnianie między zabezpieczonymi i niezabezpieczonymi wersjami protokołu (dzięki czemu możesz na przykład wymagać użycia TLS). Powoduje to jednak zajęcie dodatkowych portów (a w zarezerwowanym zakresie jest ich tylko 124) i wymaga zmiany konfiguracji firewalla w celu przepuszczania połączeń chronionych przez TLS.

Dodanie nowego polecenia inicjującego sesję TLS oszczędza numery portów i zwiększa prawdopodobieństwo, że ulepszony protokół będzie przepuszczany przez fire walle (choć może zostać odrzucony przez inteligentne serwery proxy, które nadzorują używane polecenia). Jest jednak trudniejsze do zrealizowania. Zwłaszcza trudno zagwarantować, że przed zainicjowaniem sesji TLS nie zostaną wymienione żadne ważne dane. Ponadto programiści muszą zwracać baczną uwagę na błędy w komunikacji. Serwer albo klient obsługujący TLS musi wykrywać, że porozumiewa się z serwerem lub klientem nie rozumiejącym tego protokołu. Jeśli jednak zarówno serwer, jak i klient obsługują TLS, napastnik nie powinien mieć możliwości wymuszenia niezabezpieczonej komunikacji przez zakłócenie negocjacji użycia TLS.

Ponadto, kiedy protokół wynegocjuje użycie TLS, wszystkie pozostałe negocjacje powinny zostać powtórzone. Informacje pochodzące z niezabezpieczonej wersji protokołu mogły być sfabrykowane przez napastnika, więc nie można im ufać.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>