Разлики между TLS и VPN: какво представляват и кой да използвате в Windows

  • TLS криптира специфични връзки (като HTTPS), докато VPN криптира целия мрежов трафик между вашия компютър и отдалечен сървър.
  • SSL е остарял: днес сертификати и връзки, базирани на TLS 1.2 и 1.3, се използват за по-голяма сигурност и производителност.
  • VPN мрежите могат да бъдат базирани на TLS (OpenVPN, SSL VPN) или IPsec и се използват за сигурен отдалечен достъп и присъединяване към цели мрежи.
  • В Windows TLS е достатъчен за сигурно сърфиране, но за достъп до вътрешни мрежи или засилване на поверителността в публична WiFi мрежа е за предпочитане да се използва и VPN.
Daniel Terrasa

13 Minutos

Защита на Windows с TLS и VPN

Ако се притеснявате за сигурността на данните си, когато се свързвате с интернет от Windows, е нормално да се обърквате от понятия като TLS, SSL, VPN, OpenVPN или IPsecНа пръв поглед изглеждат еднакви (всичко „криптира“ нещо), но в действителност решават различни проблеми и се използват в различни слоеве на комуникация.

Преди да се втурнете да инсталирате VPN приложение или да променяте разширените настройки на браузъра си, е важно да сте наясно с... Какво точно е TLS, какво е VPN, каква е целта на протоколи като SSL или IPsec И най-вече, в какви ситуации е най-добре да използвате всеки инструмент на вашия компютър с Windows. Нека го разгледаме спокойно, но без излишен технически жаргон.

Какво е TLS и как се различава от SSL?

Когато чуете за „SSL сертификат“, „сигурен уебсайт“ или видите катинара в браузъра си, това, което всъщност работи в днешно време, е TLS (сигурност на транспортния слой)SSL е стандартният протокол, който криптира данни между вашето устройство и сървър в интернет. SSL беше негов предшественик, но сега се счита за несигурен и е премахнат от съвременните системи.

Можем да кажем, че TLS е протокол за криптиране на транспортния слойТова гарантира, че данните, предавани между клиента и сървъра, не могат лесно да бъдат прочетени или манипулирани от трети страни. Изпълнява две ключови функции: защитава поверителността на данните и гарантира, че те не са били променени по време на преноса.

SSL и TLS имаха различни версии през годините. Въпреки това SSL протоколът отдавна е остарял. Всъщност, той е деактивиран в реномирани браузъри и услуги. Някои доставчици все още ги наричат ​​„SSL сертификати“ по навик, въпреки че на практика те са TLS сертификати и използват само съвременни версии на протокола.

TLS

Как работи TLS: криптиране, ръкостискане и сертификати

За да работи TLS връзката (например, когато влизате в уебсайт с HTTPS), между вашия браузър и сървъра се осъществява автоматичен процес, наречен TLS ръкостисканеПрозрачно е за теб, но е основата на всяка сигурност.

По време на това ръкостискане клиентът и сървърът обменят информация, за да изберете алгоритми за криптиране, удостоверете се взаимно и генерирайте временни ключове който ще се използва само в тази сесия. Това договаряне се основава на криптография с публичен ключ и цифрови сертификати, издадени от сертифициращи органи (CA).

Сертификатите позволяват на браузъра да проверете самоличността на сървъра. Те включват името на домейна, публичния ключ, кой е издал сертификата, кой е собственикът му, датите на валидност и друга информация, като например поддомейни или разрешени употреби. Без валиден сертификат, браузърът ви ще показва предупреждения за сигурност.

По отношение на сигурността, TLS обхваща три основни стълба:

  • заверка (знай с кого говориш).
  • конфиденциалност (че никой не чете данните).
  • интегритет (гарантиране, че съдържанието не е било променено). Това се постига с комбинации от алгоритми за симетрично криптиране, хеш функции и кодове за удостоверяване на съобщения (MAC или HMAC).

Версии на TLS: от 1.0 до 1.3

С течение на времето TLS се е развил, за да се справи с уязвимостите и да подобри производителността. Версиите TLS 1.0 и TLS 1.1 Те бяха публикувани съответно през 1999 г. и 2006 г. и сега се считат за остарели и уязвими. Ето защо съвременните браузъри вече не ги поддържат.

Най-разпространената версия в момента е TLS 1.2Издаден през 2008 г., TLS 1.3 остава много стабилен и е инсталиран на повечето сървъри и услуги. Въпреки това, сега се препоръчва преминаване към TLS 1.3 в нови среди или при надграждане на услуга.

Con TLS 1.3Във версията, пусната през 2018 г., протоколът е опростен и слабите алгоритми са елиминирани. Производителността също е подобрена чрез намаляване на броя на стъпките за ръкостискане и изискванията за сигурност са засилени. Освен това се поддържат съвременни шифри като AES-GCM и ChaCha20-Poly1305 и е улеснена бъдещата интеграция на пост-квантови алгоритми.

Важен момент е, че TLS 1.3 Вече не е обратно съвместим с SSL.Това предотвратява атаки за понижаване на версията, при които нападателят налага използването на по-стари, несигурни версии, както беше при уязвимостите от тип POODLE.

TLS срещу SSL

Ключови разлики между SSL и TLS

Въпреки че концептуално SSL и TLS правят едно и също нещо, има технически нюанси, които правят цялата разлика. TLS подобрява по-стария SSL по няколко начина, както по отношение на както безопасност, така и производителностИ затова се е превърнал в настоящия стандарт.

  • Процес на ръкостисканеTLS въвежда по-бързи и по-ефективни методи, намалявайки латентността в сравнение с SSL handshakes, които бяха по-малко оптимизирани и наказваха повече времето за зареждане на уеб страниците.
  • Удостоверяване и цялостностSSL разчиташе до голяма степен на алгоритми, които сега са счупени или слаби, като например MD5, докато TLS използва HMAC с по-силни хеш функции и съвременни шифрови пакети. Това значително намалява риска от атаки „човек по средата“.
  • Сигнали за грешкиВ по-старите версии много предупреждения се изпращаха в обикновен текст, нещо, което TLS 1.3 коригира, като криптира всички предупредителни съобщения след установяване на връзката, така че атакуващият да не може да извлече информация за поведението на сесията.
  • Шифровъчни пакетиTLS избира и налага по-силно криптиране, като отхвърля по-слабите опции, наследени от SSL. Това минимизира допустимата грешка при неправилно конфигуриране на сървър и поддържа по-последователно ниво на сигурност.

HTTPS всъщност използва ли SSL или TLS?

Години наред HTTPS се наричаше „HTTP през SSL“, но до 2026 г. той ще бъде почти... Нито един реномиран уебсайт не поддържа SSL.Това, което в момента се използва масово, е HTTPS през TLS 1.2 и все по-често през TLS 1.3.

По-малко от 1% от уебсайтовете все още поддържат SSL под някаква форма, докато почти всички Те работят с TLS 1.2 и голямото мнозинство също поддържа TLS 1.3. На потребителско ниво виждате само катинара и „https://“, но зад кулисите този протокол за сигурност работи.

Когато влезете в уебсайт и въведете номера на картата си, идентификационните си данни или лични данни, TLS се грижи за това криптиране на тези комуникации така че дори някой да прихване трафика в мрежата, ще вижда само неразбираеми данни.

В допълнение към криптирането, браузърът извършва серия от щателни проверки на сертификатите Мерките за сигурност на сайта включват: целостност на подписа, период на валидност, евентуално отменяне (чрез OCSP), легитимност на издателя, съответствие на домейна, разрешени употреби и ограничения на политиката, наред с други. Всеки критичен провал в тази верига води до предупреждение или блокиране на връзката.

Благодарение на този процес на валидиране, браузърът установява само един Защитена HTTPS връзка Ако всички условия са изпълнени. Ако нещо не е наред, ще видите съобщения като „сайтът не е защитен“, изтекли сертификати или подобни предупреждения, които не бива да се пренебрегват лекомислено.

SSL/TLS сертификати: какво представляват и какви видове има

Сертификатите, които позволяват използването на HTTPS и други защитени комуникации, са базирани на инфраструктура с публичен ключ (PKI)Сертифициращ орган (CA) издава сертификат след проверка на определени данни на заявителя и подписването му със своя частен ключ.

Сертификатът включва елементи като Общо наименование (CN) и често разширения за алтернативно име на субекта (SAN) за защита на множество домейни или поддомейни с един сертификат. Посочени са също типът на валидиране, периодът на валидност и свързаният публичен ключ.

Има няколко нива на валидиране:

  • DV (валидиране на домейн) сертификати. Те само проверяват дали заявителят контролира домейна.
  • OV (Валидиране на организация) сертификатиТе също така проверяват съществуването на компанията.
  • EV (разширена валидация) сертификати. Те прилагат по-строг процес на проверка към обекта, въпреки че визуалният им индикатор се използва все по-рядко в браузърите.

Съществуват и специални сертификати, като например заместващ, които защитават домейн и всички негови поддомейни от най-високо ниво, или SAN сертификати, предназначени да покриват множество различни имена (идеални в сложни корпоративни среди).

При генериране на сертификат, a CSR (Заявка за подписване на сертификат)Тази заявка съдържа публичния ключ и данните за самоличност на сървъра. След това заявката се изпраща до CA, който, след валидиране на информацията, издава подписания сертификат за инсталиране на сървъра.

Какво е децентрализирана VPN и как да я използвате в Windows, за да подобрите поверителността си

Какво е VPN и какво решава, което TLS не покрива?

Докато TLS защитава специфични връзки (например между вашия браузър и уебсайт), VPN защитава целият мрежов трафик от вашето устройство или част от мрежатаС други думи, работи като „криптиран тунел“, през който преминава целият ви трафик, преди да излезе в интернет.

Технически, VPN е виртуална частна мрежа Той работи през публична мрежа (интернет). Това, което прави, е да капсулира и криптира пакети данни, така че отвън да изглежда, че всичко тече между вашия компютър и VPN сървъра, въпреки че всъщност се насочва към много различни услуги.

Това позволява няколко интересни приложения: скриване на вашия истински IP адрес зад IP адреса на VPN сървъра, отдалечен достъп до вътрешни ресурси от фирмена или домашна мрежа, заобиколете геоблокировките и засилете сигурността при свързване към ненадеждни обществени WiFi мрежи.

За разлика от TLS, който е свързан със специфични протоколи като HTTPS или FTPS, VPN работи в долните слоеве на мрежовия стек (на ниво IP или дори връзка), така че да „обхваща“ практически всичко, което компютърът ви прави, без приложенията да е необходимо да знаят за това.

В Windows можете да използвате вградени VPN клиенти (например за IPsec) или приложения на трети страни, които имплементират протоколи като OpenVPN, WireGuard или други собствени VPN мрежиВсеки от тях има своите предимства, но всички те споделят идеята за създаване на криптиран тунел към отдалечен сървър.

Разлики между SSL/TLS VPN и IPsec VPN

В света на VPN мрежите има две основни семейства, които трябва да се разграничат: SSL/TLS VPN и VPN мрежи, базирани на IPsecИ двете осигуряват криптиран тунел, но го правят на слоеве и с различни технологии.

SSL/TLS VPN мрежите (често наричани просто „SSL VPN“) са изградени върху TLS, същия протокол, използван за HTTPS. Популярни протоколи като OpenVPN Те работят по следния начин: създават криптиран тунел, който обикновено използва порт 443 TCP или UDP, което улеснява преминаването през защитни стени и прокси сървъри.

В този тип VPN, удостоверяването и криптирането разчитат на X.509 сертификати, публични и частни ключове и параметри като Дифи-Хелман за сигурен обмен на ключове. Това е изключително гъвкаво решение, особено полезно за отдалечен достъп от отделни потребители от Windows, macOS или мобилни устройства.

От друга страна, IPsec VPN мрежите използват протокола IPsec (Защита на интернет протокола)IPsec работи директно на мрежово ниво (слой 3). Той осигурява удостоверяване, целостност и криптиране на IP пакети, използвайки различни режими и алгоритми.

IPsec VPN мрежите са много често срещани в корпоративни среди за за свързване на цели мрежи (Net-to-Net) или да се внедрят решения за отдалечен достъп, интегрирани в операционната система, тъй като Windows включва поддръжка за IPsec от години.

Регламенти и стандарти, които поддържат използването на VPN и TLS

Както TLS, така и VPN мрежите не са просто техническа препоръка; в много случаи те са изискване за... спазвайте разпоредбите за защита на данните и стандарти за безопасност. Всъщност много регулаторни рамки ги споменават изрично или имплицитно.

В Европейския съюз, Бисквитки В него се настоява, че личните данни трябва да бъдат защитени с подходящи технически мерки, включително криптиране. Използването на TLS за уеб комуникации и VPN за отдалечен достъп до системи, съдържащи чувствителни данни, се вписва идеално в този подход.

В сектора на здравеопазването, регулации като HIPAA (В Съединените щати) те изискват защита на поверителността на медицинската информация, което на практика означава криптиране на данни при пренос с помощта на TLS и често капсулиране на вътрешен достъп чрез VPN.

Други стандарти, като например PCI-DSS, който се фокусира върху управлението на данни за кредитни карти, ясно изискват използването на силно криптиране в комуникациите и при административен отдалечен достъп, нещо, което обикновено се превежда като защитен HTTPS и правилно конфигуриран VPN.

Много технически спецификации за публични или частни договори изрично изискват използването на TLS 1.2 или по-висока версия и IPsec или SSL/TLS VPN за... да се гарантира сигурността на връзките между сайтовете и потребителитеТова показва, че тези технологии вече са де факто стандарт.

Кога да използвам TLS и кога VPN на Windows?

На компютър с Windows, TLS и VPN мрежите не се конкурират, а по-скоро се допълват взаимно. Изборът зависи от това какъв проблем искате да решите, така че е важно да сте наясно с вашите нужди. какво допринася всяка технология за ежедневието.

Ако искате само да сърфирате сигурно в интернет, да въвеждате пароли или да плащате с карта на уебсайт, достатъчно е браузърът да установи HTTPS връзки, базирани на TLSНе ви е необходима VPN мрежа само за да видите защитен уебсайт, стига сайтът да е правилно конфигуриран.

От друга страна, ако това, от което се нуждаете, е да се свържете от дома си с вътрешната мрежа на вашата компания, да получите достъп до споделени папки или офис принтери, тогава говорим за типичен сценарий на Използване на VPN в WindowsVPN тунелът ще ви предостави вътрешен IP адрес и маршрути към тези ресурси.

Друга причина да обмислите VPN е, когато често се свързвате с Обществен WiFi (кафенета, хотели, летища). Въпреки че много уебсайтове използват HTTPS, има услуги и приложения, които все още не криптират целия си трафик, а VPN може да предложи допълнителен слой защита за останалите ви връзки.

И накрая, ако целта ви е да промените видимото си местоположение (например, за да получите достъп до съдържание с ограничен достъп за определени държави), TLS изобщо няма да ви помогне. В този случай ви е необходима търговска VPN мрежа със сървъри в региона, който ви интересува, защото VPN скрива вашия истински IP адрес зад IP адреса на отдалечения сървър..

Как да настроите SSL/TLS VPN мрежи с OpenVPN (общ преглед)

OpenVPN е един от най-известните и широко използвани VPN протоколи, особено в Linux среди, и е интегриран и в много Windows клиенти. Той разчита на OpenSSL и X.509 сертификати за внедряване на SSL/TLS криптиране.

В този модел обикновено първо се сглобява малка част. сертифициращ орган (CA) вътрешно, използвайки инструменти като easy-RSA. Оттам се генерират сертификати за VPN сървъра и за всеки клиент, както и параметрите на Дифи-Хелман, необходими за обмен на ключове.

Типичните файлове включват сертификата на CA (например ca.crt), сертификатът на сървъра и неговият частен ключ (server.crt, server.key), DH параметрите (dh.pem) и, за всеки потребител, неговия собствен сертификат и двойка ключове (client.crt, client.key).

От страна на сървъра, OpenVPN е конфигуриран да създава виртуален интерфейс (tun или tap), да дефинира VPN мрежата, да указва пътя до всеки файл със сертификат и Активиране или деактивиране на междумрежовата маршрутизацияКонфигурацията се променя леко в зависимост от това дали се използва маршрутизиран (IP тунел) или мостов режим.

На клиента на Windows се инсталира софтуерът OpenVPN, необходимите сертификати се копират в съответните пътища и се използва конфигурационен файл, който показва IP адресът или домейнът на сървъра, портът, типът интерфейс (tun/tap) и местоположението на сертификатитеКогато връзката е установена, ако всичко е правилно, се създава виртуален мрежов интерфейс и трафикът преминава през тунела.

Разбирането какво прави всеки компонент (TLS, Legacy SSL, SSL/TLS VPN, IPsec) и как се вписва в настройката на вашата връзка с Windows ви позволява да вземате много по-информирани решения: кога е достатъчно да разчитате на заключване на браузъраКога е необходимо да настроите VPN тунел и как да конфигурирате и двете, за да балансирате сигурността, производителността и съответствието с регулаторните изисквания, без да усложнявате нещата прекалено?