74
правки
Изменения
SSL/TLS
,Добавил сертификаты и состав записи
После обработки протоколом TLS Record зашифрованные данные передаются на слой TCP для передачи.
====Состав записи====
[[Файл:TLS-Record.png|right|Схема записи]]
* ''Content type'': тип сообщения {{---}} подтверждение связи (22), обычное сообщение (23) или оповещение (21).
* ''Version'': версия SSL/TLS.
* ''Length'': длина оставшейся части сообщения.
* ''Payload'': собственно зашифрованные данные.
* ''MAC'': код аутентификации.
* ''Padding'': "отступ" для получения нужного размера сообщения.
==Цифровые сертификаты (стандарт X.509)==
[[Файл:Cert-structure.png|right|Структура X.509]]
* Удобный способ показать, что кто-то владеет публичным ключом.
* Выпускаются центрами сертификации ('''Certificate Authority, CA'''): GlobalSign, Comodo и др.
* PKI (public key infrastructure) {{---}} механизм, регулирующий распространение и использование сертификатов (включая создание, отзыв и проверку подлинности).
* Список доверенных CA поддерживается приложением (у браузеров свои списки).
* Сертификаты подписываются другими сертификатами, что повышает надежность.
* Сертификат может быть отозван. Система поддерживает список таких сертификатов ('''Certificate Revocation List, CRL'''). На стороне CA список обновляется каждые несколько часов.
===Получение сертификата===
# Пользователь генерирует ключ и посылает запрос серверу CA.
# CA отвечает сообщением со своим сертификатом.
# Пользователь собирает данные, необходимые для выдачи сертификата (email, отпечаток ключа и т.д.).
# Пользователь отправляет данные в CA, зашифровав их публичным ключом CA.
# CA проверяет полученные данные и отправляет сертификат пользователю.
===Структура сертификата===
* Собственно сертификат
** Версия
** Серийный номер
** Эмитент (тот, кто выпустил сертификат)
** Субъект
** Публичный ключ субъекта
** Период действия
** Дополнительные поля
* Алгоритм подписи сертификата
* Значение подписи сертификата
==Меры безопасности в TLS==