TLS encryptie en authenticatieprotocol dat internetcommunicatie beschermt. TLS handshake is een proces dat een verbinding met een server beveiligt met behulp van asymmetrische cryptografie. Websites die een TLS-certificaat gebruiken, kunnen het HTTPS-protocol gebruiken om veilig verbinding te maken met de server. In deze blog wordt de TLS-handshake in detail uitgelegd, inclusief de stappen van de TLS-handshake, de werkwijze en meer.
Wat is een TLS-handdruk?
Net als de handdruk die we in het echte leven doen, is de TLS-handdruk een inleiding. Het duidt op veilige communicatie tussen twee servers waarbij berichten worden uitgewisseld om elkaar te bevestigen, elkaar te verifiëren, cryptografische codes op te stellen en overeenstemming te bereiken over sessiesleutels.
Het TLS-handshake-proces begint met de initiële "Hello" en gaat door tot het stadium waarin een client en server over een beveiligde verbinding kunnen praten.
Hoe werkt TLS-handshake?
Nu u weet wat een TLS-handdruk is, laten we eens kijken hoe het werkt.
Het TLS-handshake-proces werkt dus alleen wanneer op de server een TLS-certificaat is ingesteld voor een website of toepassing. Dit certificaat bevat belangrijke details over de domeineigenaar en de openbare sleutel van de server om de identiteit van de server te bevestigen. Door dit sequentiële proces wordt een TLS-verbinding tot stand gebracht. Dus wanneer een gebruiker toegang vraagt tot een website met TLS, begint de TLS-handshake tussen zijn apparaat en de webbrowser en worden de volgende gegevens uitgewisseld:
- Gebruikte TLS-versie (TLS 1.0, 1.2, 1.3, enz.).
- Evalueer de te gebruiken encryptiesuites.
- Verificatie van de identiteit van de server met behulp van het TLS-certificaat.
- Zodra het initiële handshake-proces is voltooid, wordt een sessiesleutel gegenereerd om de berichten tussen de client en de server te versleutelen.
De TLS-handshake stelt een cipher suite vast voor alle communicatie. De cipher suite wordt beschreven als een reeks algoritmen die worden gebruikt bij het tot stand brengen van een beveiligde communicatieverbinding. Een belangrijke rol van de TLS-handshake is het bepalen van de te gebruiken cipher suite. TLS stelt overeenkomende sessiesleutels op over een onversleuteld kanaal met behulp van openbare-sleutelcryptografie.
Handshake verifieert ook de echtheid van de afzender door de server te controleren met behulp van publieke sleutels. Openbare sleutels zijn eenrichtingsversleutelingscodes, wat betekent dat niemand behalve de oorspronkelijke afzender de versleutelde gegevens kan ontsleutelen. De oorspronkelijke verzender gebruikt zijn privésleutel om gegevens te ontsleutelen.
TLS handshake mislukt betekent dat de verbinding wordt verbroken, en dat de client een '503 Service Unavailable' foutmelding te zien krijgt.
TLS vs SSL-handshakes
SSL staat voor Secure Sockets Layer, het oorspronkelijke beveiligingsprotocol voor HTTP. SSL werd vervangen door TLS en SSL-handshakes worden nu TSL-handshakes genoemd.
Wanneer vindt een TLS-handshake plaats?
De browser bevraagt de origin server van de website telkens wanneer een gebruiker verzoekt om door een website te navigeren via een beveiligde verbinding. Dit gebeurt ook wanneer elk ander communicatiekanaal HTTPS gebruikt. Dit omvat API-aanroepen en DNS over een beveiligd netwerk.
Stappen van een TLS-handdruk
TLS-handshake-stappen bestaan uit een reeks datagrammen, of berichten, die tussen de client en de server worden overgedragen. De precieze stappen verschillen afhankelijk van het type sleuteluitwisselingsalgoritme dat wordt gebruikt en de cipher suites die door beide partijen worden ondersteund. Dit is wat u kunt verwachten.
Stap 1: Het "Client Hello" bericht
De server van de client begint het TLS-handshake-proces door een "hello"-bericht te sturen naar de hoofdserver van de website. Het bericht bestaat uit belangrijke details zoals de ondersteunde TLS-versie en cipher suites, en enkele willekeurige bytes die de "client random" worden genoemd.
Stap 2: Het "Server Hello" bericht
De server antwoordt op het hello-bericht van de cliënt door een antwoord te sturen met een SSL-certificaat, de door de server gekozen cipher suite en de door de server gegenereerde "server random" string.
Stap 3: Verificatie
In deze TLS-handshake bevestigt de client het SSL-certificaat van de server bij de uitgevende instantie. Dit wordt gedaan om te verifiëren dat de server echt is en dat de cliënt communiceert met de eigenaar van het domein.
Stap 4: Het Premaster Geheim
Premaster secret, een andere willekeurige reeks bytes, wordt verzonden door de cliënt. Het wordt versleuteld met een publieke sleutel en kan door de server worden ontsleuteld met een private sleutel.
Stap 5: Gebruikte privésleutel
Het premastergeheim wordt door de server gedecodeerd.
Stap 6: Sessiesleutels aangemaakt
Client en bediende maken sessiesleutels van de client random, server random en het premaster geheim. Het resultaat van alle drie moet hetzelfde zijn.
Stap 7: De klant is klaar
De cliënt stuurt een met een sessiesleutel versleuteld "finished"-bericht.
Stap 8: De server is klaar
De server stuurt een met een sessiesleutel versleuteld "finished"-bericht.
Stap 9: Veilige Symmetrische Encryptie bereikt
Dit is de laatste TLS-handdrukstap. Na afloop ervan wordt de communicatie voortgezet met gebruikmaking van de sessiesleutels.
TLS 1.3 Handshake- Wat is het verschil?
TLS 1.3 ondersteunt geen RSA; daarom zijn de stappen iets anders.
Klant Hallo
De cliënt stuurt het "Client Hello" bericht dat de protocolversie, client random en een lijst van cipher suites bevat. Het aantal cipher suites neemt af omdat er geen ondersteuning is voor cipher suites in TLS 1.3.
Dit bericht bevat ook parameters die worden gebruikt voor de evaluatie van het premastergeheim. Dit vermindert de lengte van de handshake, wat het voornaamste verschil is tussen TLS 1.3 handshakes en TLS 1.0, 1.1, en 1.2 handshakes.
Server creëert meestergeheim
In deze stap ontvangt de server de random van de client en de parameters en cipher suites van de client. Aangezien hij zijn eigen serverroutine maakt, genereert hij het mastergeheim.
Server hallo en klaar
Server hello bevat het servercertificaat, de cryptografische handtekening, de server random en de gekozen cipher suite. Het stuurt ook een "finished" bericht omdat het het master secret heeft.
Laatste stappen en klant afgerond
Client verifieert handtekening en certificaat, genereert master secret, en stuurt "Finished" bericht.
Veilige Symmetrische Encryptie bereikt
Nadat de TLS-handdruk is voltooid, wordt de communicatie voortgezet met gebruikmaking van de sessiesleutels.
Hoe lees je TLS-rapporten?
TLS rapporten kunnen waardevolle informatie geven over verkeerd uitgelijnde TLS handshakes tijdens MTA-STS authenticatie, samen met deliverability problemen. PowerDMARC's TLS-RPT biedt rapporten in een voor mensen leesbaar formaat dat is ontleend aan originele JSON-bestanden.
Om TLS rapporten te lezen vanaf vandaag, start uw gratis proefperiode bij ons!
Waarom zouden zakelijke en webtoepassingen TLS-handshake moeten gebruiken?
TLS handshake beschermt webapplicaties tegen inbreuken en andere cyberaanvallen, aangezien HTTPS de beveiligde versie is van de HTTP-extensie. Websites met een TLS-certificaat kunnen het HTTPS-protocol gebruiken om veilig verbinding te maken met de gebruikers. Het doel is gevoelige gegevens zoals persoonlijke gegevens, financiële gegevens, inloggegevens, enz. te beschermen.
