TLS Transport Layer Security ── HTTPS の下の暗号化
最新のインターネットの大部分の下でサーバーを認証し、線を暗号化するプロトコル。
HTTPS、SMTP、IMAP、MQTT、ほとんどの最新のアプリケーションプロトコルの下で、サーバーを認証しクライアントとサーバー間のチャネルを暗号化する暗号プロトコル。SSL の後継 ── TLS 1.0 は 1999 年に SSL 3.0 を置き換えました。現在のバージョンは TLS 1.3(RFC 8446、2018 年)です。認証は、公的に信頼された認証局に紐付けられた X.509 証明書のチェーンに依拠します。
TLS は 当社が公開するすべての上のデフォルトです。
NordBastion が運営するすべての表面 ── マーケティングサイト、顧客パネル、JSON API、エージェントエンドポイント、ステータスページ、.well-known レジストリ ── は、HSTS をプリロードし、ポート 80 の HTTP を無条件に HTTPS にリダイレクトして、最新の暗号スイートで TLS 1.2 または TLS 1.3 で応答します。当社のいずれのサービスにも平文の経路はなく、ローンチ以来ありませんでした。
顧客ワークロードについては、TLS はあなたの手にあります: VPS は Linux ボックスを提供し、あなたはアプリケーションに適した証明書機械を持参します ── ほとんどすべてに Let's Encrypt、コンプライアンス監査人が要求すれば有料 EV 証明書、内部サービスにはプライベート CA。1 Gbps アップリンクと、基礎となる CPU の最新の AES-NI / VAES サポートは、TLS 終端コストが持続的なラインレートでも本質的にノイズであることを意味します。
言及する価値のある 2 つの隣接ポイント。第一に、TLS はエンドツーエンド暗号化ではありません: チャットクライアントとチャットサーバー間の TLS リンクは線を保護しますが、サーバー運営者は依然としてメッセージを読めます。E2EE 用語集エントリーがその線を正確に引きます。第二に、TLS は証明書によってサーバーを認証します。サーバーをセットアップした人間は認証しません。PGP がフィンガープリントグレードの身元のためにその 2 つ目の役割を果たします。
人々が実際に尋ねる質問。
SSL と TLS の違いは何か?
TLS は SSL として始まったものの最新の名前です。Netscape 時代の SSL 2.0 と SSL 3.0 のプロトコルは、1999 年に TLS 1.0 に改名・改修され、その後 TLS 1.1、1.2、1.3 になりました。「SSL 証明書」、「SSL/TLS」などの用語はマーケティングコピーに残っていますが、すべての健全な最新のデプロイメントは内部で TLS 1.2 または TLS 1.3 を実行しています。SSL 2.0 と SSL 3.0 は正式に非推奨で、どこでも有効にすべきではありません。
VPS 上のドメイン用の TLS 証明書を取得するには?
簡単な答えは Let's Encrypt です: ACME プロトコル経由で 90 日間のドメイン認証証明書を発行する、無料、自動の認証局。Certbot クライアント(または caddy、traefik、nginx-acme、acme.sh のいずれか)が、1 つのコマンドで発行、更新、ウェブサーバーの配線を処理します。当社は NordBastion ブランドの CA を運営しません ── Let's Encrypt が正しい答えで、当社は変更なしでそれを指します。
TLS はエンドツーエンド暗号化と同じものか?
いいえ。TLS はクライアントとサーバー間のリンクを保護します。サーバーがチャットバックエンドやメールプロバイダーであれば、そのサーバーの運営者は依然としてメッセージを読めます ── TLS 暗号化は彼らのゲートウェイで終了します。エンドツーエンド暗号化は、通信エンドポイントだけが鍵を保持する別の属性です。中間サーバーは暗号文のみを見ます。エンドツーエンド暗号化の専用用語集エントリーがその区別を深く扱います。
NordBastion API は TLS を必要とするか?
はい ── api.nordbastion.com のすべてのエンドポイントは、最新の暗号で TLS 1.2 または TLS 1.3 を必要とします。ポート 80 の HTTP リクエストは例外なく HTTPS にリダイレクトされます。マーケティングサイト、顧客パネル、ステータスページ、.well-known 表面についても同様です。