TLS Transport Layer Security — шифрование под HTTPS
Протокол, аутентифицирующий серверы и шифрующий провод под большей частью современного интернета.
Криптографический протокол, аутентифицирующий серверы и шифрующий канал между клиентом и сервером под HTTPS, SMTP, IMAP, MQTT и большинством современных протоколов приложений. Преемник SSL — TLS 1.0 заменил SSL 3.0 в 1999 году; текущая версия — TLS 1.3 (RFC 8446, 2018). Аутентификация опирается на цепочку сертификатов X.509, закреплённую в публично доверенном центре сертификации.
TLS — это вариант по умолчанию на всём, что мы публикуем.
Каждая поверхность, управляемая NordBastion, — маркетинговый сайт, клиентская панель, JSON API, агентские эндпойнты, страница статуса, .well-known-реестр — отвечает по TLS 1.2 или TLS 1.3 с современным набором шифров, с preload-HSTS и безусловным перенаправлением HTTP-на-порту-80 на HTTPS. Нет открытотекстового пути ни к одному из наших сервисов, и его не было с момента запуска.
Для клиентских нагрузок TLS живёт в Ваших руках: VPS даёт Вам Linux-машину, а Вы приносите ту сертификатную машинерию, которая подходит приложению, — Let's Encrypt почти для всего, платный EV-сертификат, если этого требует Ваш compliance-аудитор, приватный CA для внутренних сервисов. Аплинки 1 Гбит/с и современная поддержка AES-NI / VAES на базовых CPU означают, что стоимость терминации TLS — это по сути шум даже на устойчивой линейной скорости.
Два смежных момента стоит отметить. Во-первых, TLS — это не сквозное шифрование: TLS-канал между чат-клиентом и чат-сервером защищает провод, но оператор сервера всё равно может прочитать сообщение. Статья глоссария об E2EE проводит эту границу точно. Во-вторых, TLS аутентифицирует серверы по сертификату; он не аутентифицирует человека, поднявшего сервер. PGP заполняет эту вторую роль для идентичности уровня отпечатка.
Страницы, опирающиеся на этот термин.
Вопросы, которые люди реально задают.
В чём разница между SSL и TLS?
TLS — это современное название того, что начинало жизнь как SSL. Протоколы эпохи Netscape SSL 2.0 и SSL 3.0 были переименованы и переработаны в TLS 1.0 в 1999 году, затем в TLS 1.1, 1.2 и 1.3. Термины «SSL-сертификат», «SSL/TLS» и так далее остаются в маркетинговых текстах, но каждое здоровое современное развёртывание под капотом работает на TLS 1.2 или TLS 1.3. SSL 2.0 и SSL 3.0 формально устарели и нигде не должны быть включены.
Как мне получить TLS-сертификат для домена на моём VPS?
Простой ответ — Let's Encrypt: бесплатный, автоматизированный центр сертификации, выдающий 90-дневные domain-validated-сертификаты через протокол ACME. Клиент Certbot (или любой из caddy, traefik, nginx-acme, acme.sh) обрабатывает выпуск, продление и настройку веб-сервера одной командой. Мы не запускаем фирменный CA NordBastion — Let's Encrypt — это правильный ответ, и мы указываем на него без модификаций.
TLS — это то же, что и сквозное шифрование?
Нет. TLS защищает канал между клиентом и сервером. Если сервер — это бэкенд чата или email-провайдер, оператор этого сервера всё равно может прочитать сообщение: TLS-шифрование заканчивается на их шлюзе. Сквозное шифрование — это отдельное свойство, при котором ключи держат только общающиеся конечные точки; промежуточные серверы видят только шифротекст. Выделенная статья глоссария о сквозном шифровании раскрывает различие подробно.
Требует ли NordBastion API TLS?
Да — каждый эндпойнт на api.nordbastion.com требует TLS 1.2 или TLS 1.3 с современными шифрами; HTTP-запросы на порту 80 без исключений перенаправляются на HTTPS. То же относится к маркетинговому сайту, клиентской панели, странице статуса и .well-known-поверхностям.