1. Home
  2. >
  3. Рішення
  4. >
  5. Шифрування

Шифрування

Безпека транспортного рівня (TLS)

Коли хтось відвідує ваш сайт, вводячи загальну URL-адресу, що починається з http://, небажані треті особи можуть перехопити їхні логіни та паролі, а також інші конфіденційні дані. Крім того, це з’єднання не дає жодних гарантій автентичності та може бути перенаправлене (або підроблене) Інтернет-провайдером або іншим посередником. Підтримка TLS — не панацея від усіх бід, але вона значно поліпшує:

  • конфіденційність передачі даних між вашим вебсервером і браузером користувача;
  • автентичність з’єднань користувачів із вашим вебсервером.

Як працює TLS/HTTPS на Deflect

Зазвичай, коли два комп’ютери взаємодіють безпечно, без кешування проксі-сервісу, як-от Deflect, клієнт (наприклад, браузер) запитує TLS-сертифікат сервера, перевіряє, чи довіряє він цьому сертифікату, а потім шифрує з’єднання, використовуючи його. Інтернет-провайдери, підприємства й уряди – ті, хто володіє мережами, або інший суб’єкт, що перебуває посередині між клієнтом і сервером, – не можуть бачити, що перебуває всередині встановленого комунікаційного тунелю.

Відхилення схеми TLS

Deflect може генерувати публічні сертифікати TLS через Let’s Encrypt — центр сертифікації (CA), запущений у 2015 році. Співзасновником центру є Electronic Frontier Foundation, яка випускає безоплатні й прості у встановленні сертифікати з прозорою метою полегшити й поширити використання криптографії в інтернеті. Оскільки сертифікати Let’s Encrypt потребують частого оновлення, Deflect використовує більш тривалі оригінальні сертифікати, підписані власним центром сертифікації. Звичайно, якщо у вас вже є сертифікат TLS, ви можете використовувати його для шифрування з’єднань між Deflect і вашим сайтом (сертифікат походження), так само як між громадськістю і браузерами (загальнодоступний сертифікат). Але в останньому випадку вам потрібно буде поділитися з нами своїм приватним ключем TLS. Якщо ви не хочете поділитися ним ні з ким, ми можемо згенерувати сертифікат Let’s Encrypt для шифрування з’єднань, які досягають будь-якого з браузерів Deflect, в той час, як з’єднання між браузерами Deflect і вашим вебсервером будуть зашифровані вашим власним сертифікатом.

 Увімкніть HTTPS-з’єднання з вашим сайтом через Deflect

Якщо ви вперше вмикаєте HTTPS-з’єднання на своєму сайті й ще не маєте сертифіката TLS, у вас є 3 варіанти:

1. Попросіть Deflect зробити все за вас
Варіант 1

Ви можете попросити Deflect зробити все за вас: ми згенеруємо загальнодоступний сертифікат Let’s Encrypt для шифрування з’єднань між вашими читачами та браузерами Deflect, а також сертифікат походження для захисту з’єднань між Deflect та вашим сайтом (див. опцію 1 у посібнику з налаштування загальнодоступного сертифіката та опцію 1 у посібнику з панелі управління Deflect Dashboard). Ця опція рекомендується, якщо ви не знайомі з OpenSSL. Зв’язок між публічною та периферійною мережею буде зашифрований, і периферія може підтвердити, що вона розмовляє з вашим сервером, а не з іншим сервером, який видає себе за ваш.

2. Згенеруйте оригінальний сертифікат та зареєструйте його в компанії Deflect
Варіант 2

Якщо вам зручно використовувати OpenSSL, Deflect буде генерувати тільки відкритий сертифікат Let’sEncrypt, в той час як ви генеруєте свій оригінальний сертифікат та реєструєте його в Deflect, щоб з’єднання між браузерами та оригінальним сертифікатом можна було перевірити, і Deflect був упевнений, що він спілкується з вашим сервером (див. опцію 1 в керівництві по налаштуванню загальнодоступного сертифіката й опцію 2 в керівництві до панелі управління Deflect Dashboard). Це розширений варіант, рекомендований, якщо вам зручно використовувати OpenSSL і створювати запит на реєстрацію сертифіката. Вам не потрібно буде ділитися своїм приватним ключем із Deflect, і браузер все одно зможе перевірити ваш сертифікат погодження.

3. Згенеруйте самопідписаний сертифікат походження
Варіант 3

Ви також можете згенерувати самопідписаний сертифікат походження, не реєструючи його в Deflect. Deflect згенерує лише загальнодоступний сертифікат Let’s Encrypt, тоді як з’єднання між Deflect і вашим сайтом будуть зашифровані за допомогою вашого власного самопідписаного сертифіката (див. варіант 1 у посібнику з налаштування загальнодоступного сертифіката). Ви можете вибрати цю опцію, якщо не хочете нікому передавати свій приватний ключ, але не маєте досвіду роботи із запитами на підписання сертифікатів. Усі з’єднання будуть зашифровані, але Deflect не зможе підтвердити, що сертифікат дійсно належить вам. Якщо ваш сайт уже приймає HTTPS-з’єднання й у вас є сертифікат TLS, який ви хотіли б і далі використовувати, у вас є ще два варіанти:

4. Завантажте власний пакет TLS-сертифікатів

У цьому випадку, як з’єднання з Deflect, так і з’єднання між Deflect і вашим сайтом будуть зашифровані за допомогою вашого TLS-сертифіката (див. опцію 2 в посібнику з налаштування загальнодоступного сертифіката). Цей варіант дозволяє вам і далі використовувати сертифікат, який ви вже згенерували, але вимагає, щоб ви поділилися своїм приватним ключем із Deflect.

5. Використовуйте сторонній сертифікат на оригінальному сервері
Варіант 5

Попросіть Deflect згенерувати загальнодоступний сертифікат Let’s Encrypt, поки ви використовуєте сторонній сертифікат як сертифікат походження (див. варіант 1 у посібнику з налаштування загальнодоступного сертифіката). Цей параметр дає змогу й далі використовувати вже створений сертифікат, не передаючи нікому свій закритий ключ.

Шифрування дисків

Caching

Deflect практикує шифрування даних у стані спокою. Це означає, що всі наші периферійні сервери, хостингові сервери, сервери реєстрації та майже всі машини, які ми використовуємо, мають або повне шифрування диска, або шифрування файлової системи для захисту файлів, які вони зберігають. Ваш кеш вебтрафіку зберігається на зашифрованому диску.

Logging

Ваші журнали трафіку зберігаються в зашифрованому вигляді на периферійних серверах Deflect і в центральному сховищі всіх журналів Deflect. Ви також можете вимкнути реєстрацію журналів Deflect. Тоді ми будемо безпечно видаляти будь-які журнали трафіку, отримані на периферії, кожні 10 хвилин. Ви не будете отримувати жодної статистики трафіку в панелі керування, якщо захочете вимкнути ведення журналів трафіку Deflect.