Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los conceptos básicos de protocolo de Secure Sockets Layer (SSL), y proporciona a una transacción y a una captura de paquetes de la muestra.
La unidad básica de datos en el SSL es un expediente. Cada expediente consiste en una encabezado de registro del cinco-byte, seguida por los datos.
Tipo | Versión | Longitud | ||
T | VH | VL | LH | LL |
Hay cuatro tipos de registro en el SSL:
La versión de registro es un valor 16-bits y se formata en la orden de red.
Nota: Para el SSL versión 3 (SSLv3), la versión es 0x0300. Para la versión 1 (TLSv1) de Transport Layer Security, la versión es 0x0301. El dispositivo de seguridad adaptante de Cisco (ASA) no utiliza la versión del SSL versión 2 (SSLv2), que utiliza la versión 0x0002, o cualquier de TLS mayor que TLSv1.
La longitud de registro es un valor 16-byte y se formata en la orden de red.
En la teoría, esto significa que un único registro puede ser hasta 65,535 (2^16 -1) bytes de largo. RFC2246 los estados TLSv1 que el Largo máximo es 16,383 (2^14 -1) bytes. Los productos Microsoft (Microsoft Internet Explorer y Servicios de Internet Information Server) se saben para exceder estos límites.
Esta sección describe los cuatro tipos de expedientes SSL.
Los expedientes del apretón de manos contienen un conjunto de los mensajes que son para apretón de manos usado. Éstos son los mensajes y sus valores:
En el caso simple, los expedientes del apretón de manos no se cifran. Sin embargo, un expediente del apretón de manos que contiene un mensaje acabado se cifra siempre, pues ocurre siempre después de que un expediente espec. de la cifra del cambio (CCS).
Los expedientes CCS se utilizan para indicar un cambio en las cifras criptográficas. Inmediatamente después que el expediente CCS, todos los datos se cifra con la nueva cifra. Los expedientes CCS pudieron o no pudieron ser cifrados; en una conexión simple con un solo apretón de manos, el expediente CCS no se cifra.
Los expedientes de la alerta se utilizan para indicar al par que ha ocurrido una condición. Algunas alertas son advertencias, mientras que otras son fatales y hacen la conexión fallar. Las alertas pudieron o no se pudieron cifrar, y pudieron ocurrir durante un apretón de manos o durante la Transferencia de datos. Hay dos tipos de alertas:
Estos expedientes contienen los datos de aplicación real. Estos mensajes son llevados por la capa de registro y hechos fragmentos, comprimidos, y cifrados, sobre la base del estado de la conexión actual.
Esta sección describe una transacción de la muestra entre el cliente y servidor.
Cuando un cliente SSL y un servidor comienzan a comunicar, están de acuerdo con una Versión del protocolo, los algoritmos criptográficos selectos, se autentican opcionalmente, y utilizan las técnicas de la encripción de clave pública para generar los secretos compartidos. Estos procesos se realizan en el protocolo del apretón de manos. En resumen, el cliente envía un mensaje de los saludos del cliente al servidor, que debe responder con un mensaje de los saludos del servidor u ocurre un error fatal y la conexión falla. Los saludos del cliente y los saludos del servidor se utilizan para establecer las capacidades de la mejora de la seguridad entre el cliente y servidor.
Saludos del cliente
El saludo del cliente envía estos atributos al servidor:
Nota: La dirección IP del servidor en las capturas es 10.0.0.2 y la dirección IP del cliente es 10.0.0.1.
Saludos del servidor
El servidor devuelve estos atributos al cliente:
Para las peticiones de la reanudación de la sesión SSL:
Saludos del servidor hechos
El mensaje hecho los saludos del servidor es enviado por el servidor para indicar el extremo de los saludos del servidor y de los mensajes asociados. Después de que envíe este mensaje, el servidor espera una respuesta del cliente. Tras el recibo de los saludos del servidor hechos el mensaje, el cliente verifica que el servidor proporcionó a un certificado válido, si procede, y controla que los parámetros de los saludos del servidor son aceptables.
Certificado de servidor, intercambio de la clave del servidor, y solicitud de certificado (opcional)
Certificado del cliente (opcional)
Éste es el primer mensaje que el cliente envía después de que él reciba un mensaje hecho los saludos del servidor. Este mensaje se envía solamente si el servidor pide un certificado. Si no hay certificado conveniente disponible, el cliente envía una alerta del no_certificate en lugar de otro. Esta alerta es solamente una advertencia; sin embargo, el servidor pudo responder con una alerta fatal del error del apretón de manos si se requiere la autenticación de cliente. Los Certificados ADO del cliente deben hacer juego los parámetros especificados servidor ADO.
Intercambio de la clave del cliente
El contenido de este mensaje depende del algoritmo de la clave pública seleccionado entre los saludos del cliente y los mensajes de los saludos del servidor. El cliente utiliza una clave del premaster cifrada por el algoritmo de Rivest-Shamir-Addleman (RSA) o el ADO para el acuerdo y la autenticación dominantes. Cuando el RSA se utiliza para la autenticación de servidor y el intercambio de la clave, un pre_master_secret 48-byte es generado por el cliente, cifrado conforme a la clave pública del servidor, y enviado al servidor. El servidor utiliza la clave privada para desencriptar el pre_master_secret. Ambas partes entonces convierten el pre_master_secret en el master_secret.
El certificado verifica (opcional)
Si el cliente envía un certificado con la capacidad de firma, un certificado firmado digitalmente verifica que el mensaje esté enviado para verificar explícitamente el certificado.
Cambie los mensajes espec. de la cifra
El mensaje espec. de la cifra del cambio es enviado por el cliente, y el cliente copia espec. pendiente de la cifra (el nuevo) en espec. actual de la cifra (la que fue utilizado previamente). El protocolo espec. de la cifra del cambio existe para las transiciones de señal en las estrategias que cifran. El protocolo consiste en un solo mensaje, que se cifra y se comprime bajo (no espec. actual de la cifra el pendiente). El mensaje es enviado por ambos el cliente y servidor para notificar a la parte receptora que los expedientes subsiguientes están protegidos bajo espec. de la cifra y claves recientemente negociadas. La recepción de este mensaje hace al receptor copiar leído hasta que finalice el estado en el estado actual leído. El cliente envía un mensaje espec. de la cifra del cambio después de que el intercambio y el certificado de la clave del apretón de manos verifiquen los mensajes (eventualmente), y el servidor envía uno después de que procese con éxito el mensaje de intercambio dominante que recibió del cliente. Cuando se reanuda una sesión anterior, el mensaje espec. de la cifra del cambio se envía después de los mensajes Hello Messages. En las capturas, el intercambio del cliente, la cifra del cambio, y los mensajes acabados se envían como solo mensaje del cliente.
Mensajes acabados
Un mensaje acabado se envía siempre inmediatamente después que un mensaje espec. de la cifra del cambio para verificar que los procesos dominantes del intercambio y de autenticación eran acertados. El mensaje acabado es el primer paquete protegido con los algoritmos, las claves, y los secretos recientemente negociados. No se requiere ningún acuse de recibo del mensaje acabado; los partidos pueden comenzar a enviar los datos encriptados inmediatamente después que envían el mensaje acabado. Los beneficiarios de los mensajes Finished deben verificar que el contenido esté correcto.