Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Protocollo di sicurezza del livello trasporto

Corey Plett|Ultimo aggiornamento: 06/12/2016
|
1 Collaboratore

Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Questo argomento per i professionisti IT descrive funzionamento il protocollo Transport Layer Security (TLS) e fornisce collegamenti alla RFC IETF per TLS 1.2, TLS 1.1 e TLS 1.0.

I protocolli TLS (e SSL) si trovano tra il livello di protocollo dell'applicazione e il livello di TCP/IP, in cui possono protetto e inviare i dati dell'applicazione per il livello di trasporto. Dato che i protocolli funzionano tra il livello di applicazione e il livello di trasporto, TLS e SSL può supportare più protocolli di livello applicazione.

SSL e TLS presupporre che un trasporto orientato alla connessione, in genere TCP, sia in uso. Il protocollo consente alle applicazioni client e server rilevare i rischi di sicurezza seguenti:

  • Intromissioni nei messaggi

  • Intercettazione di messaggi

  • Falsificazioni messaggio

I protocolli TLS e SSL possono essere suddivisi in due livelli. Il primo livello è costituito dal protocollo di applicazione e i protocolli handshake tre: il protocollo handshake, il protocollo specifica cipher cambia e il protocollo di avviso. Il secondo livello è il protocollo di record. L'immagine seguente illustra i diversi livelli e i relativi elementi.

Livelli di protocollo TLS e SSL

Il SSP Schannel implementa i protocolli TLS e SSL senza alcuna modifica. Il protocollo SSL è proprietario, ma Internet ingegneria Task Force, si ottengono le specifiche TLS pubbliche. La tabella seguente elenca le specifiche per ogni versione TLS. Ogni specifica contiene informazioni su:

  • Il protocollo TLS Record

  • I protocolli di handshake TLS: - protocollo specifica cipher modifica - avvisare protocollo

  • Calcoli crittografici

  • Gruppi di crittografia a obbligatori

  • Protocollo di dati dell'applicazione

RFC 5246 - Transport Layer Security (TLS) Protocol versione 1.2

RFC 4346 - Transport Layer Security (TLS) Protocol versione 1.1

RFC 2246 - la versione del protocollo TLS 1.0

Ripresa della sessione TLS

È stato introdotto in Windows Server 2012 R2, SSP Schannel implementato la parte sul lato server di ripresa sessione TLS. L'implementazione di RFC 5077 sul lato client è stato aggiunto in Windows 8.

I dispositivi che connettono TLS ai server devono riconnettersi spesso. Riavvio della sessione TLS riduce il costo di stabilire connessioni TLS poiché ripresa comporta un breve handshake TLS. Questo facilita ulteriori tentativi di ripresa consentendo un gruppo di server TLS riprendere l'esecuzione di altro sessioni TLS. Questa modifica fornisce i seguenti risparmi per qualsiasi client TLS che supporta 5077 RFC, inclusi i dispositivi Windows Phone e Windows RT:

  • Riduzione dell'utilizzo di risorse nel server.

  • Riduzione della larghezza di banda, che determina un miglioramento dell'efficienza delle connessioni client.

  • Riduzione del tempo impiegato per l'handshake TLS a causa di resumptions della connessione

Per informazioni sulla ripresa di sessione TLS senza informazioni sullo stato, vedi il documento IETF RFC 5077.

Negoziazione del protocollo applicativo

Windows Server 2012 R2 e Windows 8.1 introduce il supporto che consente la negoziazione del protocollo sul lato client TLS applicazione. Le applicazioni possono sfruttare protocolli nell'ambito dello sviluppo standard HTTP 2.0 e gli utenti possono accedere servizi online, ad esempio Google e Twitter con le app che esegue il protocollo SPDY.

Per informazioni su come funziona la negoziazione del protocollo dell'applicazione, vedi estensione negoziazione del protocollo livello applicazione Transport Layer Security (TLS).

Supporto TLS per le estensioni del Server nome indicazione

La funzionalità Indicazione nome server (SNI, Server Name Indication) estende i protocolli SSL e TLS per consentire la corretta identificazione del server quando su un singolo server sono in esecuzione numerose immagini virtuali. In uno scenario di hosting virtuale, più domini (ognuno con il proprio certificato potenzialmente distinta) sono ospitati in un server. In questo caso, il server non ha alcun modo di conoscere prima che certificato da inviare al client. SNI consente al client informare il dominio di destinazione in precedenza nel protocollo e consente al server correttamente selezionare il certificato appropriato.

Questa funzionalità aggiuntiva:

  • Ti permette di ospitare più siti Web SSL su una singola Internet Protocol combinazione e porta

  • Riduce l'utilizzo di memoria quando più siti Web SSL sono ospitati in un singolo server Web.

  • Consente a più utenti di connettersi a siti Web SSL contemporaneamente

© 2017 Microsoft