לחיצת היד

כשהתחלתם לקרוא את הקומיקס הזה, הדפדפן שלכם הציג מנעול ירוק בשורת הכתובת.

איך זה קרה?

הדפדפן שלכם דיבר עם השרת שלנו, איפה שהקומיקס הזה מאוחסן, ויחד הם יצרו חיבור מאובטח להעברת מידע.

אבל קודם הם היו צריכים להסכים על איך לתקשר באופן מאובטח.

אם המשא ומתן הזה נכשל, הדפדפן שלכם מודיע לכם על כך על ידי הצגת שגיאה או תקלה.
אם הם מגיעים להסכמה, הדפדפן שלכם מציג בשמחה מנעול ירוק בשורת הכתובת.

התהליך הזה, המשא ומתן בין הדפדפן לשרת, נקרא 'לחיצת היד' (The Handshake).

הוא קורה ממש מהר. מיד נראה לכם איך זה עובד.

Browserbird תהיה הדפדפן שלכם.
Compugter יהיה השרת שלנו.

הבמה שלכם חבר'ה!

מוכנים? ככה 'לחיצת היד' נראית בהילוך איטי.

כיף משמאל
כיף מימין
נגיעת המחץ
מסובבים הצידה
דיגי דיגי

וזה הכל!

בואו נעשה את זה שוב, אבל הפעם יותר מהר.

כיף משמאל - כיף מימין - נגיעת מחץ - סיבוב - דיגי דיגי.

ע-ו-ד פ-ע-ם!

מספיק!

בואו נפרק את זה. שלב אחרי שלב.

שלב ראשון: כיף משמאל. קוראים לזה גם "נעים להכיר, אני הלקוח".

אני שולח ל-Compugter רשימה של גרסאות SSL/TLS ואלגוריתמי הצפנה שאני יכול לעבוד איתם. כיום אני מעדיף TLS 1.3, ולכן אני שולח גם key_share.

מונח מפונפן יותר לרשימה הזאת הוא "cipher suite".

ככה תוכלו להישמע מקצוענים בארוחת שישי.

הפרוטוקולים SSL ו-TLS התפתחו לאורך השנים, ונדבר עליהם יותר בהמשך.

ואז אני מחכה לתשובה מ-Compugter.

שלב שני: כיף מימין. קוראים לזה גם "נעים להכיר, אני השרת".

אני בוחר TLS 1.3 ו-cipher suite, ושולח גם את key_share שלי. מכאן ואילך TLS 1.3 מצפין את שאר תהליך ה-handshake.

מיד לאחר מכן אני שולח את התעודה שלי, הכוללת את המפתח הציבורי, כדי שיוכלו לאמת את זהותי.

שלב שלוש: שקה אנכית. הידוע גם בשם Key Share.

אני בודקת שהתעודה של Compugter היא אמיתית.

מאחר ששנינו שלחנו קודם key share, שנינו יכולים להפיק את אותו סוד וכך מתקבלת סודיות.

שלב ארבע: סיבוב אופקי של השקה. הידוע גם בשם Finished Messages.

מה-ServerHello (שלב שני) ואילך, ה-handshake מוצפן.

הם מחליפים הודעות Finished כדי להוכיח שהפיקו אותו סוד — ובסבב אחד בלבד מפתחות הסשן מוכנים.

שלב חמישי: דיגי דיגי. עכשיו הכל מאובטח.
מעכשיו כל המידע שעובר בין Browserbird ו-Compugter בשני הכיוונים מאובטח להמשך השיחה.

סיסמאות, פרטי כרטיס אשראי, הכל.

פשוט, נכון?

בפעם הבאה שאתם מתחברים לאתר באופן מאובטח עם HTTPS, תעשו עם הדפדפן שלכם את נגיעת המחץ כי עכשיו אתם מכירים את לחיצת היד הסודית שלהם.

בפרק הבא של HowHTTPS.works...

TLS, SSL, HTTPS וואי וואי! בדיוק אכלתי מרק ראשי תיבות לארוחת צהריים. מה המשמעויות שלהם? האם הם כולם אותו דבר?

המשיכו בקריאה