Salt la conținut
Certificate SSL

Ce este Forward Secrecy?

Protejeaza sesiunile trecute chiar daca cheia privata e compromisa

Definiție Forward Secrecy

Forward Secrecy (sau Perfect Forward Secrecy) este o proprietate a criptarii care genereaza chei unice pentru fiecare sesiune. Daca un atacator obtine cheia privata a serverului, NU poate decripta conversatiile trecute, deoarece fiecare sesiune a folosit o cheie diferita, deja stearsa.

De ce contează Forward Secrecy

Forward secrecy (perfect forward secrecy) garanteaza ca sesiunile TLS trecute raman confidentiale chiar daca cheia privata a serverului este compromisa ulterior. Fara forward secrecy, un atacator care capteaza traficul criptat si obtine mai tarziu cheia privata poate decripta retroactiv toate conversatiile inregistrate — inclusiv parole si date financiare.

Cum verifici Forward Secrecy

SoftAudit analizeaza cipher suite-urile oferite de server si verifica daca toate suporta schimbul de chei efemer: ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) sau DHE (Diffie-Hellman Ephemeral). Cipher suite-urile cu schimb static de chei (RSA key exchange) sunt semnalate ca lipsite de forward secrecy.

Verifică certificatul SSL →

Greșeli frecvente

Activarea TLS 1.3 (care ofera forward secrecy obligatoriu) dar pastrarea TLS 1.2 cu cipher suite-uri RSA ca fallback anuleaza protectia pentru clientii care negociaza TLS 1.2. Utilizarea grupurilor DH cu parametri mai mici de 2048 biti reduce semnificativ rezistenta schimbului de chei.

Bune practici

Configureaza serverul sa prefere cipher suite-uri ECDHE cu curbe puternice (P-256, X25519) si elimina complet cipher suite-urile fara schimb efemer de chei. In TLS 1.2, dezactiveaza RSA key exchange si foloseste doar ECDHE-RSA sau ECDHE-ECDSA, iar in TLS 1.3 forward secrecy este garantat prin design.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica forward secrecy pe site-ul tău.

Verificare SSL — Gratuit

Întrebări frecvente

Ce este Forward Secrecy?

Forward Secrecy (sau Perfect Forward Secrecy) este o proprietate a criptarii care genereaza chei unice pentru fiecare sesiune. Daca un atacator obtine cheia privata a serverului, NU poate decripta conversatiile trecute, deoarece fiecare sesiune a folosit o cheie diferita, deja stearsa.

De ce este important Forward Secrecy pentru un website?

Forward secrecy (perfect forward secrecy) garanteaza ca sesiunile TLS trecute raman confidentiale chiar daca cheia privata a serverului este compromisa ulterior. Fara forward secrecy, un atacator care capteaza traficul criptat si obtine mai tarziu cheia privata poate decripta retroactiv toate conversatiile inregistrate — inclusiv parole si date financiare.

Termeni asociați

Înapoi la glosarul complet