Cisco IP Phone bezpečnosť na 9800/8875 (Unified CM)

Bezpečnostné funkcie chránia pred hrozbami vrátane ohrozenia identity telefónu a údajov. Tieto funkcie vytvárajú a udržiavajú overené komunikačné toky medzi telefónom a serverom Cisco Unified Communications Manager a zabezpečujú, že telefón používa iba digitálne podpísané súbory.

Cisco Unified Communications Manager verzie 8.5(1) a novšej obsahuje štandardne zabezpečenie, ktoré poskytuje nasledujúce funkcie zabezpečenia pre telefóny Cisco IP Phone bez spustenia klienta CTL:

• Podpisovanie konfiguračných súborov telefónu

• Šifrovanie konfiguračného súboru telefónu

• HTTPS so službou Tomcat a ďalšími webovými službami

Implementáciou zabezpečenia v systéme Cisco Unified Communications Manager zabránite krádeži identity telefónu a servera Cisco Unified Communications Manager, zabránite neoprávnenej manipulácii s údajmi a zabránite neoprávnenej manipulácii hovorov a toku médií.

Na zmiernenie týchto hrozieb telefónna sieť Cisco IP vytvára a udržiava zabezpečené (šifrované) komunikačné toky medzi telefónom a serverom, digitálne podpisuje súbory pred ich prenosom do telefónu a šifruje prúdy mediálnych tokov a signalizáciu hovorov medzi telefónmi Cisco IP Phone.

Certifikát LSC (Locally Significant Certificate) sa nainštaluje do telefónov po vykonaní potrebných úloh, ktoré sú priradené k funkcii CAPF (Certificate Authority Proxy Function). Na konfiguráciu LSC môžete použiť aplikáciu Cisco Unified Communications Manager Administration, ako je popísané v príručke zabezpečenia aplikácie Cisco Unified Communications Manager. Inštaláciu LSC môžete prípadne spustiť z ponuky Nastavenia zabezpečenia v telefóne. Táto ponuka vám tiež umožňuje aktualizovať alebo odstrániť LSC.

Telefóny používajú profil zabezpečenia telefónu, ktorý definuje, či je zariadenie nezabezpečené alebo zabezpečené. Informácie o použití profilu zabezpečenia v telefóne nájdete v dokumentácii k vydaniu konkrétnej aplikácie Cisco Unified Communications Manager.

Ak nakonfigurujete nastavenia týkajúce sa zabezpečenia v aplikácii Cisco Unified Communications Manager Administration, konfiguračný súbor telefónu bude obsahovať citlivé informácie. Ak chcete zabezpečiť súkromie konfiguračného súboru, musíte ho nakonfigurovať na šifrovanie. Podrobné informácie nájdete v dokumentácii ku konkrétnemu vydaniu aplikácie Cisco Unified Communications Manager.

Telefón vyhovuje federálnemu štandardu FIPS (Information Processing Standard). Na správne fungovanie vyžaduje režim FIPS veľkosť kľúča najmenej 2048 bitov. Ak je certifikát menší ako 2048 bitov, telefón sa nezaregistruje v aplikácii Cisco Unified Communications Manager a registrácia telefónu zlyhala. Veľkosť kľúča certifikátu nie je na displejoch telefónu kompatibilných s FIPS.

Ak má telefón LSC, pred zapnutím FIPS musíte aktualizovať veľkosť kľúča LSC na 2048 bitov alebo viac.

Nasledujúca tabuľka poskytuje prehľad funkcií zabezpečenia, ktoré telefóny podporujú. Ďalšie informácie nájdete v dokumentácii k vydaniu konkrétnej aplikácie Cisco Unified Communications Manager.

Ak chcete zobraziť režim zabezpečenia, stlačte tlačidlo Nastavenia a prejdite do časti Nastavenia siete a služby > Zabezpečenie.

Nasledujúca tabuľka obsahuje informácie o aktualizácii zoznamu dôveryhodných, výstražných hláseniach a význame. Ďalšie informácie nájdete v dokumentácii pre softvér Cisco Unified Communications Manager.

Ponuka Nastavenie zabezpečenia poskytuje informácie o rôznych nastaveniach zabezpečenia. Ponuka tiež poskytuje prístup k ponuke Zoznam dôveryhodných certifikátov a označuje, či je v telefóne nainštalovaný súbor CTL alebo ITL.

Nasledujúca tabuľka popisuje možnosti v ponuke Nastavenie zabezpečenia.

Cisco IP Phones podporuje autentifikáciu 802.1X.

Prepínače Cisco IP Phones a Cisco Catalyst tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. Cisco IP Phones poskytnúť mechanizmus prechodu EAPOL-om. Tento mechanizmus umožňuje pracovnej stanici pripojenej k Cisco IP Phone odovzdávať správy EAPOL do autentifikátora 802.1X na prepínači LAN. Mechanizmus priechodu zabezpečuje, že telefón IP nefunguje ako prepínač LAN na autentifikáciu koncového bodu údajov pred prístupom do siete.

Cisco IP Phones tiež poskytnúť proxy mechanizmus odhlásenia EAPOL. Ak sa lokálne pripojený počítač odpojí od telefónu IP, prepínač siete LAN nevidí fyzické prepojenie zlyhané, pretože spojenie medzi prepínačom LAN a telefónom IP je zachované. Aby sa nenarušila integrita siete, telefón IP odošle prepínaču v mene nadväzujúceho počítača správu EAPOL-Odhlásenie, ktorá spustí prepínač siete LAN na vymazanie položky overenia pre nadväzujúci počítač.

Podpora overovania 802.1X vyžaduje niekoľko komponentov:

• Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahovať prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie IP telefónov k portom prepínača LAN. Aktuálne vydanie prosepplikanta telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.

• Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom, ktorý autentifikuje telefón.

• Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

• Pred zapnutím overovania 802.1X v telefóne nakonfigurujte ostatné súčasti.

• Konfigurácia portu PC: Štandard 802.1X neberie do úvahy VLAN, a preto odporúča, aby bolo na konkrétnom porte prepínača autentifikované iba jedno zariadenie. Niektoré prepínače však podporujú viacdoménové overovanie. Konfigurácia prepínača určuje, či je možné pripojiť počítač k portu PC telefónu.

  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete zapnúť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP Phones podporovať proxy EAPOL-Logoff na monitorovanie autentifikačných výmen medzi prepínačom a pripojeným počítačom.

    Ďalšie informácie o podpore štandardu IEEE 802.1X na prepínačoch Cisco Catalyst nájdete v príručkách konfigurácie prepínačov Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Vypnuté: Ak prepínač nepodporuje viacero zariadení kompatibilných so štandardom 802.1X na rovnakom porte, mali by ste vypnúť port PC, keď je povolené overovanie 802.1X. Ak tento port nevypnete a potom sa k nemu pokúsite pripojiť počítač, prepínač zakáže sieťový prístup k telefónu aj počítaču.

• Konfigurovať hlasovú sieť VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínačov.
  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete pokračovať v používaní hlasovej siete VLAN.
  • Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, zakážte hlasovú sieť VLAN a zvážte priradenie portu k natívnej sieti VLAN.
• (Len pre stolový telefón Cisco Phone 9800 Series)

  Telefón Cisco Desk Phone 9800 Series má v PID inú predvoľbu ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho telefónu Cisco Desk Phone 9800 Series.

  Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť polomer· Meno používateľa na začiatok na DP alebo obsahuje DP. Môžete ho nastaviť v oboch nasledujúcich častiach:

  • Zásada > Podmienky > Podmienky knižnice

  • Politika > Množiny politík> Autorizačná politika > Autorizačné pravidlo 1

Keď je implementované zabezpečenie telefónu, môžete identifikovať zabezpečené telefónne hovory podľa ikon na obrazovke telefónu. Zabezpečenie a ochranu pripojeného telefónu môžete určiť aj vtedy, ak sa na začiatku hovoru ozve tón zabezpečenia.

Pri zabezpečenom hovore sú všetky signalizácie hovorov a prúdy mediálnych údajov šifrované. Zabezpečený hovor ponúka vysokú úroveň zabezpečenia a poskytuje integritu a súkromie hovoru. Keď je prebiehajúci hovor šifrovaný, zobrazí sa ikona zabezpečeného hovoru na linke. V prípade zabezpečeného telefónu môžete tiež zobraziť overenú ikonu alebo na ikonu šifrovania vedľa pripojeného servera v ponuke telefón (Nastavenia > Informácie o tomto zariadení).

Pri zabezpečenom hovore sa na začiatku hovoru prehrá bezpečnostný tón, ktorý oznamuje, že aj druhý pripojený telefón prijíma a vysiela zabezpečený zvuk. Ak sa hovor pripojí k nezabezpečenému telefónu, tón zabezpečenia sa neprehrá.

Keď je telefón v aplikácii Cisco Unified Communications Manager nakonfigurovaný ako bezpečný (šifrovaný a dôveryhodný), môže dostať chránený stav. Potom, ak je to potrebné, môže byť chránený telefón nakonfigurovaný tak, aby na začiatku hovoru prehral indikačný tón:

• Chránené zariadenie: Ak chcete zmeniť stav zabezpečeného telefónu na chránený, označte políčko Chránené zariadenie v okne Konfigurácia telefónu v aplikácii Cisco Unified Communications Manager Administration (zariadenie > telefón).

• Prehrať bezpečný indikačný tón: Ak chcete chránenému telefónu povoliť prehrávanie zabezpečeného alebo nezabezpečeného indikačného tónu, nastavte nastavenie Prehrať tón indikácie zabezpečené na hodnotu Pravda. Prehrať tón indikácie zabezpečeného prenosu je predvolene nastavený na hodnotu Nepravda. Túto možnosť nastavíte v aplikácii Cisco Unified Communications Manager Administration (System > Service Parameters). Vyberte server a potom službu Unified Communications Manager. V okne Konfigurácia parametrov služby vyberte možnosť v oblasti Funkcia - Tón zabezpečeného prenosu. Predvolená hodnota je False.

Keďže všetky zariadenia WLAN, ktoré sú v dosahu, môžu prijímať všetku ostatnú prevádzku WLAN, zabezpečenie hlasovej komunikácie je v sieťach WLAN rozhodujúce. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytiť hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení sietí nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Riešenie Cisco Wireless IP telefónie poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje:

• Otvorené overenie: Každé bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) mohla byť nešifrovaná.

• Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje transakcie EAP v rámci tunela TLS (Transport Level Security) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).

  Tunel TLS používa poverenia PAC (Protected Access Credentials) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle ID autority (AID) klientovi (telefónu), ktorý následne vyberie príslušné PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC primárnym kľúčom. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa tunel TLS. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.

  V systéme ISE predvolene platnosť PAC vyprší o týždeň. Ak má telefón PAC s vypršanou platnosťou, overenie pomocou servera RADIUS trvá dlhšie, kým telefón dostane nový PAC. Aby ste sa vyhli oneskoreniam pri poskytovaní PAC, nastavte dobu vypršania platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.

• Autentifikácia Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS vyžaduje certifikát klienta na autentifikáciu a prístup do siete. V prípade bezdrôtového protokolu EAP-TLS môže byť certifikátom klienta certifikát MIC, LSC alebo certifikát nainštalovaný používateľom.

• Protected Extensible Authentication Protocol (PEAP): proprietárna schéma vzájomnej autentifikácie založená na hesle spoločnosti Cisco medzi klientom (telefónom) a serverom RADIUS. Telefón môže používať protokol PEAP na overenie v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.

• Predzdieľaný kľúč (PSK): Telefón podporuje formát ASCII. Tento formát musíte použiť pri nastavovaní predzdieľaného kľúča WPA/WPA2/SAE:

  ASCII: reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a veľké písmená A-Z a špeciálne znaky)

  Príklad: GREG123567@9ZX&W

Nasledujúce schémy overovania používajú server RADIUS na správu autentifikačných kľúčov:

• WPA/WPA2/WPA3: Používa informácie zo servera RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako predzdieľané kľúče WPA, ktoré sú uložené v prístupovom bode a telefóne.

• Rýchly zabezpečený roaming: Používa informácie zo servera RADIUS a bezdrôtového doménového servera (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu. Telefóny Cisco Desk Phone 9861 a 9871 a Cisco Video Phone 8875 podporujú štandard 802.11r (FT). Podporované sú vzduchom aj DS, ktoré umožňujú rýchly a bezpečný roaming. Dôrazne však odporúčame použiť metódu 802.11r (FT) nad vzduchom.

Pri zabezpečení WPA/WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Používateľské meno a heslo EAP, ktoré sa používajú na overenie, však musia byť zadané na každom telefóne.

Aby bola hlasová prevádzka bezpečná, telefón podporuje šifrovanie TKIP a AES. Keď sa tieto mechanizmy používajú na šifrovanie, medzi prístupovým bodom a telefónom sa šifrujú signalizačné pakety SIP aj hlasové pakety protokolu RTP (Real-Time Transport Protocol).

TKIP

WPA používa šifrovanie TKIP, ktoré má oproti WEP niekoľko vylepšení. TKIP poskytuje šifrovanie kľúčom pre každý paket a dlhšie inicializačné vektory (IV), ktoré posilňujú šifrovanie. Okrem toho kontrola integrity správ (MIC) zabezpečuje, že šifrované pakety sa nemenia. Protokol TKIP odstraňuje predvídateľnosť kľúča WEP, ktorá pomáha narušiteľom dešifrovať kľúč WEP.

AES

Metóda šifrovania používaná na overovanie WPA2/WPA3. Tento národný štandard pre šifrovanie používa symetrický algoritmus, ktorý má rovnaký kľúč na šifrovanie a dešifrovanie. AES používa šifrovanie Cipher Blocking Chain (CBC) s veľkosťou 128 bitov, ktoré podporuje minimálne veľkosti kľúčov 128 bitov, 192 bitov a 256 bitov. Telefón podporuje veľkosť kľúča 256 bitov.

Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou autentifikačnou a šifrovacou schémou. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte na prístupových bodoch a v telefóne nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania.

Niektoré schémy overovania vyžadujú špecifické typy šifrovania.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre telefón, ktorá zodpovedá konfigurácii prístupového bodu.

Assured Services SIP (AS-SIP) je kolekcia funkcií a protokolov, ktoré ponúkajú vysoko bezpečný tok hovorov pre telefóny Cisco IP a telefóny tretích strán. Nasledujúce funkcie sú spoločne známe ako AS-SIP:

• Viacúrovňová priorita a predkupné právo (MLPP)
• Bod kódu diferencovaných služieb (DSCP)
• Transport Layer Security (TLS) a Secure Real-time Transport Protocol (SRTP)
• Internet Protocol version 6 (IPv6)

AS-SIP sa často používa s viacúrovňovou precedenciou a preempciou (MLPP) na uprednostnenie hovorov počas núdzovej situácie. Pomocou funkcie MLPP priraďujete odchádzajúcim hovorom úroveň priority, od úrovne 1 (nízka) po úroveň 5 (vysoká). Po prijatí hovoru sa na telefóne zobrazí ikona úrovne priority hovoru.

Ak chcete nakonfigurovať AS-SIP, vykonajte v aplikácii Cisco Unified Communications Manager nasledujúce úlohy:

• Konfigurácia používateľa súhrnu – nakonfigurujte koncového používateľa tak, aby používal overenie súhrnu pre požiadavky SIP.
• Konfigurovať zabezpečený port telefónu SIP – aplikácia Cisco Unified Communications Manager používa tento port na počúvanie telefónov SIP pri registrácii liniek SIP prostredníctvom protokolu TLS.
• Reštartovanie služieb – po nakonfigurovaní zabezpečeného portu reštartujte služby Cisco Unified Communications Manager a poskytovateľa Cisco CTL. Konfigurácia profilu SIP pre AS-SIP-Nakonfigurujte profil SIP s nastaveniami SIP pre koncové body AS-SIP a prenosové spoje SIP. Parametre špecifické pre telefón sa nesťahujú do telefónu AS-SIP tretej strany. Používa ich iba aplikácia Cisco Unified Manager. Telefóny tretích strán musia lokálne nakonfigurovať rovnaké nastavenia.
• Konfigurácia profilu zabezpečenia telefónu pre AS-SIP – Profil zabezpečenia telefónu môžete použiť na priradenie nastavení zabezpečenia, ako sú napríklad TLS, SRTP a overenie súhrnu.
• Konfigurácia koncového bodu AS-SIP – konfigurácia zariadenia Cisco IP Phone alebo koncového bodu tretej strany s podporou AS-SIP.
• Priradiť zariadenie ku koncovému používateľovi – priraďte koncový bod k používateľovi.
• Konfigurácia profilu zabezpečenia prenosového spoja SIP pre AS-SIP – profil zabezpečenia prenosového spoja SIP môžete použiť na priradenie funkcií zabezpečenia, ako je napríklad protokol TLS alebo overenie súhrnu, do prenosového spoja SIP.
• Konfigurovať prenosový spoj SIP pre AS-SIP – nakonfigurujte prenosový spoj SIP s podporou AS-SIP.
• Konfigurácia funkcií AS-SIP – konfigurácia ďalších funkcií AS-SIP, napríklad MLPP, TLS, V.150 a IPv6.

Podrobné informácie o konfigurácii AS-SIP nájdete v kapitole "Konfigurácia koncových bodov AS-SIP" v Príručke konfigurácie funkcií pre Cisco Unified Communications Manager.

Keď sú v telefóne nakonfigurované kódy nútenej autorizácie (FAC) alebo kódy klienta (CMC), alebo obe, používatelia musia zadať požadované heslá na vytočenie čísla.

Ďalšie informácie o nastavení FAC a CMC v Cisco Unified Communications Manager nájdete v kapitole "Kódy klientskej záležitosti a kódy nútenej autorizácie" v Príručke konfigurácie funkcií pre Cisco Unified Communications Manager, Vydanie 12.5(1) alebo novšie.

Funkcia Cisco VPN pomáha zachovať zabezpečenie siete a zároveň poskytuje používateľom bezpečný a spoľahlivý spôsob pripojenia k podnikovej sieti. Túto funkciu použite, keď:

• Telefón sa nachádza mimo dôveryhodnej siete
• Sieťová prevádzka medzi telefónom a Cisco Unified Communications Manager prechádza nedôveryhodnou sieťou

V VPN existujú tri bežné prístupy k autentifikácii klienta:

• Digitálne certifikáty
• Heslá
• Meno používateľa a heslo

Každá metóda má svoje výhody. Ak to však vaša firemná bezpečnostná politika povoľuje, odporúčame prístup založený na certifikátoch, pretože certifikáty umožňujú bezproblémové prihlásenie bez zásahu používateľa. Podporované sú certifikáty LSC aj MIC.

Ak chcete nakonfigurovať niektorú z VPN funkcií, najprv zriaďte zariadenie lokálne a potom môžete zariadenie nasadiť mimo priestorov.

Ďalšie informácie o overovaní certifikácie a práci so sieťou VPN nájdete v téme Konfigurácia telefónu AnyConnect VPN pomocou overenia certifikátom na ASA.

Pri prístupe založenom na hesle alebo mene používateľa a hesle sa používateľovi zobrazí výzva na zadanie prihlasovacích poverení. Nastavte prihlasovacie poverenia používateľa v súlade so zásadami zabezpečenia vašej spoločnosti. Môžete tiež nakonfigurovať nastavenie Povoliť pretrvávanie hesla tak, aby sa používateľské heslo uložilo do telefónu. Heslo používateľa sa uchováva, kým nedôjde k neúspešnému pokusu o prihlásenie, kým používateľ manuálne nevymaže heslo alebo kým sa telefón neresetuje alebo nestratí napájanie.

Ďalším užitočným nástrojom je nastavenie Povoliť automatickú detekciu siete. Keď začiarknete toto políčko, VPN klient sa môže spustiť len vtedy, keď zistí, že sa nachádza mimo podnikovej siete. Toto nastavenie je predvolene zakázané.

Telefón Cisco podporuje ako typ klienta klienta Cisco SVC IPPhone Client v1.0.

Ďalšie informácie o konfigurácii VPN na Unified CM nájdete v téme Sprievodca konfiguráciou funkcií pre Cisco Unified Communications Manager.

Funkcia Cisco VPN využíva na zachovanie zabezpečenia siete SSL technológiu Secure Sockets Layer (Secure Sockets Layer).