В контекста на цифровите технологии вече не става въпрос за рекорди à la Olympia под мотото "по-бързо, по-високо, по-далеч". Производителността на крайните устройства, все по-бързите скорости на трансфер или разнообразието от удобни приложения са едно. Друг е въпросът, че когато сърфираме, използваме социалните медии и други услуги в интернет, практически всяка секунда разкриваме факти за себе си, които не бива да попадат в ръцете на всеки. Това включва адреси, банкови сметки, номера на кредитни карти и други чувствителни данни.
Модерната дума на деня е сигурност. Или: Как мога активно и пасивно да гарантирам, че моите данни, които разкривам чрез интернет и изпращам по целия свят, са защитени от неразрешен достъп от трети страни? Тук могат да помогнат функции като SSL и TLS - методи за криптиране, предназначени да гарантират сигурността ми в цифровия свят.
Как работи SSL сертификатът
SSL (Secure Sockets Layer) е протокол за удостоверяване и криптиране на връзки в интернет. Първоначалната процедура SSL вече е остаряла и е заменена от TLS (Transport Layer Security). Въпреки това терминът SSL се е запазил и до днес.
За да обясним как работи, нека вземем за пример поръчка на клиент в онлайн магазин. Клиентът (тук клиентът) винаги установява криптирана SSL връзка. Първата стъпка е т.нар. handshake, при който се генерира параметър за криптиране на сесията. След това сървърът на магазина отговаря, като изпраща публичния си ключ на клиента заедно със своя SSL сертификат. Това от своя страна изпраща Сертификат удостоверяване на автентичността въз основа на списък с известни удостоверяващи органи - Сертификат или Удостоверяващ орган = удостоверяващ орган за цифрови сертификати. Ако удостоверяващият орган не е известен, повечето браузъри отварят прозорец, който дава възможност на потребителя да приеме или отхвърли сертификата на своя отговорност.
Сега клиентът генерира симетричен ключ, който се криптира с публичния ключ на сървъра, и го изпраща обратно. След това и клиентът, и сървърът знаят кода за криптиране на потребителските данни и се установява защитена връзка.
Разлики между често използваните SSL сертификати
Съществуват различни версии на SSL сертификати, които зависят от нуждите на заявителя и също така се различават по цена. Факторите са например силата на криптиране (стандартните стойности са 128 или 256 бита), видът на валидиране и съвместимостта или приемането на браузъра.
Сертификати, валидирани за домейни (валидиране на домейни)
Удостоверенията, валидирани за домейни, са най-разпространени. Чрез регулиран трафик на електронна поща удостоверяващият орган проверява дали заявителят на SSL сертификат наистина е собственик на домейна. След потвърждаване сертификатът се издава в много кратък срок. Този вариант се използва предимно за малки уебсайтове, блогове, форуми, пощенски сървъри и интранет приложения и е най-евтината алтернатива.
Удостоверени от организацията сертификати (Удостоверяване от организацията)
Процесът е малко по-сложен за сертификат, валидиран от организация. Тук се проверява не само домейнът, но и самоличността. Операторът на уебсайта - обикновено фирма - трябва да докаже с определени документи, че наистина е собственик на домейна. Проверката за идентичност на сертификата се различава при различните доставчици. Обикновено се изисква извлечение от търговския регистър, прави се сравнение с банковите данни и се установява телефонен контакт между заявителя и доставчика. Удостоверените от организацията сертификати са подходящи за фирмени уебсайтове, уеб магазини и уеб поща.
Разширено валидиране
Третата версия е разширеното валидиране. Такива сертифицирани уебсайтове могат да бъдат разпознати по зеления надпис в адресния ред на браузъра. Тази визуална обратна връзка показва, че връзката е особено надеждна. Тези, които извършват платежните си операции чрез онлайн банкиране, са запознати с това от банките и спестовните каси. Удостоверяващият орган процедира по подобен начин, както при удостоверенията, утвърдени от организацията, но допълнително проверява дали заявителят наистина е служител на съответното дружество и има право да придобие разширено удостоверение за валидност.
EV сертификатите винаги са криптирани с 256 бита и постигат възможно най-голямо приемане от всички браузъри. Освен вече споменатите зелени букви, в адресния ред се изписва и името и седалището на дружеството.
Кой орган за сертифициране е правилният?
Съществуват голям брой органи за издаване на сертификати (CA) в различни държави, така че заинтересованата страна може лесно да загуби информация за всички тях. Често не е възможно да се проследи коя компания или държавна агенция стои зад тях. Критиците вече говорят за "лотария за сертифициране", която не предлага достатъчно прозрачност и надеждност. Във всеки случай Bundesdruckerei и нейното подразделение D-Trust са изцяло в ръцете на Германия. Много други агенции работят с американски междинни сертификати, но най-късно от времето на аферата с тайните служби на NSA човек трябва да има съмнения дали собствените му данни наистина са защитени с тях.
Google предпочита страници със SSL криптиране
През 2014 г. Google обяви, че в търсачката вече има алгоритъм, който дава предимство на страниците, сертифицирани със SSL, и им придава по-голяма тежест при класирането, отколкото на страниците без сертификат. Сред познавачите тази стъпка се смяташе за почти сензационна, тъй като Google обикновено мълчи за естеството и начина на работа на своите алгоритми. Въпреки това компанията си е поставила за цел да подобрява все повече сигурността в интернет. Вероятно това е причината за публичното изявление.
Поглед към бъдещето на криптирането
Далновиден проект за криптиране е "Let's Encrypt", който се популяризира от калифорнийската изследователска група за интернет сигурност (ISRG). В бъдеще всеки оператор на уебсайт би трябвало да може лесно и напълно безплатно да предостави на своя домейн SSL сертификат, който се счита за надежден и се приема от обикновените браузъри. Така криптираните HTTPS връзки скоро могат да се превърнат в уеб стандарт и да осигурят по-голяма сигурност и защита на данните. Членове на ISRG са Mozilla Foundation, Cisco, Akamai и Electronic Frontier Foundation.