Funktionalitet SSL, TLS

I forbindelse med den digitale teknologi er det ikke længere et spørgsmål om rekorder à la Olympia efter mottoet "hurtigere, højere, længere". En ting er slutenhedernes ydeevne, de stadig hurtigere overførselshastigheder eller de mange forskellige praktiske apps. En anden ting er, at når vi surfer, bruger sociale medier og andre tjenester på internettet, afslører vi stort set hvert sekund fakta om os selv, som ikke bør komme i alles hænder. Dette omfatter adresser, bankkonti, kreditkortnumre og andre følsomme data.

Dagens modeord er sikkerhed. Eller: Hvordan kan jeg aktivt og passivt sikre, at de data, som jeg videregiver via internettet og sender rundt i verden, er beskyttet mod uautoriseret adgang fra tredjeparter? Funktioner som SSL og TLS, som er krypteringsmetoder, der er udviklet til at sikre, at jeg er sikker i den digitale verden, kan hjælpe her.

Sådan fungerer et SSL-certifikat

SSL (Secure Sockets Layer) er en protokol til autentificering og kryptering af forbindelser på internettet. Den oprindelige SSL-procedure er nu forældet og er blevet erstattet af TLS (Transport Layer Security). I almindelig brug er udtrykket SSL dog blevet bibeholdt den dag i dag.

For at forklare, hvordan det fungerer, kan vi som eksempel tage en kundes ordre i en online butik. En krypteret SSL-forbindelse oprettes altid af klienten (her kunden). Det første trin er det såkaldte handshake, hvor der genereres en krypteringsparameter for sessionen. Butikkens server svarer derefter ved at sende sin offentlige nøgle til klienten sammen med sit SSL-certifikat. Dette sender igen den Certifikat autentificeres på grundlag af en liste over kendte CA'er - Certifikat eller certificeringsmyndighed = certificeringsmyndighed for digitale certifikater. Hvis CA'en ikke er kendt, åbner de fleste browsere et vindue, der giver brugeren mulighed for at acceptere eller afvise certifikatet på eget ansvar.

Nu genererer klienten en symmetrisk nøgle, som krypteres med serverens offentlige nøgle, og sender den tilbage. Herefter kender både klient og server koden til kryptering af brugerdataene, og den sikre forbindelse er etableret.

Forskelle mellem populære SSL-certifikater

Der findes forskellige versioner af SSL-certifikater, som afhænger af ansøgerens behov og varierer også i pris. Faktorer er f.eks. krypteringsstyrken (standardværdierne er 128 bit eller 256 bit), valideringstypen og browserkompatibilitet eller -accept.

Domænevaliderede certifikater (domænevalidering)

Domænevaliderede certifikater er de mest udbredte. Via reguleret e-mail-trafik kontrollerer certificeringsmyndigheden, om ansøgeren til et SSL-certifikat virkelig er ejeren af domænet. Efter bekræftelsen udstedes certifikatet inden for meget kort tid. Denne variant bruges mest til små websteder, blogs, fora, mailservere og intranetapplikationer og er det billigste alternativ.

Organisationsvaliderede certifikater (organisationsvalidering)

Processen er noget mere kompliceret for et organisationsvalideret certifikat. Her kontrolleres ikke kun domænet, men også identiteten. Webstedsoperatøren - som regel en virksomhed - skal bevise med visse dokumenter, at han virkelig er domæneejer. Identitetskontrollen for certifikatet er forskellig fra udbyder til udbyder. Normalt anmodes der om et uddrag af handelsregistret, der foretages en sammenligning med bankoplysninger, og der etableres telefonisk kontakt mellem ansøgeren og udbyderen. Organisationsvaliderede certifikater er velegnede til virksomhedens websteder, webshops og webmail.

udvidet validering

En tredje version er den udvidede validering. Sådanne certificerede websteder kan genkendes på den grønne skrift i adresselinjen i browseren. Denne visuelle feedback viser, at forbindelsen er særlig pålidelig. De, der håndterer deres betalingstransaktioner via netbank, kender det fra banker og sparekasser. Certificeringsmyndigheden går frem på samme måde som ved organisationsvaliderede certifikater, men kontrollerer desuden, om ansøgeren virkelig er ansat i den pågældende virksomhed og har tilladelse til at erhverve et udvidet valideringscertifikat.

EV-certifikater er altid krypteret med 256 bit og opnår den størst mulige accept i alle browsere. Ud over den grønne skrifttype, som allerede er nævnt, vises også virksomhedens navn og hjemsted i adresselinjen.

Hvilket certificeringsorgan er det rigtige?

Der findes et stort antal certifikatudstedende myndigheder (CA) i forskellige lande, så en interesseret part kan let miste overblikket over dem. Ofte er det ikke muligt at spore, hvilken virksomhed eller hvilket statsligt organ der står bag dem. Kritikere taler nu om et "certificeringslotteri", som ikke giver megen gennemsigtighed og troværdighed. Under alle omstændigheder er Bundesdruckerei med sin udbryder D-Trust helt på tyske hænder. Mange andre agenturer arbejder med amerikanske mellemliggende certifikater, men senest siden sagen om NSA's efterretningstjeneste må man være i tvivl om, hvorvidt ens egne data virkelig er beskyttet med dem.

Google foretrækker sider med SSL-kryptering

I 2014 meddelte Google, at søgemaskinen nu har en algoritme, der giver fortrinsbehandling til SSL-certificerede sider og giver dem større vægt i ranglisten end sider uden certifikat. Blandt kendere blev dette skridt på daværende tidspunkt betragtet som næsten sensationelt, fordi Google normalt er fuldstændig tavs om arten og funktionen af sine algoritmer. Virksomheden har dog sat sig for at forbedre sikkerheden på internettet mere og mere. Dette var sandsynligvis årsagen til den offentlige erklæring.

Et kig ind i fremtiden for kryptering

Et fremtidsorienteret projekt vedrørende kryptering er "Let's Encrypt", der fremmes af den californiske Internet Security Research Group (ISRG). Dette skulle fremover gøre det muligt for enhver webstedsoperatør at forsyne sit domæne på en enkel måde og helt gratis med et SSL-certifikat, der anses for troværdigt og accepteret af de almindelige browsere. Krypterede HTTPS-forbindelser kan således snart blive webstandard og give større sikkerhed og databeskyttelse. Medlemmer af ISRG er Mozilla Foundation, Cisco, Akamai og Electronic Frontier Foundation.

Aktuelle artikler