SSL (Secure Socket Layer) er specifikationen af en teknologi, som anvendes til overførsel af Data er sikret på internettet. De data, der skal overføres, er krypteret på grundlag af HTTPS-protokollen og dermed beskyttet mod spionage fra tredjeparter. Krypteringen suppleres af et krav om autentificering af kommunikationsdeltagerne. Udtrykket SSL er nu blevet erstattet af TLS (Transport Layer Security). Kun navnet er ændret. Den underliggende teknologi er den samme, og nogle softwarepakker og biblioteker har stadig SSL i deres navne af historiske årsager, selv om de er baseret på TLS, som siden er blevet videreudviklet.
Fra SSL til TLS - ligheder og forskelle
Teknologien, som er blevet implementeret mange gange og generelt er kendt under forkortelsen SSL, anvendes og udvikles fortsat i dag under navnet TLS. Teknologiens grundlæggende begreber har ikke ændret sig. Det er stadig brugen af HTTPS som en hybrid krypteringsprotokol, hvis sidste version som SSL-protokol var vers. 3.0. Den blev efterfølgende videreudviklet og standardiseret som TLS-protokollen fra vers. 1.0. I almindelig sprogbrug bruges de to udtryk ofte i flæng, men versnummeret bør dog bemærkes. SSL 1.0 svarer f.eks. ikke til TSL 1.0. I denne præsentation anvendes forkortelsen SSL, fordi den er mere kendt, og fordi det stadig er almindeligt at tale om SSL, selv når der henvises til TLS-teknologi. Der præsenteres de grundlæggende begreber, som er identiske for både SSL og TSL. Til specifikke anvendelser findes der dog forskellige implementeringer med forskellige navne, f.eks. OpenSSL, GnuTLS og LibreSSL.
Kryptografi og identitetsbekræftelse - SSL-princippet
Det funktionelle princip for Secure Socket Layer eller Transport Layer Security er todelt. Ud over kryptering af data er den også baseret på brug af autentificering. Brugen af SSL er meget udbredt og anvendes ofte til sikker hentning af fortrolige data fra og sikker overførsel af fortrolige data til en HTTP-server (webserver). Den opkaldte servers ægthed verificeres ved hjælp af en Certifikat garanteret, og forbindelsen mellem server og klient er krypteret. Da SSL er ekstremt populært i dag, er det næsten blevet en standard for tilføjelse til applikationsprotokoller, som ikke alene kan skabe en sikker forbindelse via kryptering.
Certificering og autentificering
Certificering og autentificering, før du starter en datatransmission via en SSL-forbindelse, er opdelt i følgende behandlingstrin:
- Certificering af den offentlige nøgle finder sted, når
Serveren modtager certificering fra et certificerings- og valideringsorgan efter anmodning.
- Godkendelse af serveren
Forbindelsen mellem klient og server etableres ved hjælp af en SSL-forespørgsel fra klienten, og serveren autentificerer sig selv med sit certifikat.
- Validering af det fremsendte certifikat
Klienten får det certifikat, som den har modtaget fra serveren, kontrolleret af certificerings- og valideringsmyndigheden.
- krypteret dataoverførsel
Hvis serverens identitet kan identificeres uden tvivl på grundlag af det validerede certifikat, begynder transmissionen af de krypterede data.
forvrængning og ophævelse af forvrængning
Kernen i kryptering og dekryptering i SSL-protokollen er et digitalt nøglepar bestående af en offentlig nøgle og en privat nøgle. Begge nøgler er forskellige. Afsenderen (klienten) modtager den offentlige nøgle fra modtageren (serveren), efter at modtageren har autentificeret sig selv med sit certifikat. Denne procedure kaldes "asymmetrisk kryptering" eller "offentlig nøgleprocedure". Afsenderen bruger derefter den offentlige nøgle til at kryptere de data, som sendes til modtageren. Efter kryptering kan dataene ikke længere dekrypteres med den offentlige nøgle, men kun med den tilsvarende private nøgle fra serveren, som derfor under alle omstændigheder skal holde den hemmelig.
Certifikater
Både SSL og TLS arbejder med såkaldte PKIX-certifikater, som betyder "Public Key Infrastructure i henhold til X.509v3". Der findes tre certifikattyper, for hvilke verificeringsindsatsen under certificeringen er forskellig, og der garanteres således et forskelligt niveau af autenticitet:
- Det domænevaliderede certifikat (DV-SSL) er det billigste certifikat. Domænet er kun valideret af E-mail valideres, og certifikatet udstedes normalt efter blot få minutter.
- Organisationsvalideringscertifikatet (OV-SSL) øger domænets troværdighed ved at verificere organisationen/operatøren fuldt ud.
- Det udvidede valideringscertifikat (EV-SSL) er baseret på det højeste valideringsniveau og er almindeligt anvendt i bl.a. banksektoren.
Begrænsningerne ved SSL/TLS
SSL-protokollen sikrer kun overførslen af dataene. Hvad der så sker hos modtageren, er uden for det, som SSL-protokollen regulerer.