Funktsionaalsus SSL, TLS

Digitaaltehnoloogia kontekstis ei ole enam tegemist rekorditega à la Olümpia, vastavalt moto "kiiremini, kõrgemale, kaugemale". Üks asi on lõppseadmete jõudlus, üha kiiremad ülekandekiirused või mugavate rakenduste mitmekesisus. Teine asi on see, et internetis surfates, sotsiaalmeediat ja muid teenuseid kasutades avaldame praktiliselt igal sekundil enda kohta fakte, mis ei tohiks igaühe kätte sattuda. Siia kuuluvad aadressid, pangakontod, krediitkaardi numbrid ja muud tundlikud andmed.

Päeva märksõna on turvalisus. Või: Kuidas ma saan aktiivselt ja passiivselt tagada, et andmed, mida ma interneti kaudu avaldan ja üle maailma saadan, on kaitstud kolmandate isikute volitamata juurdepääsu eest? Sellised funktsioonid nagu SSL ja TLS, krüpteerimismeetodid, mis on loodud selleks, et tagada minu turvalisus digitaalses maailmas, võivad siinkohal aidata.

Kuidas SSL-sertifikaat töötab

SSL (Secure Sockets Layer) on protokoll Interneti-ühenduste autentimiseks ja krüpteerimiseks. Algne SSL-menetlus on nüüdseks vananenud ja see on asendatud TLS-iga (Transport Layer Security). Üldkasutuses on termin SSL siiski tänaseni säilinud.

Et selgitada, kuidas see toimib, võtame näiteks kliendi tellimuse ühes Veebipood. Krüpteeritud SSL-ühenduse loob alati klient (siin klient). Esimene samm on nn käepigistus, mille käigus genereeritakse sessiooni jaoks krüpteerimisparameeter. Poe server vastab seejärel, saates kliendile oma avaliku võtme koos SSL-sertifikaadiga. See omakorda saadab Sertifikaat autentimine tuntud sertifitseerimisasutuste nimekirja alusel - Certificate or Certification Authority = digitaalsertifikaatide sertifitseerimisasutus. Kui CA ei ole teada, avab enamik brausereid akna, mis annab kasutajale võimaluse sertifikaadi omal vastutusel vastu võtta või tagasi lükata.

Nüüd genereerib klient sümmeetrilise võtme, mis on krüpteeritud serveri avaliku võtmega, ja saadab selle tagasi. Seejärel teavad nii klient kui ka server kasutajaandmete krüpteerimise koodi ja turvaline ühendus on loodud.

Populaarsete SSL-sertifikaatide erinevused

SSL-sertifikaate on erinevaid versioone, mis sõltuvad taotleja vajadustest ja erinevad ka hinna poolest. Tegurid on näiteks krüpteerimise tugevus (vaikimisi on 128 või 256 bitti), valideerimise tüüp ja brauseri ühilduvus või heakskiitmine.

Domeeni valideeritud sertifikaadid (domeeni valideerimine)

Kõige levinumad on domeeniga kinnitatud sertifikaadid. Sertifitseerimisasutus kontrollib reguleeritud e-posti teel, kas SSL-sertifikaadi taotleja on tõepoolest domeeni omanik. Pärast kinnitamist väljastatakse sertifikaat väga lühikese aja jooksul. Seda varianti kasutatakse enamasti väikeste veebisaitide, blogide, foorumite, e-posti serverite ja intranetirakenduste puhul ning see on kõige odavam alternatiiv.

Organisatsiooni valideeritud sertifikaadid (organisatsiooni valideerimine)

Organisatsiooni kinnitatud sertifikaadi puhul on protsess mõnevõrra keerulisem. Siin ei kontrollita mitte ainult domeeni, vaid ka identiteeti. Veebisaidi operaator - tavaliselt ettevõte - peab tõestama teatud dokumentidega, et ta on tõesti domeeni omanik. Sertifikaadi identiteedi kontroll on teenusepakkujatel erinev. Tavaliselt taotletakse väljavõtet äriregistrist, võrreldakse pangaregistriga ja luuakse telefonikontakt taotleja ja teenuseosutaja vahel. Organisatsiooni kinnitatud sertifikaadid sobivad ettevõtte veebisaitide, veebipoodide ja veebiposti jaoks.

laiendatud valideerimine

Kolmas versioon on laiendatud valideerimine. Sellised sertifitseeritud veebisaidid on äratuntavad brauseri aadressiribal olevast rohelisest kirjast. See visuaalne tagasiside näitab, et ühendus on eriti usaldusväärne. Need, kes teevad oma maksetehinguid internetipanga kaudu, on sellega tuttavad pankadest ja hoiupankadest. Sertifitseerimisasutus käitub sarnaselt organisatsiooni kinnitatud sertifikaatidega, kuid kontrollib lisaks, kas taotleja on tõepoolest vastava ettevõtte töötaja ja kas tal on volitused laiendatud kinnitussertifikaadi omandamiseks.

EV-sertifikaadid on alati 256-bitise krüpteeringuga ja saavutavad suurima võimaliku aktsepteeritavuse kõigis brauserites. Lisaks juba mainitud rohelisele kirjastiilile ilmub aadressireale ka ettevõtte nimi ja registrijärgne asukoht.

Milline sertifitseerimisasutus on õige?

Erinevates riikides on suur hulk sertifitseerimisasutusi (CA), nii et huvitatud isik võib kergesti kaotada neist ülevaate. Sageli ei ole võimalik kindlaks teha, milline ettevõte või valitsusasutus on nende taga. Kriitikud räägivad nüüd "sertifitseerimisloteriist", mis pakub vähe läbipaistvust ja usaldusväärsust. Igal juhul on Bundesdruckerei koos oma filiaaliga D-Trust täielikult Saksamaa käes. Paljud teised ametid töötavad USA vahesertifikaatidega, kuid hiljemalt alates NSA salateenistuse afäärist peab kahtlema, kas oma andmed on nendega tõesti kaitstud.

Google eelistab SSL-krüpteeringuga lehekülgi

2014. aastal teatas Google, et otsingumootoril on nüüd algoritm, mis eelistab SSL-sertifikaadiga lehekülgi ja annab neile paremusjärjestuses rohkem kaalu kui sertifikaadita lehekülgedele. Asjatundjate seas peeti seda sammu toona peaaegu sensatsiooniliseks, sest Google vaikib tavaliselt täielikult oma algoritmide olemusest ja toimimisest. Siiski on ettevõte võtnud eesmärgiks parandada üha enam turvalisust Internetis. Ilmselt oli see ka avaliku avalduse põhjuseks.

Pilk krüpteerimise tulevikku

Üks tulevikku suunatud krüpteerimisprojekt on "Let's Encrypt", mida edendab Kalifornia Interneti-turbe uurimisrühm (ISRG). See peaks tulevikus võimaldama igal veebisaidi operaatoril pakkuda oma domeenile lihtsal viisil ja täiesti tasuta SSL-sertifikaati, mida peetakse usaldusväärseks ja mida tavalised veebilehitsejad aktsepteerivad. Krüpteeritud HTTPS-ühendused võivad seega peagi saada veebistandardiks ning pakkuda suuremat turvalisust ja andmekaitset. ISRG liikmed on Mozilla Foundation, Cisco, Akamai ja Electronic Frontier Foundation.

Praegused artiklid