SSL (Secure Socket Layer) on tehnoloogia spetsifikatsioon, mille abil on võimalik edastada turvalisi andmeid. Andmed on Internetis tagatud. Edastatavad andmed on HTTPS-protokolli alusel krüpteeritud ja seega kaitstud kolmandate isikute poolt luuramise eest. Krüpteerimisele lisandub sideosaliste autentimise nõue. Termin SSL on nüüdseks asendatud TLS-iga (Transport Layer Security). Ainult nimi on muutunud. Tehnoloogia aluseks olev tehnoloogia on jäänud samaks ning mõned tarkvarapaketid ja raamatukogud kannavad ajaloolisest tulenevalt endiselt SSL-i nime, kuigi need põhinevad TLS-il, mida on vahepeal edasi arendatud.
SSL-ist TLS-ini - sarnasused ja erinevused
Seda tehnoloogiat, mida on rakendatud mitmeid kordi ja mida üldiselt tuntakse lühendi SSL all, jätkatakse ja arendatakse tänapäeval TLS-i nime all. Tehnoloogia põhimõisted ei ole muutunud. Tegemist on endiselt HTTPSi kui hübriidkrüpteerimisprotokolli kasutamisega, mille viimane versioon SSL-protokollidena oli vers. 3.0. Hiljem arendati seda edasi ja standardiseeriti TLS-protokolliks alates versioonist 1.0. Üldkasutuses kasutatakse neid kahte terminit sageli sünonüümselt, kuigi tuleks märkida salmi nr. Näiteks SSL 1.0 ei vasta TSL 1.0-le. Käesolevas ettekandes kasutatakse lühendit SSL, sest see on paremini tuntud ja tänapäeval on ikka veel tavaks rääkida SSL-st, isegi kui viidatakse TLS-tehnoloogiale. Esitatakse põhimõisted, mis on identsed nii SSLi kui ka TSLi puhul. Konkreetsete kasutusviiside jaoks on siiski olemas erinevad rakendused, millel on erinevad nimed, näiteks OpenSSL, GnuTLS ja LibreSSL.
Krüptograafia ja identiteedi kontrollimine - SSL-i tööpõhimõte
Secure Socket Layer ehk transpordikihi turvalisuse funktsionaalne põhimõte on kaheosaline. Lisaks andmete krüpteerimisele põhineb see ka autentimise kasutamisel. SSL on laialt levinud ja seda kasutatakse sageli konfidentsiaalsete andmete turvaliseks kättesaamiseks HTTP-serverist (veebiserver) ja konfidentsiaalsete andmete turvaliseks edastamiseks HTTP-serverisse. Valitud serveri autentsust kontrollitakse Sertifikaat garanteeritud ning ühendus serveri ja kliendi vahel on krüpteeritud. Kuna SSL on tänapäeval äärmiselt populaarne, on sellest saanud peaaegu standard, mida lisatakse rakendusprotokollidele, mis üksi ei suuda turvalist ühendust krüpteerimise abil luua.
Sertifitseerimine ja autentimine
Sertifitseerimine ja autentimine enne SSL-ühenduse kaudu toimuva andmeedastuse alustamist jaguneb järgmisteks töötlusetappideks:
- Avaliku võtme sertifitseerimine toimub üks kord
Server saab taotluse korral sertifitseerimise ja valideerimise asutuselt sertifikaadi.
- Serveri autentimine
Kliendi ja serveri vaheline ühendus luuakse kliendi poolt esitatava SSL-päringuga ja server autentib end oma sertifikaadiga.
- Edastatud sertifikaadi valideerimine
Klient laseb sertifitseerimis- ja valideerimisasutusel kontrollida serverilt saadud sertifikaati.
- Krüpteeritud andmeedastus
Kui serveri identiteet on kinnitatud sertifikaadi alusel kahtlemata tuvastatav, algab krüpteeritud andmete edastamine.
Krüptimine ja dekrüptimine
SSL-protokolli krüpteerimise ja dekrüpteerimise keskmes on digitaalne võtmepaar, mis koosneb avalikust ja privaatsest võtmest. Mõlemad võtmed on erinevad. Saatja (klient) saab avaliku võtme vastuvõtjalt (server) pärast seda, kui vastuvõtja on end oma sertifikaadiga autentinud. Seda menetlust nimetatakse "asümmeetriliseks krüpteerimiseks" või "avaliku võtme menetluseks". Seejärel kasutab saatja avalikku võtit andmete krüpteerimiseks, mida ta saadab vastuvõtjale. Pärast krüpteerimist ei saa andmeid enam dekrüpteerida avaliku võtmega, vaid ainult serveri sobiva privaatvõtmega, mis peab seega igal juhul olema salajane.
Sertifikaadid
Nii SSL kui ka TLS töötavad nn PKIX-sertifikaatidega, mis tähendab "avaliku võtme infrastruktuuri vastavalt X.509v3". Sertifikaate on kolme liiki, mis nõuavad sertifitseerimise käigus eri tasemel kontrollimist ja tagavad seega erineva autentsuse taseme:
- Domeeniga kinnitatud sertifikaat (DV-SSL) on kõige odavam sertifikaat. Domeeni valideerib ainult E-post valideeritakse ja sertifikaat väljastatakse tavaliselt mõne minuti pärast.
- Organisatsiooni valideerimissertifikaat (OV-SSL) suurendab domeeni usaldusväärsust, kuna see kontrollib täielikult ettevõtte/operaatori usaldusväärsust.
- Laiendatud valideerimissertifikaat (EV-SSL) põhineb kõige kõrgemal valideerimistasemel ja on levinud muu hulgas pangandussektoris.
SSL/TLS-i piirangud
SSL-protokoll turvab ainult andmete edastamist. See, mis toimub vastuvõtja poolel, ei kuulu SSL-protokolli reguleerimisalasse.
