Toiminnallisuus SSL, TLS

Digitaalitekniikan yhteydessä ei enää ole kyse olympiaennätyksistä mottona "nopeammin, korkeammalle, pidemmälle". Loppulaitteiden suorituskyky, yhä nopeammat siirtonopeudet tai kätevien sovellusten valikoima ovat yksi asia. Toinen asia on se, että surffatessamme, käyttäessämme sosiaalista mediaa ja muita internetin palveluja paljastamme itsestämme käytännössä joka sekunti tietoja, joiden ei pitäisi joutua kaikkien tietoon. Näihin kuuluvat osoitteet, pankkitilit, luottokorttinumerot ja muut arkaluonteiset tiedot.

Päivän muotisana on turvallisuus. Tai: Miten voin aktiivisesti ja passiivisesti varmistaa, että tietoni, jotka luovutan Internetin kautta ja lähetän ympäri maailmaa, on suojattu kolmansien osapuolten luvattomalta käytöltä? SSL:n ja TLS:n kaltaiset toiminnot, salausmenetelmät, jotka on suunniteltu varmistamaan, että olen turvassa digitaalisessa maailmassa, voivat auttaa tässä.

Miten SSL-sertifikaatti toimii

SSL (Secure Sockets Layer) on protokolla, jolla todennetaan ja salataan Internet-yhteyksiä. Alkuperäinen SSL-menettely on nyt vanhentunut, ja se on korvattu TLS:llä (Transport Layer Security). Yleisessä käytössä termi SSL on kuitenkin säilynyt tähän päivään asti.

Selittääksemme, miten se toimii, otamme esimerkkinä asiakkaan tilauksen, joka on tehty Verkkokauppa. Asiakas (tässä tapauksessa asiakas) muodostaa aina salatun SSL-yhteyden. Ensimmäinen vaihe on niin sanottu kättely, jossa istuntoa varten luodaan salausparametri. Myymälän palvelin vastaa sitten lähettämällä julkisen avaimensa asiakkaalle SSL-varmenteensa kanssa. Tämä puolestaan lähettää Todistus todennetaan tunnettujen varmentajien luettelon perusteella - Certificate or Certification Authority = digitaalisten varmenteiden varmentaja. Jos varmentajaa ei tunneta, useimmat selaimet avaavat ikkunan, jossa käyttäjälle annetaan mahdollisuus hyväksyä tai hylätä varmenne omalla vastuullaan.

Nyt asiakas luo symmetrisen avaimen, joka salataan palvelimen julkisella avaimella, ja lähettää sen takaisin. Tämän jälkeen sekä asiakas että palvelin tietävät koodin, jolla käyttäjätiedot salataan, ja suojattu yhteys muodostetaan.

Yleisten SSL-varmenteiden erot

SSL-varmenteista on erilaisia versioita, jotka riippuvat hakijan tarpeista ja vaihtelevat myös hinnaltaan. Tekijöitä ovat esimerkiksi salauksen vahvuus (vakioarvot ovat 128 tai 256 bittiä), validoinnin tyyppi ja selaimen yhteensopivuus tai hyväksyntä.

Verkkotunnuksen validoidut varmenteet (verkkotunnuksen validointi)

Verkkotunnuksen vahvistamat varmenteet ovat yleisimpiä. Varmentaja tarkistaa säännellyn sähköpostiliikenteen avulla, onko SSL-sertifikaatin hakija todella verkkotunnuksen omistaja. Vahvistuksen jälkeen todistus myönnetään hyvin lyhyessä ajassa. Tätä vaihtoehtoa käytetään useimmiten pieniin verkkosivustoihin, blogeihin, foorumeihin, sähköpostipalvelimiin ja intranet-sovelluksiin, ja se on halvin vaihtoehto.

Organisaation validoidut varmenteet (Organisaation validointi)

Prosessi on hieman monimutkaisempi, kun kyseessä on organisaation vahvistama todistus. Tässä yhteydessä ei tarkisteta ainoastaan verkkotunnusta, vaan myös identiteetti tarkistetaan. Verkkosivuston ylläpitäjän - yleensä yrityksen - on todistettava tietyillä asiakirjoilla, että hän todella on verkkotunnuksen omistaja. Varmenteen henkilöllisyyden tarkistus vaihtelee palveluntarjoajittain. Tavallisesti pyydetään kaupparekisteriotetta, verrataan pankkitietoihin ja otetaan puhelimitse yhteyttä hakijan ja palveluntarjoajan välillä. Organisaation vahvistamat varmenteet soveltuvat yrityksen verkkosivustoille, verkkokauppoihin ja verkkopostiin.

Laajennettu validointi

Kolmas versio on laajennettu validointi. Tällaiset sertifioidut verkkosivustot tunnistaa selaimen osoiterivillä olevasta vihreästä kirjoituksesta. Tämä visuaalinen palaute osoittaa, että yhteys on erityisen luotettava. Ne, jotka hoitavat maksutapahtumansa verkkopankin kautta, tuntevat tämän pankkien ja säästöpankkien kautta. Sertifiointiviranomainen toimii samalla tavalla kuin organisaation validoimien varmenteiden kohdalla, mutta tarkistaa lisäksi, onko hakija todella kyseisen yrityksen työntekijä ja onko hänellä valtuudet hankkia laajennettu validointivarmenne.

EV-varmenteet on aina salattu 256-bittisesti, ja ne saavat mahdollisimman suuren hyväksynnän kaikissa selaimissa. Edellä mainitun vihreän kirjaimen lisäksi osoiterivillä näkyy myös yrityksen nimi ja kotipaikka.

Mikä sertifiointielin on oikea?

Varmenteita myöntäviä viranomaisia (CA) on suuri määrä eri maissa, joten asianomainen osapuoli voi helposti menettää niistä kaikista tiedon. Usein ei ole mahdollista jäljittää, mikä yritys tai valtion virasto on niiden takana. Kriitikot puhuvat nyt "sertifiointilotosta", jonka avoimuus ja luotettavuus ovat vähäisiä. Joka tapauksessa Bundesdruckerei ja sen sivuliike D-Trust ovat täysin saksalaisten käsissä. Monet muutkin virastot työskentelevät Yhdysvaltojen välivarmenteilla, mutta viimeistään NSA:n salaisen palvelun tapauksen jälkeen on epäiltävä, ovatko omat tiedot todella suojattu niiden avulla.

Google suosii SSL-salauksella varustettuja sivuja

Vuonna 2014 Google ilmoitti, että hakukoneella on nyt algoritmi, joka suosii SSL-sertifioituja sivuja ja antaa niille enemmän painoarvoa sijoituksessa kuin sivuille, joilla ei ole sertifikaattia. Asiantuntijoiden keskuudessa tätä askelta pidettiin tuolloin lähes sensaatiomaisena, koska Google on yleensä täysin vaitonainen algoritmiensa luonteesta ja toimintatavasta. Yhtiö on kuitenkin asettanut tavoitteekseen parantaa internetin turvallisuutta yhä enemmän. Tämä oli luultavasti syy julkiseen lausuntoon.

Katsaus salauksen tulevaisuuteen

Kalifornialaisen Internet Security Research Groupin (ISRG) edistämä "Let's Encrypt" -projekti on tulevaisuuteen suuntautuva salaushanke. Tulevaisuudessa jokaisen verkkosivuston ylläpitäjän olisi voitava helposti ja täysin maksutta antaa verkkotunnukselleen SSL-varmenne, jota pidetään luotettavana ja jonka tavalliset selaimet hyväksyvät. Salatuista HTTPS-yhteyksistä voi siis pian tulla verkkostandardi, joka lisää turvallisuutta ja tietosuojaa. ISRG:n jäseniä ovat Mozilla Foundation, Cisco, Akamai ja Electronic Frontier Foundation.

Nykyiset artikkelit