SSL (Secure Socket Layer) on tekniikka, jonka avulla voidaan varmistaa, että SSL:n kautta tapahtuva Tiedot on suojattu Internetissä. Lähetettävät tiedot salataan HTTPS-protokollan avulla ja suojataan siten kolmansien osapuolten vakoilulta. Salausta täydennetään vaatimuksella viestinnän osallistujien todentamisesta. Termi SSL on nyt korvattu termillä TLS (Transport Layer Security). Vain nimi on muuttunut. Taustalla oleva tekniikka on pysynyt samana, ja joidenkin ohjelmistopakettien ja kirjastojen nimissä on edelleen SSL historiallisista syistä, vaikka ne perustuvat TLS:ään, jota on sittemmin kehitetty edelleen.
SSL:stä TLS:ään - yhtäläisyydet ja erot
Tekniikkaa, jota on toteutettu useita kertoja ja joka tunnetaan yleisesti lyhenteellä SSL, jatketaan ja kehitetään nykyään nimellä TLS. Teknologian peruskäsitteet eivät ole muuttuneet. Kyseessä on edelleen HTTPS:n käyttö hybridisalausprotokollana, jonka viimeinen versio SSL-protokollana oli vers. 3.0. Myöhemmin sitä kehitettiin edelleen ja standardoitiin TLS-protokollaksi versiosta 1.0 alkaen. Yleisessä kielenkäytössä näitä kahta termiä käytetään usein synonyymisesti, vaikka säkeistön numero on syytä huomioida. Esimerkiksi SSL 1.0 ei vastaa TSL 1.0:ta. Tässä esityksessä käytetään lyhennettä SSL, koska se on tunnetumpi ja koska SSL:stä puhutaan nykyäänkin yleisesti, vaikka puhuttaisiin TLS-tekniikasta. Esitetään peruskäsitteet, jotka ovat samat sekä SSL:lle että TSL:lle. Tiettyjä käyttötarkoituksia varten on kuitenkin olemassa erilaisia toteutuksia, joilla on eri nimet, kuten OpenSSL, GnuTLS ja LibreSSL.
Salaus ja henkilöllisyyden todentaminen - SSL:n toimintaperiaate
Secure Socket Layer- tai Transport Layer Security -suojauksen toimintaperiaate on kaksiosainen. Tietojen salauksen lisäksi se perustuu myös todentamiseen. SSL:n käyttö on laajalle levinnyttä, ja sitä käytetään usein luottamuksellisten tietojen turvalliseen hakemiseen HTTP-palvelimelta (verkkopalvelin) ja luottamuksellisten tietojen turvalliseen siirtämiseen HTTP-palvelimelle. Valittujen palvelimien aitous tarkistetaan valitsemalla Todistus taattu ja palvelimen ja asiakkaan välinen yhteys on salattu. Koska SSL on nykyään erittäin suosittu, siitä on tullut melkein standardi, joka lisätään sovellusprotokolliin, jotka eivät yksinään pysty toteuttamaan turvallista yhteyttä salauksen avulla.
Sertifiointi ja todentaminen
Varmentaminen ja todennus ennen SSL-yhteyden kautta tapahtuvan tiedonsiirron aloittamista jaetaan seuraaviin käsittelyvaiheisiin:
- Julkisen avaimen varmentaminen tapahtuu kerran
Palvelin saa pyynnöstä varmenteen varmentamiselimeltä ja validointielimeltä.
- Palvelimen todennus
Asiakkaan ja palvelimen välinen yhteys muodostetaan asiakkaan SSL-pyynnöllä, ja palvelin todentaa itsensä varmenteellaan.
- Lähetetyn varmenteen validointi
Asiakas tarkastuttaa palvelimelta saamansa varmenteen varmentaja- ja vahvistusviranomaisella.
- Salattu tiedonsiirto
Jos palvelimen henkilöllisyys voidaan varmennetun varmenteen perusteella tunnistaa kiistatta, salattujen tietojen siirto alkaa.
Salaus ja salauksen purku
SSL-protokollan salauksen ja salauksen purun ytimessä on digitaalinen avainpari, joka koostuu julkisesta ja yksityisestä avaimesta. Molemmat avaimet ovat erilaisia. Lähettäjä (asiakas) saa julkisen avaimen vastaanottajalta (palvelimelta) sen jälkeen, kun vastaanottaja on todennut itsensä varmenteellaan. Menettelyä kutsutaan "epäsymmetriseksi salaukseksi" tai "julkisen avaimen menettelyksi". Tämän jälkeen lähettäjä käyttää julkista avainta vastaanottajalle lähettämiensä tietojen salaamiseen. Salauksen jälkeen tietoja ei voida enää purkaa julkisella avaimella, vaan ainoastaan palvelimen vastaavalla yksityisellä avaimella, joka on siis joka tapauksessa pidettävä salassa.
Todistukset
Sekä SSL että TLS toimivat niin sanotuilla PKIX-varmenteilla, mikä tarkoittaa "X.509v3:n mukaista julkisen avaimen infrastruktuuria". Sertifikaatteja on kolmea eri tyyppiä, jotka edellyttävät eritasoisia varmennuksia varmentamisen aikana ja takaavat siten eritasoisen aitouden:
- Domain Validated Certificate (DV-SSL) on halvin varmenne. Verkkotunnuksen validoi ainoastaan Sähköposti validoidaan, ja varmenne myönnetään yleensä vain muutaman minuutin kuluttua.
- Organisaation validointivarmenne (OV-SSL) lisää verkkotunnuksen luotettavuutta varmistamalla yrityksen/operaattorin täydellisesti.
- Laajennettu validointivarmenne (EV-SSL) perustuu korkeimpaan validointitasoon, ja se on yleinen muun muassa pankkialalla.
SSL/TLS:n rajat
SSL-protokolla turvaa vain tiedonsiirron. Se, mitä vastaanottajan päässä tapahtuu, ei kuulu SSL-protokollan piiriin.