A digitális technológiával összefüggésben már nem a "gyorsabban, magasabbra, messzebbre" mottó szerinti olimpiai rekordokról van szó. A végberendezések teljesítménye, az egyre gyorsabb átviteli sebesség vagy a kényelmes alkalmazások sokasága egy dolog. A másik dolog az, hogy a szörfözés, a közösségi média és más internetes szolgáltatások használata során gyakorlatilag minden másodpercben olyan tényeket fedünk fel magunkról, amelyeknek nem kellene mindenki kezébe kerülniük. Ez magában foglalja a címeket, bankszámlákat, hitelkártyaszámokat és egyéb érzékeny adatokat.
A nap divatos szava a biztonság. Vagy: Hogyan tudom aktívan és passzívan biztosítani, hogy az interneten keresztül nyilvánosságra hozott és a világ minden tájára elküldött adataim védve legyenek a harmadik felek illetéktelen hozzáférésétől? Ebben segíthetnek az olyan funkciók, mint az SSL és a TLS, amelyek titkosítási módszerek, amelyek célja, hogy biztonságban legyek a digitális világban.
Hogyan működik egy SSL tanúsítvány
Az SSL (Secure Sockets Layer) egy protokoll az internetes kapcsolatok hitelesítésére és titkosítására. Az eredeti SSL eljárás mára elavult, és a TLS (Transport Layer Security) váltotta fel. A közhasználatban azonban az SSL kifejezés a mai napig fennmaradt.
Hogy elmagyarázzuk, hogyan működik, vegyünk példaként egy ügyfél megrendelését egy Online bolt. A titkosított SSL-kapcsolatot mindig az ügyfél (itt az ügyfél) hozza létre. Az első lépés az úgynevezett kézfogás, amelynek során a munkamenethez egy titkosítási paramétert generálnak. Az üzlet szervere ezután válaszul elküldi nyilvános kulcsát az SSL-tanúsítványával együtt az ügyfélnek. Ez pedig elküldi a Tanúsítvány hitelesítés az ismert hitelesítésszolgáltatók listája alapján - Certificate or Certification Authority = digitális tanúsítványok hitelesítésszolgáltatója. Ha a hitelesítésszolgáltató nem ismert, a legtöbb böngésző megnyit egy ablakot, amely lehetőséget ad a felhasználónak, hogy saját felelősségére elfogadja vagy elutasítsa a tanúsítványt.
Most az ügyfél létrehoz egy szimmetrikus kulcsot, amelyet a kiszolgáló nyilvános kulcsával titkosít, és visszaküld. Ezután mind az ügyfél, mind a kiszolgáló ismeri a felhasználói adatok titkosítására szolgáló kódot, és létrejön a biztonságos kapcsolat.
A közös SSL-tanúsítványok közötti különbségek
Az SSL-tanúsítványoknak különböző változatai léteznek, amelyek a kérelmező igényeitől függnek, és árban is különböznek. A tényezők közé tartozik például a titkosítás erőssége (a szabványos értékek a 128 bites vagy 256 bites), az érvényesítés típusa és a böngésző kompatibilitása vagy elfogadása.
Tartományi érvényesítésű tanúsítványok (tartományi érvényesítés)
A domain-érvényesített tanúsítványok a legelterjedtebbek. A tanúsító hatóság a szabályozott e-mail forgalom révén ellenőrzi, hogy az SSL-tanúsítvány kérelmezője valóban a domain tulajdonosa-e. A megerősítést követően a tanúsítványt nagyon rövid időn belül kiállítják. Ezt a változatot leginkább kis weboldalak, blogok, fórumok, levelezőszerverek és intranetes alkalmazások esetében használják, és ez a legolcsóbb alternatíva.
Szervezet által hitelesített tanúsítványok (Szervezeti hitelesítés)
A szervezet által hitelesített tanúsítvány esetében a folyamat valamivel bonyolultabb. Itt nem csak a tartományt, hanem az identitást is ellenőrzik. A weboldal üzemeltetőjének - általában egy vállalatnak - bizonyos dokumentumokkal kell bizonyítania, hogy valóban ő a domain tulajdonosa. A tanúsítvány személyazonosságának ellenőrzése szolgáltatónként eltérő. Általában a kereskedelmi nyilvántartásból kérnek kivonatot, összehasonlítják a banki adatokkal, és telefonos kapcsolatot létesítenek a kérelmező és a szolgáltató között. A szervezet által hitelesített tanúsítványok vállalati weboldalak, webáruházak és webmailek számára alkalmasak.
Kiterjesztett érvényesítés
A harmadik változat a kiterjesztett érvényesítés. Az ilyen tanúsított weboldalakat a böngésző címsorában található zöld írásról lehet felismerni. Ez a vizuális visszajelzés azt jelzi, hogy a kapcsolat különösen megbízható. Azok, akik online banki tranzakciókat bonyolítanak le, ismerik ezt a bankoktól és takarékpénztáraktól. A tanúsító hatóság hasonlóan jár el, mint a szervezet által hitelesített tanúsítványok esetében, de emellett ellenőrzi, hogy a kérelmező valóban az adott vállalat alkalmazottja-e, és rendelkezik-e felhatalmazással a kiterjesztett érvényesítési tanúsítvány megszerzésére.
Az EV tanúsítványok mindig 256 bites titkosítással vannak ellátva, és minden böngészővel a lehető legnagyobb elfogadottságot érik el. A már említett zöld betűs feliraton kívül a cég neve és székhelye is megjelenik a címsoron.
Melyik tanúsító szervezet a megfelelő?
A különböző országokban nagyszámú hitelesítésszolgáltató (CA) létezik, így egy érdeklődő fél könnyen elveszítheti az áttekintést. Gyakran nem lehet nyomon követni, hogy melyik vállalat vagy kormányzati szerv áll a háttérben. A kritikusok most "tanúsítási lottóról" beszélnek, amely kevés átláthatóságot és megbízhatóságot kínál. Mindenesetre a Bundesdruckerei a D-Trust nevű fiókjával együtt teljes mértékben német kézben van. Sok más ügynökség is dolgozik amerikai köztes tanúsítványokkal, de legkésőbb az NSA titkosszolgálati ügye óta kétségek merülnek fel, hogy a saját adataink valóban védve vannak-e velük.
A Google az SSL titkosítással rendelkező oldalakat részesíti előnyben
2014-ben a Google bejelentette, hogy a keresőmotor mostantól olyan algoritmussal rendelkezik, amely előnyben részesíti az SSL-tanúsítvánnyal rendelkező oldalakat, és nagyobb súlyt ad nekik a rangsorolásban, mint a tanúsítvány nélküli oldalaknak. A hozzáértők körében ez a lépés akkoriban szinte szenzációnak számított, mivel a Google általában teljesen hallgat algoritmusainak természetéről és működési módjáról. A vállalat azonban azt a célt tűzte ki maga elé, hogy egyre inkább javítsa az internet biztonságát. Valószínűleg ez volt az oka a nyilvános nyilatkozatnak.
Betekintés a titkosítás jövőjébe
A titkosítással kapcsolatos előremutató projekt a "Let's Encrypt", amelyet a kaliforniai Internet Security Research Group (ISRG) támogat. A jövőben minden weboldal üzemeltetője számára lehetővé kell tenni, hogy egyszerűen és teljesen ingyenesen ellássa domainjét egy olyan SSL-tanúsítvánnyal, amely megbízhatónak tekinthető és amelyet az általános böngészők elfogadnak. A titkosított HTTPS-kapcsolatok így hamarosan webes szabvánnyá válhatnak, és nagyobb biztonságot és adatvédelmet nyújthatnak. Az ISRG tagjai a Mozilla Foundation, a Cisco, az Akamai és az Electronic Frontier Foundation.
