Im Zusammenhang mit digitaler Technik geht es mittlerweile nicht mehr um Rekorde à la Olympia nach dem Motto „schneller, höher, weiter“. Die Leistungsfähigkeit von Endgeräten, die immer rasanteren Übertragungsraten oder die Vielfalt an komfortablen Apps sind eine Sache. Eine andere Sache ist, dass wir beim Surfen, bei der Benutzung von Social Media und anderen Diensten im Internet praktisch jede Sekunde Fakten über uns selbst preisgeben, die nicht in jedermanns Hände gelangen sollen. Dazu gehören Adressen, Bankkonten, Kreditkartennummern und andere sensible Adatok.
A nap divatos szava a biztonság. Vagy: Hogyan tudom aktívan és passzívan biztosítani, hogy az interneten keresztül nyilvánosságra hozott és a világ minden tájára elküldött adataim védve legyenek a harmadik felek illetéktelen hozzáférésétől? Ebben segíthetnek az olyan funkciók, mint az SSL és a TLS, amelyek titkosítási módszerek, amelyek célja, hogy biztonságban legyek a digitális világban.
Hogyan működik egy SSL tanúsítvány
Az SSL (Secure Sockets Layer) egy protokoll az internetes kapcsolatok hitelesítésére és titkosítására. Az eredeti SSL eljárás mára elavult, és a TLS (Transport Layer Security) váltotta fel. A közhasználatban azonban az SSL kifejezés a mai napig fennmaradt.
Hogy elmagyarázzuk, hogyan működik, vegyünk példaként egy ügyfél megrendelését egy Online bolt. A titkosított SSL-kapcsolatot mindig az ügyfél (itt az ügyfél) hozza létre. Az első lépés az úgynevezett kézfogás, amelynek során a munkamenethez egy titkosítási paramétert generálnak. Az üzlet szervere ezután válaszul elküldi nyilvános kulcsát az SSL-tanúsítványával együtt az ügyfélnek. Ez pedig elküldi a Tanúsítvány hitelesítés az ismert hitelesítésszolgáltatók listája alapján - Certificate or Certification Authority = digitális tanúsítványok hitelesítésszolgáltatója. Ha a hitelesítésszolgáltató nem ismert, a legtöbb böngésző megnyit egy ablakot, amely lehetőséget ad a felhasználónak, hogy saját felelősségére elfogadja vagy elutasítsa a tanúsítványt.
Most az ügyfél létrehoz egy szimmetrikus kulcsot, amelyet a kiszolgáló nyilvános kulcsával titkosít, és visszaküld. Ezután mind az ügyfél, mind a kiszolgáló ismeri a felhasználói adatok titkosítására szolgáló kódot, és létrejön a biztonságos kapcsolat.
A közös SSL-tanúsítványok közötti különbségek
Az SSL-tanúsítványoknak különböző változatai léteznek, amelyek a kérelmező igényeitől függnek, és árban is különböznek. A tényezők közé tartozik például a titkosítás erőssége (a szabványos értékek a 128 bites vagy 256 bites), az érvényesítés típusa és a böngésző kompatibilitása vagy elfogadása.
Tartományi érvényesítésű tanúsítványok (tartományi érvényesítés)
A domain-érvényesített tanúsítványok a legelterjedtebbek. A tanúsító hatóság a szabályozott e-mail forgalom révén ellenőrzi, hogy az SSL-tanúsítvány kérelmezője valóban a domain tulajdonosa-e. A megerősítést követően a tanúsítványt nagyon rövid időn belül kiállítják. Ezt a változatot leginkább kis weboldalak, blogok, fórumok, levelezőszerverek és intranetes alkalmazások esetében használják, és ez a legolcsóbb alternatíva.
Szervezet által hitelesített tanúsítványok (Szervezeti hitelesítés)
A szervezet által hitelesített tanúsítvány esetében a folyamat valamivel bonyolultabb. Itt nem csak a tartományt, hanem az identitást is ellenőrzik. A weboldal üzemeltetőjének - általában egy vállalatnak - bizonyos dokumentumokkal kell bizonyítania, hogy valóban ő a domain tulajdonosa. A tanúsítvány személyazonosságának ellenőrzése szolgáltatónként eltérő. Általában a kereskedelmi nyilvántartásból kérnek kivonatot, összehasonlítják a banki adatokkal, és telefonos kapcsolatot létesítenek a kérelmező és a szolgáltató között. A szervezet által hitelesített tanúsítványok vállalati weboldalak, webáruházak és webmailek számára alkalmasak.
Kiterjesztett érvényesítés
A harmadik változat a kiterjesztett érvényesítés. Az ilyen tanúsított weboldalakat a böngésző címsorában található zöld írásról lehet felismerni. Ez a vizuális visszajelzés azt jelzi, hogy a kapcsolat különösen megbízható. Azok, akik online banki tranzakciókat bonyolítanak le, ismerik ezt a bankoktól és takarékpénztáraktól. A tanúsító hatóság hasonlóan jár el, mint a szervezet által hitelesített tanúsítványok esetében, de emellett ellenőrzi, hogy a kérelmező valóban az adott vállalat alkalmazottja-e, és rendelkezik-e felhatalmazással a kiterjesztett érvényesítési tanúsítvány megszerzésére.
Az EV tanúsítványok mindig 256 bites titkosítással vannak ellátva, és minden böngészővel a lehető legnagyobb elfogadottságot érik el. A már említett zöld betűs feliraton kívül a cég neve és székhelye is megjelenik a címsoron.
Melyik tanúsító szervezet a megfelelő?
A különböző országokban nagyszámú hitelesítésszolgáltató (CA) létezik, így egy érdeklődő fél könnyen elveszítheti az áttekintést. Gyakran nem lehet nyomon követni, hogy melyik vállalat vagy kormányzati szerv áll a háttérben. A kritikusok most "tanúsítási lottóról" beszélnek, amely kevés átláthatóságot és megbízhatóságot kínál. Mindenesetre a Bundesdruckerei a D-Trust nevű fiókjával együtt teljes mértékben német kézben van. Sok más ügynökség is dolgozik amerikai köztes tanúsítványokkal, de legkésőbb az NSA titkosszolgálati ügye óta kétségek merülnek fel, hogy a saját adataink valóban védve vannak-e velük.
A Google az SSL titkosítással rendelkező oldalakat részesíti előnyben
2014-ben a Google bejelentette, hogy a keresőmotor mostantól olyan algoritmussal rendelkezik, amely előnyben részesíti az SSL-tanúsítvánnyal rendelkező oldalakat, és nagyobb súlyt ad nekik a rangsorolásban, mint a tanúsítvány nélküli oldalaknak. A hozzáértők körében ez a lépés akkoriban szinte szenzációnak számított, mivel a Google általában teljesen hallgat algoritmusainak természetéről és működési módjáról. A vállalat azonban azt a célt tűzte ki maga elé, hogy egyre inkább javítsa az internet biztonságát. Valószínűleg ez volt az oka a nyilvános nyilatkozatnak.
Betekintés a titkosítás jövőjébe
A titkosítással kapcsolatos előremutató projekt a "Let's Encrypt", amelyet a kaliforniai Internet Security Research Group (ISRG) támogat. A jövőben minden weboldal üzemeltetője számára lehetővé kell tenni, hogy egyszerűen és teljesen ingyenesen ellássa domainjét egy olyan SSL-tanúsítvánnyal, amely megbízhatónak tekinthető és amelyet az általános böngészők elfogadnak. A titkosított HTTPS-kapcsolatok így hamarosan webes szabvánnyá válhatnak, és nagyobb biztonságot és adatvédelmet nyújthatnak. Az ISRG tagjai a Mozilla Foundation, a Cisco, az Akamai és az Electronic Frontier Foundation.
