Funkcionalitāte SSL, TLS

Digitālo tehnoloģiju kontekstā vairs nav runa par rekordiem à la Olympia saskaņā ar moto "ātrāk, augstāk, tālāk". Gala ierīču veiktspēja, arvien ātrāki datu pārsūtīšanas ātrumi vai ērtu lietotņu daudzveidība ir viena lieta. Vēl viena lieta ir tā, ka, sērfojot, izmantojot sociālos medijus un citus interneta pakalpojumus, mēs praktiski katru sekundi atklājam par sevi faktus, kas nedrīkstētu nonākt ikviena rīcībā. Tie ietver adreses, bankas kontus, kredītkaršu numurus un citus sensitīvus datus.

Šodienas modes vārds ir drošība. Vai arī: Kā es varu aktīvi un pasīvi nodrošināt, lai mani dati, kurus izpaužu internetā un nosūtīju visā pasaulē, būtu aizsargāti pret trešo personu nepiederošu piekļuvi? Šajā ziņā var palīdzēt tādas funkcijas kā SSL un TLS - šifrēšanas metodes, kas paredzētas, lai nodrošinātu manu drošību digitālajā pasaulē.

Kā darbojas SSL sertifikāts

SSL (Secure Sockets Layer) ir protokols savienojumu autentificēšanai un šifrēšanai internetā. Sākotnējā SSL procedūra tagad ir novecojusi un aizstāta ar TLS (Transport Layer Security). Tomēr vispārpieņemtajā lietojumā termins SSL ir saglabājies līdz mūsdienām.

Lai paskaidrotu, kā tas darbojas, kā piemēru ņemsim klienta pasūtījumu no Tiešsaistes veikals. Klients (šajā gadījumā klients) vienmēr izveido šifrētu SSL savienojumu. Pirmais solis ir tā sauktā rokas satricināšana, kurā tiek ģenerēts sesijas šifrēšanas parametrs. Pēc tam veikala serveris atbild, nosūtot klientam savu publisko atslēgu kopā ar SSL sertifikātu. Tas savukārt nosūta Sertifikāts autentificē, pamatojoties uz zināmu CA sarakstu - Sertifikāts vai sertifikācijas iestāde = digitālo sertifikātu sertifikācijas iestāde. Ja CA nav zināma, vairums pārlūkprogrammu atver logu, kurā lietotājam tiek dota iespēja uz savu atbildību pieņemt vai noraidīt sertifikātu.

Tagad klients ģenerē simetrisku atslēgu, kas ir šifrēta ar servera publisko atslēgu, un nosūta to atpakaļ. Tad gan klients, gan serveris zina lietotāja datu šifrēšanas kodu un tiek izveidots drošs savienojums.

Atšķirības starp izplatītākajiem SSL sertifikātiem

Ir dažādas SSL sertifikātu versijas, kas atkarīgas no pieteikuma iesniedzēja vajadzībām un atšķiras arī pēc cenas. Faktori ir, piemēram, šifrēšanas stiprums (standarta vērtības ir 128 bitu vai 256 bitu), validācijas veids un pārlūkprogrammas saderība vai pieņemamība.

Domēna apstiprināti sertifikāti (domēna apstiprināšana)

Visizplatītākie ir domēna apstiprināti sertifikāti. Izmantojot regulētu e-pasta plūsmu, sertifikācijas iestāde pārbauda, vai SSL sertifikāta pieteikuma iesniedzējs patiešām ir domēna īpašnieks. Pēc apstiprināšanas sertifikāts tiek izsniegts ļoti īsā laikā. Šo variantu galvenokārt izmanto nelielām vietnēm, emuāriem, forumiem, pasta serveriem un intraneta lietojumprogrammām, un tas ir lētākā alternatīva.

Organizācijas apstiprināti sertifikāti (Organizācijas apstiprināšana)

Organizācijas apstiprināta sertifikāta gadījumā process ir nedaudz sarežģītāks. Šajā gadījumā tiek pārbaudīts ne tikai domēns, bet arī identitāte. Tīmekļa vietnes operatoram - parasti uzņēmumam - ar noteiktiem dokumentiem jāpierāda, ka viņš patiešām ir domēna īpašnieks. Sertifikāta identitātes pārbaude katram pakalpojumu sniedzējam ir atšķirīga. Parasti tiek pieprasīts izraksts no komercreģistra, tiek veikta salīdzināšana ar bankas datiem, un pieteikuma iesniedzējs un pakalpojumu sniedzējs sazinās pa tālruni. Organizācijas apstiprinātie sertifikāti ir piemēroti uzņēmumu tīmekļa vietnēm, tīmekļa veikaliem un tīmekļa pastam.

Paplašinātā validācija

Trešā versija ir Paplašinātā validācija. Šādas sertificētas vietnes var atpazīt pēc zaļa uzraksta pārlūkprogrammas adreses rindā. Šī vizuālā atgriezeniskā saite norāda, ka savienojums ir īpaši uzticams. Tie, kas maksājumu darījumus veic, izmantojot internetbanku, to zina no bankām un krājbankām. Sertifikācijas iestāde rīkojas līdzīgi kā ar organizācijas validētiem sertifikātiem, bet papildus pārbauda, vai pieteikuma iesniedzējs patiešām ir attiecīgā uzņēmuma darbinieks un vai viņam ir atļauja iegūt paplašināto validācijas sertifikātu.

EV sertifikāti vienmēr tiek šifrēti ar 256 bitiem, un tie ir vispieņemamākie visās pārlūkprogrammās. Papildus jau minētajam zaļajam uzrakstam adreses rindā ir jānorāda arī uzņēmuma nosaukums un juridiskā adrese.

Kura sertifikācijas iestāde ir pareizā?

Dažādās valstīs ir liels skaits sertifikātu iestāžu (CA), tāpēc ieinteresētā persona var viegli pazaudēt to visu sarakstu. Bieži vien nav iespējams izsekot, kurš uzņēmums vai valsts aģentūra aiz tiem stāv. Tagad kritiķi runā par "sertifikācijas loteriju", kas ir maz pārredzama un uzticama. Jebkurā gadījumā Bundesdruckerei ar tās filiāli D-Trust ir pilnībā Vācijas rokās. Daudzas citas aģentūras strādā ar ASV starpposma sertifikātiem, bet, vēlākais, kopš NSA slepenā dienesta afēras, ir jāšaubās, vai ar tiem patiešām tiek aizsargāti pašu dati.

Google dod priekšroku lapām ar SSL šifrēšanu

2014. gadā Google paziņoja, ka meklētājprogrammā ir ieviests algoritms, kas dod priekšroku SSL sertificētām lapām un piešķir tām lielāku nozīmi rangēšanā nekā lapām bez sertifikāta. Pazinēju vidū šis solis tolaik tika uzskatīts gandrīz par sensāciju, jo Google parasti pilnībā klusē par savu algoritmu būtību un darbības veidu. Tomēr uzņēmums ir izvirzījis mērķi arvien vairāk uzlabot drošību internetā. Iespējams, tas bija iemesls publiskajam paziņojumam.

Ieskats šifrēšanas nākotnē

Perspektīvs projekts saistībā ar šifrēšanu ir "Let's Encrypt", ko veicina Kalifornijas Interneta drošības pētniecības grupa (ISRG). Nākotnē ikvienam tīmekļa vietnes operatoram vajadzētu būt iespējai viegli un pilnīgi bez maksas nodrošināt savu domēnu ar SSL sertifikātu, kas tiek uzskatīts par uzticamu un ko pieņem parastās pārlūkprogrammas. Tādējādi šifrēti HTTPS savienojumi drīzumā varētu kļūt par tīmekļa standartu un nodrošināt lielāku drošību un datu aizsardzību. ISRG dalībnieki ir Mozilla Foundation, Cisco, Akamai un Electronic Frontier Foundation.