Funkcjonalność SSL, TLS

W związku z technologią cyfrową, nie jest to już kwestia rekordów a la Olympia zgodnie z mottem "szybciej, wyżej, dalej". Wydajność urządzeń końcowych, coraz szybszy transfer czy różnorodność wygodnych aplikacji to jedno. Kolejną rzeczą jest to, że kiedy surfujemy po Internecie, korzystamy z mediów społecznościowych i innych usług, ujawniamy fakty o sobie praktycznie w każdej sekundzie, które nie powinny dostać się w ręce wszystkich. Obejmuje to adresy, konta bankowe, numery kart kredytowych i inne wrażliwe dane.

Kluczowym słowem godziny jest raczej: bezpieczeństwo. Lub: Jak mogę aktywnie i biernie zapewnić, że dane, które ujawniam przez Internet i wysyłam na całym świecie, są chronione przed niewłaściwym dostępem osób trzecich? To właśnie tutaj przydają się takie funkcje jak SSL i TLS, metody szyfrowania zaprojektowane w celu zapewnienia bezpiecznego podróżowania w cyfrowym świecie.

Jak działa certyfikat SSL

SSL (Secure Sockets Layer) jest protokołem służącym do uwierzytelniania i szyfrowania połączeń w Internecie. Oryginalna procedura SSL jest obecnie przestarzała i została zastąpiona przez TLS (Transport Layer Security). Jednak termin "oświetlenie półprzewodnikowe" pozostaje do dziś w powszechnej świadomości.

Aby wyjaśnić, jak to działa, weźmy jako przykład zamówienie klienta na sklep internetowy. Szyfrowane połączenie SSL jest zawsze nawiązywane przez klienta (tutaj klienta). Pierwszym krokiem jest tzw. handshake, w którym generowany jest parametr szyfrujący dla sesji. Następnie serwer sklepu odpowiada wysyłając do klienta swój klucz publiczny wraz z certyfikatem SSL. To z kolei wysyła Certyfikat uwierzytelniony na podstawie listy znanych CA - Certificate lub Certification Authority = urząd certyfikacji dla certyfikatów cyfrowych. Jeśli CA nie jest znany, większość przeglądarek otwiera okno, które daje użytkownikowi możliwość zaakceptowania lub odrzucenia certyfikatu na własną odpowiedzialność.

Teraz klient generuje klucz symetryczny, który jest szyfrowany kluczem publicznym serwera i odsyła go z powrotem. Wówczas zarówno klient jak i serwer znają kod do szyfrowania danych użytkownika i nawiązywane jest bezpieczne połączenie.

Różnice między wspólnymi certyfikatami SSL

Istnieje kilka wariantów certyfikatów SSL, w zależności od potrzeb wnioskodawcy, a także w zależności od ceny. Czynnikami są na przykład siła szyfrowania (domyślne wartości to 128 bitów lub 256 bitów), rodzaj walidacji, a także kompatybilność lub akceptacja przeglądarki.

Certyfikaty walidacji domen (Domain Validation)

Certyfikaty walidacji domenowej mają najszerszą dystrybucję. Korzystając z regulowanego ruchu poczty elektronicznej, organ certyfikacyjny sprawdza, czy wnioskodawca ubiegający się o certyfikat SSL jest rzeczywiście właścicielem domeny. Po potwierdzeniu, certyfikat jest wydawany w bardzo krótkim czasie. Wariant ten jest najczęściej stosowany w przypadku małych stron internetowych, blogów, forów, serwerów pocztowych i aplikacji intranetowych i stanowi najtańszą alternatywę.

Certyfikaty zatwierdzane przez organizację (Zatwierdzanie organizacji)

Proces ten jest nieco bardziej skomplikowany dzięki certyfikatowi zatwierdzonemu przez organizację. Tutaj sprawdzana jest nie tylko domena, ale również tożsamość. Operator strony internetowej - zazwyczaj firma - musi udowodnić za pomocą określonych dokumentów, że jest rzeczywiście właścicielem domeny. Kontrola tożsamości dla certyfikatu różni się w zależności od usługodawcy. Zazwyczaj wymagany jest wyciąg z rejestru handlowego, przeprowadza się porównanie z danymi bankowymi i nawiązuje się kontakt telefoniczny między wnioskodawcą a usługodawcą. Certyfikaty zatwierdzone przez organizację są odpowiednie dla stron internetowych firm, sklepów internetowych i poczty elektronicznej.

rozszerzona walidacja

Trzecia wersja to Extended Validation. Strony internetowe certyfikowane w ten sposób mogą być rozpoznawane po zielonej czcionce w linii adresowej przeglądarki. Ta wizualna informacja zwrotna wskazuje, że połączenie jest szczególnie godne zaufania. Ci, którzy przetwarzają swoje transakcje płatnicze za pośrednictwem bankowości internetowej, wiedzą o tym z banków i kas oszczędnościowych. Organ certyfikujący postępuje tu podobnie jak w przypadku certyfikatów zatwierdzonych przez organizację, ale dodatkowo sprawdza, czy wnioskodawca jest rzeczywiście pracownikiem danego przedsiębiorstwa i posiada uprawnienia do uzyskania rozszerzonego certyfikatu zatwierdzającego.

Certyfikaty EV są z reguły szyfrowane 256-bitowo i osiągają najwyższy możliwy poziom akceptacji przez wszystkie przeglądarki. Oprócz wspomnianej już zielonej czcionki, w linii adresowej znajduje się również nazwa i siedziba firmy.

Która jednostka certyfikująca jest właściwa?

W różnych krajach istnieje duża liczba urzędów certyfikacji (CA), więc potencjalny klient może łatwo stracić orientację. Często nie można się dowiedzieć, która firma lub agencja rządowa za nimi stoi. Krytycy mówią teraz o "loterii certyfikacyjnej", która oferuje niewielką przejrzystość i wiarygodność. W każdym razie, Bundesdruckerei wraz ze swoją spółką zależną D-Trust jest całkowicie w rękach niemieckich. Wiele innych agencji pracuje z amerykańskimi certyfikatami pośrednimi, ale od czasu afery z tajnymi służbami NSA, najpóźniej trzeba mieć wątpliwości, czy własne dane są rzeczywiście chronione przez te certyfikaty.

Google preferuje strony z szyfrowaniem SSL

W 2014 r. Google ogłosił, że wyszukiwarka posiada obecnie algorytm, który daje stronom z certyfikatem SSL preferencyjne traktowanie i daje im wyższą pozycję w rankingu niż stronom bez certyfikatu. Wśród ówczesnych koneserów krok ten został uznany za wręcz sensacyjny, ponieważ Google zazwyczaj całkowicie milczy na temat natury i sposobu działania swoich algorytmów. Jednak firma coraz bardziej dąży do poprawy bezpieczeństwa w Internecie. To był prawdopodobnie powód publicznego oświadczenia.

Spojrzenie w przyszłość szyfrowania

Perspektywicznym projektem dotyczącym szyfrowania jest "Let's Encrypt", który jest prowadzony przez Californian Internet Security Research Group (ISRG). Powinno to umożliwić w przyszłości każdemu operatorowi strony internetowej dostarczenie jego domeny z certyfikatem SSL w prosty sposób i całkowicie bezpłatnie, co jest uznawane i akceptowane jako godne zaufania przez powszechne przeglądarki. Dzięki temu szyfrowane połączenia HTTPS mogą wkrótce stać się standardem w sieci i zapewnić większe bezpieczeństwo i ochronę danych. Członkami ISRG są Fundacja Mozilla, Cisco, Akamai i Fundacja Elektroniczna Granica.

Artykuły bieżące