SSL a jeho vývoj pro zvýšení bezpečnosti na Internetu

Jan Zderadička, 11. květen 2009 09:11 0 komentářů
Rubriky: Security, Internet

Bezpečnost
SSL protokol (Secure Sockets Layer) a jeho následník TLS (Transport Layer Security) si stále drží přední místo mezi nejpoužívanějšími způsoby pro zajištění bezpečné komunikace po Internetu. V tomto smyslu stojí pod ostatními protokoly, které zajišťují běžné služby na Internetu (web, odesílání a přijímání mailů, FTP přenos) a umožňuje tedy zabezpečení jejich komunikace. Omezuje taková rizika jako je manipulace s daty, jejich krádež, phishing a podstrčení falešné identity.

Jan Zderadička
Jan Zderadička

Protokol SSL vznikl přibližně před 15 lety, jeho původní myšlenka a základní principy ovšem zůstaly zachovány dodnes. Tím je myšleno jeho využití pro autentifikaci a šifrování přenášených dat. Význam tohoto a podobných protokolů se stále zvyšuje s rostoucím trendem využití Internetu pro elektronické nakupování, platby, elektronické bankovnictví na straně jedné a současně se zvyšujícím počtem případů manipulace s daty, phishingem a tedy narůstající potřebou zabezpečení na straně druhé.

Autentifikace

Autentifikace představuje ověření, že server je tím, za koho se vydává. Nejčastěji se autentifikuje pouze server vůči klientovi. Pro zajištění důvěryhodnosti ověření autenticity serveru se využívá certifikátů vydaných třetí stranou – tzv. certifikačními autoritami (např. Verisign, Thawte). Není tedy nutné, aby se odesílatel a příjemce zprávy mezi sebou osobně znali. Aby proběhla autentifikace bez problémů, musí být splněny následující podmínky:


  • certifikát je platný, tj. dosud neexspiroval

  • certifikát je vydán pro doménu, na kterou se značíme přistupovat s SSL zabezpečením

  • certifikát je vydaný důvěryhodnou certifikační autoritou

Šifrování

Šifrování zajistí, že obsah zprávy nebude čitelný pro nikoho jiného než odesílatele a příjemce zprávy. Současně si veřejným komunikačním kanálem odesílatel a příjemce zprávy vymění své veřejné klíče. Ty představují způsob, jak zprávu šifrovat, ale neumožňují ji dešifrovat, k čemuž je třeba privátní klíč uložený vždy pouze na každém konci komunikačního kanálu. Využití je možné šifrování s 40-, 56-, 128- nebo nejnověji 256-bitovým klíčem. První 2 varianty se dnes již nepovažují za příliš bezpečné, doporučuje se tedy využití 128-bitového šifrování nebo vyšší.

Praxe využití SSL certifikátů

Využití SSL jako způsobu pro bezpečnou komunikaci na Internetu je již standardem, nicméně bohužel dochází k mnoha častým rozporům ve využití oproti jeho základním principům:


  1. Subjekty často využívají certifikační autoritu, která není prohlížeči uživatele známa, na což upozorní chybovou hláškou a tím dojde ke snížení důvěryhodnosti příslušného serveru v očích uživatele. Některé banky vyžadují od uživatele instalaci nové kořenové certifikační autority a teprve poté lze pracovat s certifikátem konkrétního subjektu, banky atd. Příkladem certifikační autority na území České republiky je První certifikační autorita, a.s., využívaná např. ČSOB. Důvodem použití jiné certifikační autority než té, která je prohlížečům všeobecně známa jako důvěryhodná, mohou být i specifická legislativní opatření daného státu. V České republice má na starosti vydávání akreditací pro výkon činnosti akreditovaného poskytovatele certifikačních služeb Úřad pro ochranu osobních údajů na základě zákona č. 227/2000 Sb., o elektronickém podpisu.
  2. Certifikát je vydán pro jinou doménu – v tomto a předchozím případě by měl uživatel rozhodně zpozornět, neboť útoky pro obejití zabezpečení protokolem SSL jsou založeny často právě na tom, že mezi klientem a serverem stojí další subjekt, který se snaží podvrhnout certifikát vůči klientovi a jakožto prostředník tak bez vědomí uživatele zcela kontrolovat komunikaci vůči serveru a nazpět. Bližší popis takového útoku je možné nalézt např. na našem sesterském serveru Abclinuxu.cz. Rozpoznat tento typ útoku je možné právě na základě toho, že předložený certifikát nebude odpovídat doméně, na kterou uživatel přistupuje, anebo je vydán nedůvěryhodnou certifikační autoritou.
  3. Certifikační autority se často velmi liší nejen v cenách, ale i v důslednosti ověření identity vlastníka certifikátu. Politiky pro ověření autenticity žadatele o certifikát jsou značně odlišné. Zatímco někdy jsou vyžadovány jasné a průkazné dokumenty, jindy postačuje potvrzení emailu na doméně, pro kterou je certifikát vydán. Pro zajištění větší důvěryhodnosti pro uživatele vydává např. společnost Verisign certifikát Secure Site Pro EV (extended validation), který nabízí zatím nejvyšší bezpečnostní úroveň a v prohlížečích je rozpoznán pomocí změny v adresním řádku na zelenou barvu.
  4. Jak bylo naznačeno již výše, SSL prostřednictvím certifikátů může zamezit i útokům, které se snaží o podstrčení falešné identity nebo domény. V tomto smyslu může být dnes již doplněn i o další bezpečnostní mechanismy, jako je např. DNSSEC, zamezující podstrčení identity již na úrovni DNS. Do budoucna lze očekávat větší rozšiřování všech zmíněných bezpečnostních mechanismů.


Profil autora


Ing. Jan Zderadička je analytikem vývojového oddělení společnosti IGNUM. Ve svých článcích se zaměřuje především na problematiku domén, zajímá se také o problematiku bezpečnosti a vývoj internetových technologií. Ve volném čase by se rád více věnoval cestování.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Starší zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů