SSL a jeho vývoj pro zvýšení bezpečnosti na Internetu

Jan Zderadička, 11. květen 2009 09:11 0 komentářů
Rubriky: Security, Internet

Bezpečnost
SSL protokol (Secure Sockets Layer) a jeho následník TLS (Transport Layer Security) si stále drží přední místo mezi nejpoužívanějšími způsoby pro zajištění bezpečné komunikace po Internetu. V tomto smyslu stojí pod ostatními protokoly, které zajišťují běžné služby na Internetu (web, odesílání a přijímání mailů, FTP přenos) a umožňuje tedy zabezpečení jejich komunikace. Omezuje taková rizika jako je manipulace s daty, jejich krádež, phishing a podstrčení falešné identity.

Jan Zderadička
Jan Zderadička

Protokol SSL vznikl přibližně před 15 lety, jeho původní myšlenka a základní principy ovšem zůstaly zachovány dodnes. Tím je myšleno jeho využití pro autentifikaci a šifrování přenášených dat. Význam tohoto a podobných protokolů se stále zvyšuje s rostoucím trendem využití Internetu pro elektronické nakupování, platby, elektronické bankovnictví na straně jedné a současně se zvyšujícím počtem případů manipulace s daty, phishingem a tedy narůstající potřebou zabezpečení na straně druhé.

Autentifikace

Autentifikace představuje ověření, že server je tím, za koho se vydává. Nejčastěji se autentifikuje pouze server vůči klientovi. Pro zajištění důvěryhodnosti ověření autenticity serveru se využívá certifikátů vydaných třetí stranou – tzv. certifikačními autoritami (např. Verisign, Thawte). Není tedy nutné, aby se odesílatel a příjemce zprávy mezi sebou osobně znali. Aby proběhla autentifikace bez problémů, musí být splněny následující podmínky:


  • certifikát je platný, tj. dosud neexspiroval

  • certifikát je vydán pro doménu, na kterou se značíme přistupovat s SSL zabezpečením

  • certifikát je vydaný důvěryhodnou certifikační autoritou

Šifrování

Šifrování zajistí, že obsah zprávy nebude čitelný pro nikoho jiného než odesílatele a příjemce zprávy. Současně si veřejným komunikačním kanálem odesílatel a příjemce zprávy vymění své veřejné klíče. Ty představují způsob, jak zprávu šifrovat, ale neumožňují ji dešifrovat, k čemuž je třeba privátní klíč uložený vždy pouze na každém konci komunikačního kanálu. Využití je možné šifrování s 40-, 56-, 128- nebo nejnověji 256-bitovým klíčem. První 2 varianty se dnes již nepovažují za příliš bezpečné, doporučuje se tedy využití 128-bitového šifrování nebo vyšší.

Praxe využití SSL certifikátů

Využití SSL jako způsobu pro bezpečnou komunikaci na Internetu je již standardem, nicméně bohužel dochází k mnoha častým rozporům ve využití oproti jeho základním principům:


  1. Subjekty často využívají certifikační autoritu, která není prohlížeči uživatele známa, na což upozorní chybovou hláškou a tím dojde ke snížení důvěryhodnosti příslušného serveru v očích uživatele. Některé banky vyžadují od uživatele instalaci nové kořenové certifikační autority a teprve poté lze pracovat s certifikátem konkrétního subjektu, banky atd. Příkladem certifikační autority na území České republiky je První certifikační autorita, a.s., využívaná např. ČSOB. Důvodem použití jiné certifikační autority než té, která je prohlížečům všeobecně známa jako důvěryhodná, mohou být i specifická legislativní opatření daného státu. V České republice má na starosti vydávání akreditací pro výkon činnosti akreditovaného poskytovatele certifikačních služeb Úřad pro ochranu osobních údajů na základě zákona č. 227/2000 Sb., o elektronickém podpisu.
  2. Certifikát je vydán pro jinou doménu – v tomto a předchozím případě by měl uživatel rozhodně zpozornět, neboť útoky pro obejití zabezpečení protokolem SSL jsou založeny často právě na tom, že mezi klientem a serverem stojí další subjekt, který se snaží podvrhnout certifikát vůči klientovi a jakožto prostředník tak bez vědomí uživatele zcela kontrolovat komunikaci vůči serveru a nazpět. Bližší popis takového útoku je možné nalézt např. na našem sesterském serveru Abclinuxu.cz. Rozpoznat tento typ útoku je možné právě na základě toho, že předložený certifikát nebude odpovídat doméně, na kterou uživatel přistupuje, anebo je vydán nedůvěryhodnou certifikační autoritou.
  3. Certifikační autority se často velmi liší nejen v cenách, ale i v důslednosti ověření identity vlastníka certifikátu. Politiky pro ověření autenticity žadatele o certifikát jsou značně odlišné. Zatímco někdy jsou vyžadovány jasné a průkazné dokumenty, jindy postačuje potvrzení emailu na doméně, pro kterou je certifikát vydán. Pro zajištění větší důvěryhodnosti pro uživatele vydává např. společnost Verisign certifikát Secure Site Pro EV (extended validation), který nabízí zatím nejvyšší bezpečnostní úroveň a v prohlížečích je rozpoznán pomocí změny v adresním řádku na zelenou barvu.
  4. Jak bylo naznačeno již výše, SSL prostřednictvím certifikátů může zamezit i útokům, které se snaží o podstrčení falešné identity nebo domény. V tomto smyslu může být dnes již doplněn i o další bezpečnostní mechanismy, jako je např. DNSSEC, zamezující podstrčení identity již na úrovni DNS. Do budoucna lze očekávat větší rozšiřování všech zmíněných bezpečnostních mechanismů.


Profil autora


Ing. Jan Zderadička je analytikem vývojového oddělení společnosti IGNUM. Ve svých článcích se zaměřuje především na problematiku domén, zajímá se také o problematiku bezpečnosti a vývoj internetových technologií. Ve volném čase by se rád více věnoval cestování.


Komentáře

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

Na mobilní kongres do Barcelony přijede 2300 firem

ČTK , 25. únor 2018 16:33

Již vpředvečer veletrhu se očekává oznámení nové vlajkové lodi Samsungu, telefonu S9....

Více 0 komentářů

V ČR rostl prodej elektroniky i kancelářské techniky

Pavel Houser , 25. únor 2018 09:00

Nejvíc průměrná cena rostla u tabletů a notebooků. Prodalo se víc inkoustových tiskáren, méně lasero...

Více 0 komentářů

Pokles prodeje smartphonů potvrzuje i Gartner

ČTK , 24. únor 2018 12:04

Meziroční nárůst čtvrtletního prodeje zaznamenaly v rámci první pětky pouze Huawei a Xiaomi....

Více 0 komentářů

Starší zprávičky

Broadcom snížil nabídku na rivala Qualcomm na 117 miliard dolarů

ČTK , 23. únor 2018 10:00

Převzetí Qualcommu by bylo největší akvizicí v historii technologického sektoru....

Více 0 komentářů

T-Mobile měl úspěšný rok

Pavel Houser , 23. únor 2018 09:00

T-Mobile oznámil finanční výsledky za rok 2017. Celkové tržby z mobilních a pevných služeb včetně pr...

Více 0 komentářů

NÚKIB loni řešil méně hlášení o kybernetických incidentech

ČTK , 23. únor 2018 08:00

Na podzim NÚKIB musel řešit i útok na weby, na kterých se zobrazovaly aktuální volební výsledky....

Více 0 komentářů

Hackeři zneužili cloudový systém Tesly k těžbě kryptoměn

ČTK , 22. únor 2018 10:00

Průnik se odehrál přes konzoli systému Kubernetes pro optimalizaci cloudových aplikací. ...

Více 0 komentářů