SSL a jeho vývoj pro zvýšení bezpečnosti na Internetu

Jan Zderadička, 11. květen 2009 09:11 0 komentářů
Rubriky: Security, Internet

Bezpečnost
SSL protokol (Secure Sockets Layer) a jeho následník TLS (Transport Layer Security) si stále drží přední místo mezi nejpoužívanějšími způsoby pro zajištění bezpečné komunikace po Internetu. V tomto smyslu stojí pod ostatními protokoly, které zajišťují běžné služby na Internetu (web, odesílání a přijímání mailů, FTP přenos) a umožňuje tedy zabezpečení jejich komunikace. Omezuje taková rizika jako je manipulace s daty, jejich krádež, phishing a podstrčení falešné identity.

Jan Zderadička
Jan Zderadička

Protokol SSL vznikl přibližně před 15 lety, jeho původní myšlenka a základní principy ovšem zůstaly zachovány dodnes. Tím je myšleno jeho využití pro autentifikaci a šifrování přenášených dat. Význam tohoto a podobných protokolů se stále zvyšuje s rostoucím trendem využití Internetu pro elektronické nakupování, platby, elektronické bankovnictví na straně jedné a současně se zvyšujícím počtem případů manipulace s daty, phishingem a tedy narůstající potřebou zabezpečení na straně druhé.

Autentifikace

Autentifikace představuje ověření, že server je tím, za koho se vydává. Nejčastěji se autentifikuje pouze server vůči klientovi. Pro zajištění důvěryhodnosti ověření autenticity serveru se využívá certifikátů vydaných třetí stranou – tzv. certifikačními autoritami (např. Verisign, Thawte). Není tedy nutné, aby se odesílatel a příjemce zprávy mezi sebou osobně znali. Aby proběhla autentifikace bez problémů, musí být splněny následující podmínky:


  • certifikát je platný, tj. dosud neexspiroval

  • certifikát je vydán pro doménu, na kterou se značíme přistupovat s SSL zabezpečením

  • certifikát je vydaný důvěryhodnou certifikační autoritou

Šifrování

Šifrování zajistí, že obsah zprávy nebude čitelný pro nikoho jiného než odesílatele a příjemce zprávy. Současně si veřejným komunikačním kanálem odesílatel a příjemce zprávy vymění své veřejné klíče. Ty představují způsob, jak zprávu šifrovat, ale neumožňují ji dešifrovat, k čemuž je třeba privátní klíč uložený vždy pouze na každém konci komunikačního kanálu. Využití je možné šifrování s 40-, 56-, 128- nebo nejnověji 256-bitovým klíčem. První 2 varianty se dnes již nepovažují za příliš bezpečné, doporučuje se tedy využití 128-bitového šifrování nebo vyšší.

Praxe využití SSL certifikátů

Využití SSL jako způsobu pro bezpečnou komunikaci na Internetu je již standardem, nicméně bohužel dochází k mnoha častým rozporům ve využití oproti jeho základním principům:


  1. Subjekty často využívají certifikační autoritu, která není prohlížeči uživatele známa, na což upozorní chybovou hláškou a tím dojde ke snížení důvěryhodnosti příslušného serveru v očích uživatele. Některé banky vyžadují od uživatele instalaci nové kořenové certifikační autority a teprve poté lze pracovat s certifikátem konkrétního subjektu, banky atd. Příkladem certifikační autority na území České republiky je První certifikační autorita, a.s., využívaná např. ČSOB. Důvodem použití jiné certifikační autority než té, která je prohlížečům všeobecně známa jako důvěryhodná, mohou být i specifická legislativní opatření daného státu. V České republice má na starosti vydávání akreditací pro výkon činnosti akreditovaného poskytovatele certifikačních služeb Úřad pro ochranu osobních údajů na základě zákona č. 227/2000 Sb., o elektronickém podpisu.
  2. Certifikát je vydán pro jinou doménu – v tomto a předchozím případě by měl uživatel rozhodně zpozornět, neboť útoky pro obejití zabezpečení protokolem SSL jsou založeny často právě na tom, že mezi klientem a serverem stojí další subjekt, který se snaží podvrhnout certifikát vůči klientovi a jakožto prostředník tak bez vědomí uživatele zcela kontrolovat komunikaci vůči serveru a nazpět. Bližší popis takového útoku je možné nalézt např. na našem sesterském serveru Abclinuxu.cz. Rozpoznat tento typ útoku je možné právě na základě toho, že předložený certifikát nebude odpovídat doméně, na kterou uživatel přistupuje, anebo je vydán nedůvěryhodnou certifikační autoritou.
  3. Certifikační autority se často velmi liší nejen v cenách, ale i v důslednosti ověření identity vlastníka certifikátu. Politiky pro ověření autenticity žadatele o certifikát jsou značně odlišné. Zatímco někdy jsou vyžadovány jasné a průkazné dokumenty, jindy postačuje potvrzení emailu na doméně, pro kterou je certifikát vydán. Pro zajištění větší důvěryhodnosti pro uživatele vydává např. společnost Verisign certifikát Secure Site Pro EV (extended validation), který nabízí zatím nejvyšší bezpečnostní úroveň a v prohlížečích je rozpoznán pomocí změny v adresním řádku na zelenou barvu.
  4. Jak bylo naznačeno již výše, SSL prostřednictvím certifikátů může zamezit i útokům, které se snaží o podstrčení falešné identity nebo domény. V tomto smyslu může být dnes již doplněn i o další bezpečnostní mechanismy, jako je např. DNSSEC, zamezující podstrčení identity již na úrovni DNS. Do budoucna lze očekávat větší rozšiřování všech zmíněných bezpečnostních mechanismů.


Profil autora


Ing. Jan Zderadička je analytikem vývojového oddělení společnosti IGNUM. Ve svých článcích se zaměřuje především na problematiku domén, zajímá se také o problematiku bezpečnosti a vývoj internetových technologií. Ve volném čase by se rád více věnoval cestování.


Komentáře

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Italský soud zrušit zákaz aplikace Uberu v zemi

ČTK , 29. květen 2017 08:00

Italská vláda slíbila, že do konce letošního roku zavede jasnější pravidla hospodářské soutěže....

Více 0 komentářů

Pracovní nabídky v SAP Services připravují roboti

Pavel Houser , 28. květen 2017 08:00

Ve společnosti SAP Services se podařilo zautomatizovat tvorbu pracovních nabídek napříč různými země...

Více 1 komentářů

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Starší zprávičky

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů