SSL a jeho vývoj pro zvýšení bezpečnosti na Internetu

Jan Zderadička, 11. květen 2009 09:11 0 komentářů
Rubriky: Security, Internet

Bezpečnost
SSL protokol (Secure Sockets Layer) a jeho následník TLS (Transport Layer Security) si stále drží přední místo mezi nejpoužívanějšími způsoby pro zajištění bezpečné komunikace po Internetu. V tomto smyslu stojí pod ostatními protokoly, které zajišťují běžné služby na Internetu (web, odesílání a přijímání mailů, FTP přenos) a umožňuje tedy zabezpečení jejich komunikace. Omezuje taková rizika jako je manipulace s daty, jejich krádež, phishing a podstrčení falešné identity.

Jan Zderadička
Jan Zderadička

Protokol SSL vznikl přibližně před 15 lety, jeho původní myšlenka a základní principy ovšem zůstaly zachovány dodnes. Tím je myšleno jeho využití pro autentifikaci a šifrování přenášených dat. Význam tohoto a podobných protokolů se stále zvyšuje s rostoucím trendem využití Internetu pro elektronické nakupování, platby, elektronické bankovnictví na straně jedné a současně se zvyšujícím počtem případů manipulace s daty, phishingem a tedy narůstající potřebou zabezpečení na straně druhé.

Autentifikace

Autentifikace představuje ověření, že server je tím, za koho se vydává. Nejčastěji se autentifikuje pouze server vůči klientovi. Pro zajištění důvěryhodnosti ověření autenticity serveru se využívá certifikátů vydaných třetí stranou – tzv. certifikačními autoritami (např. Verisign, Thawte). Není tedy nutné, aby se odesílatel a příjemce zprávy mezi sebou osobně znali. Aby proběhla autentifikace bez problémů, musí být splněny následující podmínky:


  • certifikát je platný, tj. dosud neexspiroval

  • certifikát je vydán pro doménu, na kterou se značíme přistupovat s SSL zabezpečením

  • certifikát je vydaný důvěryhodnou certifikační autoritou

Šifrování

Šifrování zajistí, že obsah zprávy nebude čitelný pro nikoho jiného než odesílatele a příjemce zprávy. Současně si veřejným komunikačním kanálem odesílatel a příjemce zprávy vymění své veřejné klíče. Ty představují způsob, jak zprávu šifrovat, ale neumožňují ji dešifrovat, k čemuž je třeba privátní klíč uložený vždy pouze na každém konci komunikačního kanálu. Využití je možné šifrování s 40-, 56-, 128- nebo nejnověji 256-bitovým klíčem. První 2 varianty se dnes již nepovažují za příliš bezpečné, doporučuje se tedy využití 128-bitového šifrování nebo vyšší.

Praxe využití SSL certifikátů

Využití SSL jako způsobu pro bezpečnou komunikaci na Internetu je již standardem, nicméně bohužel dochází k mnoha častým rozporům ve využití oproti jeho základním principům:


  1. Subjekty často využívají certifikační autoritu, která není prohlížeči uživatele známa, na což upozorní chybovou hláškou a tím dojde ke snížení důvěryhodnosti příslušného serveru v očích uživatele. Některé banky vyžadují od uživatele instalaci nové kořenové certifikační autority a teprve poté lze pracovat s certifikátem konkrétního subjektu, banky atd. Příkladem certifikační autority na území České republiky je První certifikační autorita, a.s., využívaná např. ČSOB. Důvodem použití jiné certifikační autority než té, která je prohlížečům všeobecně známa jako důvěryhodná, mohou být i specifická legislativní opatření daného státu. V České republice má na starosti vydávání akreditací pro výkon činnosti akreditovaného poskytovatele certifikačních služeb Úřad pro ochranu osobních údajů na základě zákona č. 227/2000 Sb., o elektronickém podpisu.
  2. Certifikát je vydán pro jinou doménu – v tomto a předchozím případě by měl uživatel rozhodně zpozornět, neboť útoky pro obejití zabezpečení protokolem SSL jsou založeny často právě na tom, že mezi klientem a serverem stojí další subjekt, který se snaží podvrhnout certifikát vůči klientovi a jakožto prostředník tak bez vědomí uživatele zcela kontrolovat komunikaci vůči serveru a nazpět. Bližší popis takového útoku je možné nalézt např. na našem sesterském serveru Abclinuxu.cz. Rozpoznat tento typ útoku je možné právě na základě toho, že předložený certifikát nebude odpovídat doméně, na kterou uživatel přistupuje, anebo je vydán nedůvěryhodnou certifikační autoritou.
  3. Certifikační autority se často velmi liší nejen v cenách, ale i v důslednosti ověření identity vlastníka certifikátu. Politiky pro ověření autenticity žadatele o certifikát jsou značně odlišné. Zatímco někdy jsou vyžadovány jasné a průkazné dokumenty, jindy postačuje potvrzení emailu na doméně, pro kterou je certifikát vydán. Pro zajištění větší důvěryhodnosti pro uživatele vydává např. společnost Verisign certifikát Secure Site Pro EV (extended validation), který nabízí zatím nejvyšší bezpečnostní úroveň a v prohlížečích je rozpoznán pomocí změny v adresním řádku na zelenou barvu.
  4. Jak bylo naznačeno již výše, SSL prostřednictvím certifikátů může zamezit i útokům, které se snaží o podstrčení falešné identity nebo domény. V tomto smyslu může být dnes již doplněn i o další bezpečnostní mechanismy, jako je např. DNSSEC, zamezující podstrčení identity již na úrovni DNS. Do budoucna lze očekávat větší rozšiřování všech zmíněných bezpečnostních mechanismů.


Profil autora


Ing. Jan Zderadička je analytikem vývojového oddělení společnosti IGNUM. Ve svých článcích se zaměřuje především na problematiku domén, zajímá se také o problematiku bezpečnosti a vývoj internetových technologií. Ve volném čase by se rád více věnoval cestování.


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Poskytování IT služeb mění podnikání Konica Minolta

Pavel Houser , 24. duben 2018 10:37

Prudký nárůst tržeb v segmentu IT služeb vedl společnost Konica Minolta ke změně přímého prodeje. ...

Více 0 komentářů

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů

Kalendář

24. 04.

25. 04.
IQRF Summit 2018
25. 04. IT mezi paragrafy 2018
30. 04.

03. 05.
Dell EMC World 2018

Starší zprávičky

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů