SSL a jeho vývoj pro zvýšení bezpečnosti na Internetu

Jan Zderadička, 11. květen 2009 09:11 0 komentářů
Rubriky: Security, Internet

Bezpečnost
SSL protokol (Secure Sockets Layer) a jeho následník TLS (Transport Layer Security) si stále drží přední místo mezi nejpoužívanějšími způsoby pro zajištění bezpečné komunikace po Internetu. V tomto smyslu stojí pod ostatními protokoly, které zajišťují běžné služby na Internetu (web, odesílání a přijímání mailů, FTP přenos) a umožňuje tedy zabezpečení jejich komunikace. Omezuje taková rizika jako je manipulace s daty, jejich krádež, phishing a podstrčení falešné identity.

Jan Zderadička
Jan Zderadička

Protokol SSL vznikl přibližně před 15 lety, jeho původní myšlenka a základní principy ovšem zůstaly zachovány dodnes. Tím je myšleno jeho využití pro autentifikaci a šifrování přenášených dat. Význam tohoto a podobných protokolů se stále zvyšuje s rostoucím trendem využití Internetu pro elektronické nakupování, platby, elektronické bankovnictví na straně jedné a současně se zvyšujícím počtem případů manipulace s daty, phishingem a tedy narůstající potřebou zabezpečení na straně druhé.

Autentifikace

Autentifikace představuje ověření, že server je tím, za koho se vydává. Nejčastěji se autentifikuje pouze server vůči klientovi. Pro zajištění důvěryhodnosti ověření autenticity serveru se využívá certifikátů vydaných třetí stranou – tzv. certifikačními autoritami (např. Verisign, Thawte). Není tedy nutné, aby se odesílatel a příjemce zprávy mezi sebou osobně znali. Aby proběhla autentifikace bez problémů, musí být splněny následující podmínky:


  • certifikát je platný, tj. dosud neexspiroval

  • certifikát je vydán pro doménu, na kterou se značíme přistupovat s SSL zabezpečením

  • certifikát je vydaný důvěryhodnou certifikační autoritou

Šifrování

Šifrování zajistí, že obsah zprávy nebude čitelný pro nikoho jiného než odesílatele a příjemce zprávy. Současně si veřejným komunikačním kanálem odesílatel a příjemce zprávy vymění své veřejné klíče. Ty představují způsob, jak zprávu šifrovat, ale neumožňují ji dešifrovat, k čemuž je třeba privátní klíč uložený vždy pouze na každém konci komunikačního kanálu. Využití je možné šifrování s 40-, 56-, 128- nebo nejnověji 256-bitovým klíčem. První 2 varianty se dnes již nepovažují za příliš bezpečné, doporučuje se tedy využití 128-bitového šifrování nebo vyšší.

Praxe využití SSL certifikátů

Využití SSL jako způsobu pro bezpečnou komunikaci na Internetu je již standardem, nicméně bohužel dochází k mnoha častým rozporům ve využití oproti jeho základním principům:


  1. Subjekty často využívají certifikační autoritu, která není prohlížeči uživatele známa, na což upozorní chybovou hláškou a tím dojde ke snížení důvěryhodnosti příslušného serveru v očích uživatele. Některé banky vyžadují od uživatele instalaci nové kořenové certifikační autority a teprve poté lze pracovat s certifikátem konkrétního subjektu, banky atd. Příkladem certifikační autority na území České republiky je První certifikační autorita, a.s., využívaná např. ČSOB. Důvodem použití jiné certifikační autority než té, která je prohlížečům všeobecně známa jako důvěryhodná, mohou být i specifická legislativní opatření daného státu. V České republice má na starosti vydávání akreditací pro výkon činnosti akreditovaného poskytovatele certifikačních služeb Úřad pro ochranu osobních údajů na základě zákona č. 227/2000 Sb., o elektronickém podpisu.
  2. Certifikát je vydán pro jinou doménu – v tomto a předchozím případě by měl uživatel rozhodně zpozornět, neboť útoky pro obejití zabezpečení protokolem SSL jsou založeny často právě na tom, že mezi klientem a serverem stojí další subjekt, který se snaží podvrhnout certifikát vůči klientovi a jakožto prostředník tak bez vědomí uživatele zcela kontrolovat komunikaci vůči serveru a nazpět. Bližší popis takového útoku je možné nalézt např. na našem sesterském serveru Abclinuxu.cz. Rozpoznat tento typ útoku je možné právě na základě toho, že předložený certifikát nebude odpovídat doméně, na kterou uživatel přistupuje, anebo je vydán nedůvěryhodnou certifikační autoritou.
  3. Certifikační autority se často velmi liší nejen v cenách, ale i v důslednosti ověření identity vlastníka certifikátu. Politiky pro ověření autenticity žadatele o certifikát jsou značně odlišné. Zatímco někdy jsou vyžadovány jasné a průkazné dokumenty, jindy postačuje potvrzení emailu na doméně, pro kterou je certifikát vydán. Pro zajištění větší důvěryhodnosti pro uživatele vydává např. společnost Verisign certifikát Secure Site Pro EV (extended validation), který nabízí zatím nejvyšší bezpečnostní úroveň a v prohlížečích je rozpoznán pomocí změny v adresním řádku na zelenou barvu.
  4. Jak bylo naznačeno již výše, SSL prostřednictvím certifikátů může zamezit i útokům, které se snaží o podstrčení falešné identity nebo domény. V tomto smyslu může být dnes již doplněn i o další bezpečnostní mechanismy, jako je např. DNSSEC, zamezující podstrčení identity již na úrovni DNS. Do budoucna lze očekávat větší rozšiřování všech zmíněných bezpečnostních mechanismů.


Profil autora


Ing. Jan Zderadička je analytikem vývojového oddělení společnosti IGNUM. Ve svých článcích se zaměřuje především na problematiku domén, zajímá se také o problematiku bezpečnosti a vývoj internetových technologií. Ve volném čase by se rád více věnoval cestování.


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Starší zprávičky

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje část HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů

Oracle představil novou cenovou politiku pro cloud

Pavel Houser , 21. září 2017 09:52

Až dosud se při přechodu na cloud PaaS nedaly využít dosavadní investice do licencí softwaru v režim...

Více 0 komentářů