Internetové
stránky
stránky
Komplexní
IT Řešení
IT Řešení
Grafika, DTP
a multimédia
a multimédia
- Slovník
- SSL Certifikát
SSL Certifikát
Svět internetu, stejně jako ten reálný je plný nástrah, s rozvojem webových aplikací jde ruku v ruce nutnost chránit uživatele před těmito nástrahami.
Jedním z dnes už známých nebezpečí je tzv. Pishing, neboli snaha útočníka podstrčit uživateli vzhledem velmi podobně se tvářící webovou aplikaci, která má za úkol získat od uživatele jeho osobní / přihlašovací údaje.
Obranou proti podobným praktikám představuje zabezpečení komunikace mezi
klientem (uživatelem) a poskytovatelem služby (webová aplikace).
K zabezpečení takové komunikace se používá tzv. certifikát, což je entita velmi ve své podstatě velmi podobný vlastnoručnímu podpisu. Podobně jako Váš klasický podpis i certifikát je třeba mít možnost ověřit. Psaný podpis nejčastěji potvrzuje notářské razítko (příjdete na úřad, zaplatíte poplatek, ukážete občanku, podepíšete se, úředník orazí daný dokument svým razítkem a je hotovo). Podobně i elektronický podpis je třeba mít možnost ověřit. Za tímto účelem vznikly tzv. Certifikační Autority (CA) - CA je důvěryhodná instituce (např: www.ica.cz, nebo http://www.postsignum.cz/ - odnož České Pošty). Taková instituce zkontroluje totožnost žadatele o důvěryhodný certifikát a pokud zazná, že vše je v pořádku, "podepíše" tento certifikát svým vlastním. Použití takového certifikátu je mnoho, konkrétním příkladem je využití důvěryhodného certifikátu k ověření pravosti internetové stránky a zabezpečení komunikace mezi stránkou a návštěvníkem: Internetový prohlížeč si automaticky (sám) ověří, zda je certifikát důvěryhodný. Pokud ano, dovolí další komunikaci, pokud není ptá se, zda chce návštěvník pokračovat na vlastní nebezpečí (viz obr. Nedůvěryhodný certifikát).
K zabezpečení takové komunikace se používá tzv. certifikát, což je entita velmi ve své podstatě velmi podobný vlastnoručnímu podpisu. Podobně jako Váš klasický podpis i certifikát je třeba mít možnost ověřit. Psaný podpis nejčastěji potvrzuje notářské razítko (příjdete na úřad, zaplatíte poplatek, ukážete občanku, podepíšete se, úředník orazí daný dokument svým razítkem a je hotovo). Podobně i elektronický podpis je třeba mít možnost ověřit. Za tímto účelem vznikly tzv. Certifikační Autority (CA) - CA je důvěryhodná instituce (např: www.ica.cz, nebo http://www.postsignum.cz/ - odnož České Pošty). Taková instituce zkontroluje totožnost žadatele o důvěryhodný certifikát a pokud zazná, že vše je v pořádku, "podepíše" tento certifikát svým vlastním. Použití takového certifikátu je mnoho, konkrétním příkladem je využití důvěryhodného certifikátu k ověření pravosti internetové stránky a zabezpečení komunikace mezi stránkou a návštěvníkem: Internetový prohlížeč si automaticky (sám) ověří, zda je certifikát důvěryhodný. Pokud ano, dovolí další komunikaci, pokud není ptá se, zda chce návštěvník pokračovat na vlastní nebezpečí (viz obr. Nedůvěryhodný certifikát).
Přítomnost platného SSL certifikátu označuje zelené logo v levé části adresního řádku ve Vašem prohlížeči. Pokud jej vidíte, můžete se bez obav přihlásit, či vyplnit / upravit své osobní údaje.
Princip
převzato z http://cs.wikipedia.org/
Ustavení SSL spojení funguje na principu asymetrické šifry, kdy každá z komunikujících stran má dvojici šifrovacích klíčů – veřejný a soukromý. Veřejný klíč je možné zveřejnit a pokud tímto klíčem kdokoliv zašifruje nějakou zprávu, je zajištěno, že ji bude moci rozšifrovat jen majitel použitého veřejného klíče svým soukromým klíčem.
Ustavení SSL spojení (SSL handshake, tedy „potřásání rukou“) pak probíhá následovně:
- Klient pošle serveru požadavek na SSL spojení, spolu s různými doplňujícími informacemi (verze SSL, nastavení šifrování atd.).
- Server pošle klientovi odpověď na jeho požadavek, která obsahuje stejný typ informací a hlavně certifikát serveru.
- Podle přijatého certifikátu si klient ověří autentičnost serveru. Certifikát také obsahuje veřejný klíč serveru.
- Na základě dosud obdržených informací vygeneruje klient základ šifrovacího klíče, kterým se bude šifrovat následná komunikace. Ten zašifruje veřejným klíčem serveru a pošle mu ho.
- Server použije svůj soukromý klíč k rozšifrování základu šifrovacího klíče. Z tohoto základu vygenerují jak server, tak klient hlavní šifrovací klíč.
- Klient a server si navzájem potvrdí, že od teď bude jejich komunikace šifrovaná tímto klíčem. Fáze handshake tímto končí.
- Je ustaveno zabezpečené spojení šifrované vygenerovaným šifrovacím klíčem.
- Aplikace od teď dál komunikují přes šifrované spojení. Například POST požadavek na server se do této doby neodešle.
Během první fáze ustanovení bezpečného spojení si klient a server dohodnou kryptografické algoritmy, které budou použity. V dnešní implementaci jsou následující volby: