Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Przyczyny nieudanych implementacji zabezpieczeń IT

Wdrożenie rozwiązań zabezpieczających infrastrukturę informatyczną nie zawsze podnosi poziom ochrony przetwarzanych danych. Czasami inwestycja okazuje...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Po co nam SSL

20 lutego 2007

Paweł Krawczyk
Doniesienia o phishingu, fałszywych witrynach i złodziejach tożsamości sprawiły, że jesteśmy trochę ostrożniejsi. Logując się do bankowego konta, coraz częściej poświęcamy chwilę uwagi, aby sprawdzić pewne "detale" - przynajmniej to czy przeglądarka wyświetla charakterystyczną, żółtą kłódeczkę SSL. Sama jej obecność nie zapewni nam jednak bezpieczeństwa komunikacji, ani nie da gwarancji, że jesteśmy połączeni z właściwym serwerem.

Protokół SSL, jak każdy mechanizm bezpieczeństwa, jest protokołem silnym tylko pod warunkiem poprawnego wykorzystania. Tymczasem w praktyce, z powodu braku zrozumienia pewnych niuansów implementacji tej technologii, administratorzy zbyt często popełniają błędy. Powodują one, że zabezpieczenie komunikacji poprzesz SSL jest w dużej mierze fikcyjne.

Krótkie przypomnienie - protokół SSL (Secure Sockets Layer), stworzony na początku lat 90-tych przez Netscape w początkowej wersji SSLv2 posiadał poważne słabości. Wersja SSLv3 stała się standardem de facto jeśli chodzi o bezpieczeństwo sesji HTTP. Pod koniec lat 90-tych SSL wziął pod swoje skrzydła IETF (ten od standardów RFC) i kontynuuje jego rozwój pod nazwą TLS (Transport Layer Security, w 2006 roku wyszła nowa wersja TLS 1.1). Ponieważ większość przeglądarek i serwerów WWW nadal ustawia jako domyślny protokół SSLv3, więc powszechnie mówi się o protokole SSL/TLS mając na myśli SSLv3, TLS 1.0 lub TLS 1.1, które są w dużym stopniu wstecznie kompatybilne.

Protokół SSL/TLS zapewnia następujące funkcje bezpieczeństwa:

- uwierzytelnienie serwera - czyli potwierdzenie jego autentyczności certyfikatem X.509
- poufność i integralność transmisji - czyli ochronę przed podsłuchaniem wrażliwej treści na trasie między serwerem i przeglądarką, lub jej nieuprawnioną modyfikacją
- uwierzytelnienie w SSL/TLS jest asymetryczne i jednostronne - w przeważającej większości zastosowań (e-banking, sklepy internetowe) tylko serwer uwierzytelnia się za pomocą certyfikatu X.509. Klient robi to później, loginem i hasłem, już wewnątrz tunelu SSL/TLS.

Powód dla którego uwierzytelnienia się tylko serwer jest bardzo prosty i pragmatyczny - uwierzytelnienie klienta certyfikatem X.509 wymaga posiadania certyfikatu. A ten przywiązuje klienta albo do konkretnego komputera albo do karty elektronicznej - a ta z kolei wymaga czytnika i sterowników. Hasło i login nadal są najłatwiej przenośnym i najbardziej uniwersalnym mechanizmem uwierzytelnienia - a ludzkie oczy i palce to interfejs, który ma każdy "pecet".

Skupmy się więc na uwierzytelnieniu serwera bo stanowi ono najczęstszy powód, dla którego w ogóle SSL/TLS się stosuje.

Kto kogo uwierzytelnia?

Poza ochroną przed podsłuchiwaczami zadaniem SSL/TLS jest przede wszystkim zapewnienie klienta, że łączy się z tym serwerem, z którym rzeczywiście chciał się połączyć. Po to właśnie operator serwera kupuje certyfikat X.509 w zaufanej firmie - centrum certyfikacji - takiej jak Thawte, Verisign i inne. Firma gwarantuje klientowi, że łącząc się przez SSL z serwerem https://moj.multibank.pl/ łączy się faktycznie z serwerem, który ma prawo posługiwać się tą nazwą (a nie fałszywką, podstawioną nam w wyniku ARP spoofingu lub DNS cache spoofingu). Oraz że serwis ten należy do "BRE Bank SA" z Łodzi (pole Subject certyfikatu) a nie cwaniaka, który zarejestrował tę domenę na fałszywy dowód osobisty.

A za co centra certyfikacji sprzedające certyfikaty na potrzeby SSL tak naprawdę biorą pieniądze? Przede wszystkim za to, że ich certyfikaty nadrzędne (root) zostały dodane do systemowej bazy certyfikatów w popularnych systemach (Windows, Linux, MacOS) - przez co stały się zaufane dla 99% użytkowników sieci. Taka jest definicja słowa "zaufany certyfikat" w świecie SSL. A w praktyce sprowadza się to do ikonki kłódeczki w dolnym rogu przeglądarki, która mówi użytkownikowi że łączy się z serwerem zaufanym - w sensie jak wyżej.


12 3  dalej »
Wystaw ocenę:
    Średnia ocena (liczba głosów: 6)
AudioBot - odsłuchaj materiałAudioBot - odsłuchaj materiał wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

papi

  • ocena: brak oceny
  • IP: 62.233.211.97
  • 24-02-2007, 14:29

Dobry artykuł tylko myslałem sądząc po tytule, że będzie więcej szczegółów technicznych dotyczących ssl''a, a wyszło raczej o cetyfikatach w szyfrowaniu ssl''em w połączeniach https. A SSL to nie tylko przeglądarki ...

bober

  • ocena: brak oceny
  • IP: 87.205.39.128
  • 28-02-2007, 22:47

zgadzam sie z papi, art ciekawy ale pozostaje niedosyt...