Podziel się opinią o serwisie
popularne komentowane nowości

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Po co nam SSL

20 lutego 2007

Paweł Krawczyk
Doniesienia o phishingu, fałszywych witrynach i złodziejach tożsamości sprawiły, że jesteśmy trochę ostrożniejsi. Logując się do bankowego konta, coraz częściej poświęcamy chwilę uwagi, aby sprawdzić pewne "detale" - przynajmniej to czy przeglądarka wyświetla charakterystyczną, żółtą kłódeczkę SSL. Sama jej obecność nie zapewni nam jednak bezpieczeństwa komunikacji, ani nie da gwarancji, że jesteśmy połączeni z właściwym serwerem.

Protokół SSL, jak każdy mechanizm bezpieczeństwa, jest protokołem silnym tylko pod warunkiem poprawnego wykorzystania. Tymczasem w praktyce, z powodu braku zrozumienia pewnych niuansów implementacji tej technologii, administratorzy zbyt często popełniają błędy. Powodują one, że zabezpieczenie komunikacji poprzesz SSL jest w dużej mierze fikcyjne.

Krótkie przypomnienie - protokół SSL (Secure Sockets Layer), stworzony na początku lat 90-tych przez Netscape w początkowej wersji SSLv2 posiadał poważne słabości. Wersja SSLv3 stała się standardem de facto jeśli chodzi o bezpieczeństwo sesji HTTP. Pod koniec lat 90-tych SSL wziął pod swoje skrzydła IETF (ten od standardów RFC) i kontynuuje jego rozwój pod nazwą TLS (Transport Layer Security, w 2006 roku wyszła nowa wersja TLS 1.1). Ponieważ większość przeglądarek i serwerów WWW nadal ustawia jako domyślny protokół SSLv3, więc powszechnie mówi się o protokole SSL/TLS mając na myśli SSLv3, TLS 1.0 lub TLS 1.1, które są w dużym stopniu wstecznie kompatybilne.

Protokół SSL/TLS zapewnia następujące funkcje bezpieczeństwa:

- uwierzytelnienie serwera - czyli potwierdzenie jego autentyczności certyfikatem X.509
- poufność i integralność transmisji - czyli ochronę przed podsłuchaniem wrażliwej treści na trasie między serwerem i przeglądarką, lub jej nieuprawnioną modyfikacją
- uwierzytelnienie w SSL/TLS jest asymetryczne i jednostronne - w przeważającej większości zastosowań (e-banking, sklepy internetowe) tylko serwer uwierzytelnia się za pomocą certyfikatu X.509. Klient robi to później, loginem i hasłem, już wewnątrz tunelu SSL/TLS.

Powód dla którego uwierzytelnienia się tylko serwer jest bardzo prosty i pragmatyczny - uwierzytelnienie klienta certyfikatem X.509 wymaga posiadania certyfikatu. A ten przywiązuje klienta albo do konkretnego komputera albo do karty elektronicznej - a ta z kolei wymaga czytnika i sterowników. Hasło i login nadal są najłatwiej przenośnym i najbardziej uniwersalnym mechanizmem uwierzytelnienia - a ludzkie oczy i palce to interfejs, który ma każdy "pecet".

Skupmy się więc na uwierzytelnieniu serwera bo stanowi ono najczęstszy powód, dla którego w ogóle SSL/TLS się stosuje.

Kto kogo uwierzytelnia?

Poza ochroną przed podsłuchiwaczami zadaniem SSL/TLS jest przede wszystkim zapewnienie klienta, że łączy się z tym serwerem, z którym rzeczywiście chciał się połączyć. Po to właśnie operator serwera kupuje certyfikat X.509 w zaufanej firmie - centrum certyfikacji - takiej jak Thawte, Verisign i inne. Firma gwarantuje klientowi, że łącząc się przez SSL z serwerem https://moj.multibank.pl/ łączy się faktycznie z serwerem, który ma prawo posługiwać się tą nazwą (a nie fałszywką, podstawioną nam w wyniku ARP spoofingu lub DNS cache spoofingu). Oraz że serwis ten należy do "BRE Bank SA" z Łodzi (pole Subject certyfikatu) a nie cwaniaka, który zarejestrował tę domenę na fałszywy dowód osobisty.

A za co centra certyfikacji sprzedające certyfikaty na potrzeby SSL tak naprawdę biorą pieniądze? Przede wszystkim za to, że ich certyfikaty nadrzędne (root) zostały dodane do systemowej bazy certyfikatów w popularnych systemach (Windows, Linux, MacOS) - przez co stały się zaufane dla 99% użytkowników sieci. Taka jest definicja słowa "zaufany certyfikat" w świecie SSL. A w praktyce sprowadza się to do ikonki kłódeczki w dolnym rogu przeglądarki, która mówi użytkownikowi że łączy się z serwerem zaufanym - w sensie jak wyżej.


Materiał który Cię interesuje dostępny jest w pełnej wersji w serwisie securitystandard.pl.
Liczba znaków: 5164

Czytaj więcej: Najczęstsze błędy w konfiguracji SSL
12 3  dalej »
Wystaw ocenę:
    Średnia ocena (liczba głosów: 6)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

papi

  • ocena: brak oceny
  • IP: 62.233.211.97
  • 24-02-2007, 14:29

Dobry artykuł tylko myslałem sądząc po tytule, że będzie więcej szczegółów technicznych dotyczących ssl''a, a wyszło raczej o cetyfikatach w szyfrowaniu ssl''em w połączeniach https. A SSL to nie tylko przeglądarki ...

bober

  • ocena: brak oceny
  • IP: 87.205.39.128
  • 28-02-2007, 22:47

zgadzam sie z papi, art ciekawy ale pozostaje niedosyt...