reklama
popularne
Najczęściej czytane
- Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
- Nowe narzędzia do łamania GSM (czytane 3608 razy)
- CRASH - system odpornościowy dla sieci (czytane 3560 razy)
- Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
- Przynęty na hakerów (czytane 3308 razy)
Biblioteka Wiedzy poleca
Przyczyny nieudanych implementacji zabezpieczeń IT
Wdrożenie rozwiązań zabezpieczających infrastrukturę informatyczną nie zawsze podnosi poziom ochrony przetwarzanych danych. Czasami inwestycja okazuje...
pobierz »
Po co nam SSL
20 lutego 2007
Paweł Krawczyk Doniesienia o phishingu, fałszywych witrynach i złodziejach tożsamości sprawiły, że jesteśmy trochę ostrożniejsi. Logując się do bankowego konta, coraz częściej poświęcamy chwilę uwagi, aby sprawdzić pewne "detale" - przynajmniej to czy przeglądarka wyświetla charakterystyczną, żółtą kłódeczkę SSL. Sama jej obecność nie zapewni nam jednak bezpieczeństwa komunikacji, ani nie da gwarancji, że jesteśmy połączeni z właściwym serwerem.Krótkie przypomnienie - protokół SSL (Secure Sockets Layer), stworzony na początku lat 90-tych przez Netscape w początkowej wersji SSLv2 posiadał poważne słabości. Wersja SSLv3 stała się standardem de facto jeśli chodzi o bezpieczeństwo sesji HTTP. Pod koniec lat 90-tych SSL wziął pod swoje skrzydła IETF (ten od standardów RFC) i kontynuuje jego rozwój pod nazwą TLS (Transport Layer Security, w 2006 roku wyszła nowa wersja TLS 1.1). Ponieważ większość przeglądarek i serwerów WWW nadal ustawia jako domyślny protokół SSLv3, więc powszechnie mówi się o protokole SSL/TLS mając na myśli SSLv3, TLS 1.0 lub TLS 1.1, które są w dużym stopniu wstecznie kompatybilne.
Protokół SSL/TLS zapewnia następujące funkcje bezpieczeństwa:
- uwierzytelnienie serwera - czyli potwierdzenie jego autentyczności certyfikatem X.509
- poufność i integralność transmisji - czyli ochronę przed podsłuchaniem wrażliwej treści na trasie między serwerem i przeglądarką, lub jej nieuprawnioną modyfikacją
- uwierzytelnienie w SSL/TLS jest asymetryczne i jednostronne - w przeważającej większości zastosowań (e-banking, sklepy internetowe) tylko serwer uwierzytelnia się za pomocą certyfikatu X.509. Klient robi to później, loginem i hasłem, już wewnątrz tunelu SSL/TLS.
Powód dla którego uwierzytelnienia się tylko serwer jest bardzo prosty i pragmatyczny - uwierzytelnienie klienta certyfikatem X.509 wymaga posiadania certyfikatu. A ten przywiązuje klienta albo do konkretnego komputera albo do karty elektronicznej - a ta z kolei wymaga czytnika i sterowników. Hasło i login nadal są najłatwiej przenośnym i najbardziej uniwersalnym mechanizmem uwierzytelnienia - a ludzkie oczy i palce to interfejs, który ma każdy "pecet".
Skupmy się więc na uwierzytelnieniu serwera bo stanowi ono najczęstszy powód, dla którego w ogóle SSL/TLS się stosuje.
Kto kogo uwierzytelnia?
Poza ochroną przed podsłuchiwaczami zadaniem SSL/TLS jest przede wszystkim zapewnienie klienta, że łączy się z tym serwerem, z którym rzeczywiście chciał się połączyć. Po to właśnie operator serwera kupuje certyfikat X.509 w zaufanej firmie - centrum certyfikacji - takiej jak Thawte, Verisign i inne. Firma gwarantuje klientowi, że łącząc się przez SSL z serwerem https://moj.multibank.pl/ łączy się faktycznie z serwerem, który ma prawo posługiwać się tą nazwą (a nie fałszywką, podstawioną nam w wyniku ARP spoofingu lub DNS cache spoofingu). Oraz że serwis ten należy do "BRE Bank SA" z Łodzi (pole Subject certyfikatu) a nie cwaniaka, który zarejestrował tę domenę na fałszywy dowód osobisty.
A za co centra certyfikacji sprzedające certyfikaty na potrzeby SSL tak naprawdę biorą pieniądze? Przede wszystkim za to, że ich certyfikaty nadrzędne (root) zostały dodane do systemowej bazy certyfikatów w popularnych systemach (Windows, Linux, MacOS) - przez co stały się zaufane dla 99% użytkowników sieci. Taka jest definicja słowa "zaufany certyfikat" w świecie SSL. A w praktyce sprowadza się to do ikonki kłódeczki w dolnym rogu przeglądarki, która mówi użytkownikowi że łączy się z serwerem zaufanym - w sensie jak wyżej.
|
Wystaw ocenę:
|
Średnia ocena (liczba głosów: 6)![]() |
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
Komentarze
Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- Liczba zatwierdzonych komentarzy (2) |
- dodaj komentarz |
- zobacz wszystkie
papi
- ocena: brak oceny
- IP: 62.233.211.97
- 24-02-2007, 14:29
Dobry
bober
- ocena: brak oceny
- IP: 87.205.39.128
- 28-02-2007, 22:47
zgadzam
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA




"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.



