Bevezetés

Az SSL tanúsítványok arra szolgálnak, hogy létrejöhessen egy biztonságos, titkosított csatorna a kliens és a szerver között. Bizonyos információknak, mint a hitelkártya adatok, fiókbelépéshez szükséges adatok és egyéb kényes információk átvitelének titkosítás alatt kell történnie, hogy kizárjuk az adatok kiszivárgását.

SSL tanúsítvánnyal adataink titkosításon esnek át, mielőtt azok Interneten keresztül átvitelre kerülnének. A titkosított adatot csak a célszerver képes lefordítani. Ez biztosítja, hogy a weboldalon megadott adatainkat nem tulajdoníthatják el.

2014. augusztus 6-tól kezdve a Google bejelentette: az SSL tanúsítvánnyal rendelkező weboldalak előkelőbb helyre kerülnek a keresőmotorjukban. Ez is egy előny, amiért megéri SSL-t használni.

A tanúsítvány maga base64-es módon kódolt adatokat tartalmaz a kiállításról, ezen kívül tartalmazza a titkosításhoz szükséges publikus kulcsot, a digitális aláírás hitelesítését és a privát kulccsal létrehozott digitális aláírást is.

Az SSL tanúsítványt szerveroldalon kell elhelyezni. Az olyan weboldalak esetében, amelyek biztonságát egy SSL tanúsítvány garantálja, https:// előtaggal fog kezdődni az URL. A hitelesítés fajtájától függően a böngésző lakat ikonnal, illetve a szervezet nevével is jelezheti a biztonságos kapcsolat meglétét.

Az SSL tanúsítványok fajtái

Az SSL tanúsítványokat három hitelesítési csoportra oszthatjuk:

Domain hitelesítő tanúsítvány

A kérelmezőnek igazolnia kell a domain név fölötti rendelkezését. A kibocsátott tanúsítvány tartalmazza a domain nevet, amihez igényelték a tanúsítványt és a kérelmet a tanúsítvány kiállításáról.

Szervezet hitelesítő tanúsítvány

A tanúsítványt kérelmezőnek bizonyítania kell, hogy cége regisztrált és legálisan elszámolható üzletet bonyolít, hogy át tudjon esni a domain hitelesítésen. A kibocsátott tanúsítvány tartalmazza a domaint és a tanúsítványt igénylő szervezet nevét.

Kiterjesztett hitelesítő tanúsítvány

Ez tartalmazza az előbb leírt hitelesítési követelményeket és további feltételeket is. A kibocsátott tanúsítvány tartalmazza a domain és az igénylő szervezet nevét. Fontos megjegyezni, hogy csak a kiterjesztett hitelesítő tanúsítvánnyal rendelkező weboldalak URL sávjában jelenik meg zöld csíkban a szervezet neve.

Technikai áttekintés

Szójegyzet:

Aszimmetrikus kriptográfia – ”titkosírás”, ami külön kulcsot használ a titkosítás létrehozásához és a feloldásához.

Titkosítókészlet – SSL és TLS protokolloknál használt kulcscsere, hitelesítő, titkosítás és üzenet hitelesítő kód (MAC) algoritmusok.

Kézfogás – SSL/TLS protokollokon belül használják, védelmi célból.

Kulcscsere – Az SSL/TLS kontextusában azt a folyamatot jelenti, amely során a kliens és a szerver biztonságosan létrehoz egy előző kulcsot egy alkalom erejéig.

Mesterkulcs – A titkosítókulcsok generálásához, illetve MAC kulcsok, és inicializáló vektorok létrehozására szolgál.

Üzenet hitelesítő kód (MAC) – egyirányú hash funkció egy kulcsról és egy üzenetről.

Elő-mesterkulcs – fő komponens, amit a fő kulcs létrehozásához használnak.

Szimmetrikus kriptográfia – titkosírás, ami ugyanazt a kulcsot használja a titkosításhoz, mint annak feloldásához.

Szimmetrikus és aszimmetrikus kriptográfia

SSL és TLS protokollok esetén két kriptográfiát különböztetünk meg: a szimmetrikusat és az aszimmetrikusat.

A szimmetrikus kriptográfia (tömegkriptográfiának is nevezik) ugyanazt a kulcsot használja a titkosításhoz, mint a feloldáshoz. SSL/TLS esetén a szimmetrikus titkosítást általában alkalmazásadatok titkosítására használják.

Szimmetrikus titkosításokra néhány példa : AES, RC4, DES

Az aszimmetrikus kriptográfia (publikus kulcs kriptográfiának is nevezik) más kulcsot alkalmaz a titkosítás elkészítéséhez, mint amivel feloldja azt. A publikus kulcs egy CSR-ben tárolódik, ezáltal pedig az SSL tanúsítványban is. Titkosítás készítésére és aláírás hitelesítésre használják. A privát kulcs -ami többnyire a szerveren található-, is használható a „kézfogáskor” megállapított titkosítókészlettől függően, az elő-mesterkulcs dekódolásához, hogy a mesterkulcs létrehozható legyen, vagy a mesterkulcs létrehozásához szükséges paraméterek aláírásához. Leegyszerűsítve, az SSL/TLS protokollok kontextusában, az aszimmetrikus titkosítás biztosítja a szimmetrikus titkosítás lefutását mindkét fél számára (kliens/szerver).

Példák az aszimmetrikus titkosítórendszerekből: RSA, DHE, ECDHE

Ajánlott cikk:

A böngészők nem biztonságosnak jelölik az SSL nélküli oldalakat