SSL

Co to jest SSL? SSL <Secure Socket Layer> - protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP, NNTP i Telnet. Powszechnie jest używane głównie HTTPS (HTTP na SSL).

Słowo o SSL SSL (ang. Secure Socket Layer) stworzony został w celu spełnienia wymagań odnośnie bezpieczeństwa przesyłanych siecią informacji. Pozwala na zestawianie szyfrowanych połączeń internetowych wykorzystujących takie protokoły jak: http, ftp, smtp, nntp czy telnet. Jednakże standardowo SSL wbudowany jest tylko w http, w pozostałych przypadkach należy go oddzielnie kompilować, co może stwarzać problemy – zarówno klient jak i serwer muszą go obsługiwać. Najpowszechniejszym jego zastosowaniem jest jednak wykorzystanie go na stronach WWW w celu bezpiecznego przesyłania informacji, które nie powinny wpaść w niepowołane ręce. Dzięki swoim możliwościom pozwala on na realizację w najprostszy sposób np. transakcji płatniczych dokonywanych w internecie, składania zamówień itp. W obecnej chwili SSL jest obsługiwany przez wszystkie używane przeglądarki i powszechnie stosowane w większości sklepów internetowych na zachodzie, jak i w Polsce. Podstawowym zadaniem SSL jest więc zapewnienie poufności danych poprzez szyfrowanie połączeń oraz ich integralności poprzez stosowanie sum kontrolnych. Umożliwia on także uwierzytelnianie serwera (lub serwera i klienta) za pomocą tzw. certyfikatów.

Istota SSL: SSL zapewnia trzy rzeczy: prywatność --- połączenie jest szyfrowane autoryzację --- klient i serwer określa swoją tożsamość integralność przesyłanych danych --- przez sumy kontrolne Ze względu na sposób dokonywania autoryzacji SSL jest protokołem scentralizowanym, inaczej niż np. PGP. Jest on oparty o grupę instytucji certyfikujących --- Certyfing Authorities, w skrócie CA, które opatrują swoim podpisem certyfikaty poszczególnych serwerów. CA z założenia są godni zaufania, a uzyskanie podpisu wymaga przedstawienia szeregu dowodów tożsamości. W ten sposób wchodząc na serwer legitymujący się certyfikatem jednego ze znanych CA mamy pewność że serwer rzeczywiście jest tym za który się podaje.

SSL przewiduje użycie trzech rodzaje certyfikatów: certyfikat CA Zbiór informacji reprezentujących tożsamość danej instytucji certyfikującej. Obecność podpisu danego CA na certyfikacie serwera oznacza, że CA zaakceptował dowody przedstawione przez firmę występującą o podpis i swoim certyfikatem poświadcza autentyczność serwera. certyfikat serwera Zbiór informacji reprezentujących tożsamość danego serwera. Certyfikat serwera musi być opatrzony podpisem CA. certyfikat osobisty Znacznie mniej rozpowszechnione są certyfikaty klienta --- firmy promujące używanie tego certyfikatu nazywają go "cyfrowym paszportem". Wraz z podpisem odpowiedniego CA pozwala potwierdzić Twoją tożsamość jako klienta. certyfikat atrybutu Zaproponowany przez Netscape jako rozszerzenie istniejących certyfikatów. Sam w sobie nie stanowi dowodu tożsamości. Wśród głównych zastosowań wymienia się np. przyznawanie tymczasowych praw podpisywania certyfikatów. 

Specyfikacje SSL: W tej chwili istnieją dwie specyfikacje SSL: SSL 2.0 Wersja 3.0 ma poprawione wiele słabości SSL 2.0 oraz umożliwia kompresję danych. SSL 3.0 jest wstecznie kompatybilne z 2.0. TLS 1.0 – rozwinięcie SSL 3 opisane w RFC 2246. TLS 1.1 – wersja obecnie rozwijana, opisana w RFC 4346, zalecana przez IETF jako standard i coraz częściej używana. Wyjaśnia ona pewne niejednoznaczności i dodaje nowe zalecenia wynikające z praktyki użycia –

Jak nawiązuje się połączenie SSL? Podając w URLu protokół https. Na przykład: https://www.verisign.com/ Oczywiście, nie z każdym serwerem WWW można się połączyć przez SSL. Jednak praktycznie wszystkie serwery mające coś wspólnego z zakupami przez Internet na to pozwalają. W Netscape i MSIE bezpieczne połączenie jest oznaczane przez złączenie złamanego kluczyka w lewym dolnym rogu ekranu.

Certyfikaty SSL - Wprowadzenie Coraz ważniejszą rolę odgrywa bezpieczeństwo przesyłanych przez internet informacji. Rozwój takich usług jak bankowość internetowa czy sklepy on-line wymusza zastosowanie bezpiecznych technologii dla przesyłania i gromadzenia informacji o klientach – ich danych osobowych, numerów kart czy haseł dostępu. Obowiązek taki nakłada na przedsiębiorstwa także ustawa o ochronie danych osobowych –  firmy gromadzące takie dane muszą zapewnić bezpieczne ich pozyskiwanie i przechowywanie. Rozwój usług wymusza także korzystanie z rozwiązań pozwalających użytkownikom (klientom) jednoznacznie identyfikować daną instytucję w sieci. Żadne poważne przedsiębiorstwo nie może sobie pozwolić dzisiaj na zignorowanie tych działań, gdyż wraz ze wzrostem świadomości internautów wzrosły wymogi co do ich obsługi.

Certyfikaty SSL - Wprowadzenie http://www.ssl.certum.pl/certyfikaty/main.xml Powszechne Centrum Certyfikacji http://www.certum.pl/certum/cert,cindex_pl.xml Narodowe Centrum Certyfikacji pełni funkcję głównego urzędu certyfikacji dla infrastruktury bezpiecznego podpisu elektronicznego w Polsce, powierzoną Narodowemu Bankowi Polskiemu przez Ministra Gospodarki i Pracy na mocy ustawy z dnia 18 września 2001 r. o podpisie elektronicznym. http://www.centrast.pl/ncc/home.aspx

Certyfikaty Obsługa certyfikatów w protokole SSL oparta jest na instytucjach certyfikujących, zwanych w skrócie CA (ang. Certyfing Authorities). Instytucje te wydają i podpisują używane przez serwery certyfikaty.  Na całym świecie jest jedynie kilkanaście CA, a wszystkie one są z założenia godne zaufania; otrzymanie certyfikatu wiąże się z koniecznością przedstawienia szeregu dokumentów potwierdzających tożsamość osoby wnioskującej o jego wydanie.

c.d. Certyfikaty Certyfikat SSL rejestruje się zawsze na określoną nazwę domeny (np. www.abc.pl) i zawiera on informacje o właścicielu certyfikatu, jego adresie itp. Danych tych nie można zmienić bez powtórnej rejestracji nowego certyfikatu. Dzięki skrupulatnej procedurze uwierzytelnienia przyszłego właściciela certyfikatu podczas jego zakupu, przyszły klient wchodzący przez SSL na stronę sklepu www.abc.pl ma pewność, że jego właścicielem jest firma ABC oraz że podany na stronie adres i dane kontaktowe są prawdziwe. Istnieje co prawda możliwość wystawienia certyfikatu samemu sobie, z pominięciem CA, jednak certyfikat taki będący siłą rzeczy nie podpisany przez CA, będzie niegodny zaufania. Stosuje się jednak tę możliwość w sytuacji, gdy chcemy posiadać certyfikaty dla kilku obiektów w naszym systemie. Nieekonomiczne w takim przypadku byłoby bowiem, fatygowanie instytucji certyfikującej dla każdego z nich. W tym celu ustawiamy własny urząd certyfikujący, którego zadaniem będzie poświadczanie lokalnych certyfikatów; sam urząd zaś będzie legitymował się certyfikatem wystawionym przez CA W ten sposób tworzymy łańcuch, na szczycie którego stoi zaufana instytucja – a więc chociaż lokalne certyfikaty będą wystawione przez nas samych to dajemy użytkownikowi możliwość ich zweryfikowania.

Co w certyfikacie siedzi ? Certyfikat jest zbiorem informacji, które jednoznacznie identyfikują daną instytucję, osobę czy serwer oraz umożliwiają potwierdzenie, iż dana osoba jest rzeczywiście tym, za kogo się podaje. Informacje zawarte w certyfikacie to: nazwa certyfikowanej jednostki identyfikator jednostki klucz publiczny jednostki okres ważności certyfikatu wystawca certyfikatu identyfikator wystawcy podpis wystawcy

Ważność certyfikatu Ważność certyfikatu może wygasnąć w dwóch przypadkach. Pierwszy, wydaje się bardzo oczywisty - w momencie upływu jego terminu ważności. W drugim, gdy taki certyfikat zostanie unieważniony z innych powodów przed datą wygaśnięcia ważności. Istnieje bowiem czasami konieczność anulowania certyfikatu ze względów bezpieczeństwa (dobrym przykładem takiej sytuacji są zmiany personalne w przedsiębiorstwie, gdy odchodzą z niego pracownicy, którzy posiadali dostęp do ważnych danych). W tym celu wykorzystuje się tak zwane listy unieważnień (certificate revocation lists), które są przechowywane na serwerach wszystkich CA. Oprogramowanie klienta sprawdzając otrzymany certyfikat zadaje pytanie do jego wystawcy o ważność takiego certyfikatu. Chociaż generuje to dodatkowy ruch w internecie, jak do tej pory jest to jedyne rozwiązanie tego problemu.

Jak otrzymać certyfikat ? Do zakupienia certyfikatu SSL wymagane jest posiadanie wszystkich potrzebnych w toku procedury danych oraz dokumentów. Procedura jest niestety dość czasochłonna ze względu na konieczność przesyłania dokumentów w postaci papierowej. Podczas rejestracji wymagane jest podanie takich informacji jak: dane osoby kontaktowej na stanowisku decyzyjnym, dane osoby kontaktowej na stanowisku technicznym, pełny adres firmy, dla której jest kupowany certyfikat, czasami numer faksu firmy, dla której jest kupowany certyfikat. Należy przedstawić dokumenty stwierdzające fakt rejestracji firmy pod podaną nazwą (wyciąg z ewidencji gospodarczej, REGON, NIP) oraz dowód rejestracji określonej domeny przez daną firmę. Dokument ten można uzyskać z instytucji, która zarejestrowała domenę, na przykład z NASK. Należy również podać dane do certyfikatu - nazwę kraju w którym jest zarejestrowana firma, nazwę województwa, nazwę firmy oraz nazwę domeny. Ważne jest, aby wszystkie nazwy były ze sobą zgodne. Brzmienie nazwy firmy z wyciągu z ewidencji musi być identyczne jak to, podane w certyfikacie, tak samo adresu i innych danych.