Što je SSL?
(engl. Secure Socket Layer) (SSL je mehanizam podizanja sigurnosti na web stranici.) Označava transportni TCP/IP protokol čija metoda kriptiranja web prometa sprečava pristup do web-a onima kojima to nije namijenjeno. SSL omogućuje siguran kanal za slanje povjerljivih podataka putem Interneta jer se podaci nakon unosa prvo kriptiraju pa tek onda šalju dalje. Stoga najveću svrhu ima na web stranicama gdje se npr. ispunjavaju forme s podacima kreditnih kartica i ostalih povjerljivih korisničkih podataka, što osobnih što financijskih. U tom slučaju podaci su nevidljivi, ne mogu se presresti i dešifrirati.
Dakle, u današnjem Internet-fokusiranom svijetu, SSL se koristi kako bi se enkripcijom, unatoč nesigurnom Internetu, uspostavila sigurna veza/komunikacija klijenta (web-preglednika, mail klijenta) s poslužiteljem (web server-neka domena, mail).
SSL protokol prilikom spajanja obavještava korisnika putem preglednika o prisutstvu SSL-a ikonom lokota, ispisanom adresom u zelenoj boji (u adresnoj traci) ili zelenom adresnom trakom (ovisi da li je Extended validation SSL certifikat ili Standard-OV, DV SSL certifikat) te oznakom “https”. Klikom na spomenutu ikonu lokota mogu se vidjeti detalji o SSL certifikatu (izdavač, vlasnik, jačina enkripcije…)
https vs. http
Web-adrese koje su zaštićene SSL protokolom započinju izrazom https, umjesto http. Zato neki SSL nazivaju i “HTTPS”. Https protokol koristi internet port 443, dok http protokol koristi port 80.
Https je internetski protokol nastao kombinacijom protokola HTTP s protokolom SSL/TLS.
Moguća posljedica http pristupa je krađa podataka. Preko http protokola događaju se “napadi prisluškivanjem” gdje napadač lako dobije pristup online računima i osjetljivim informacijama kao što su podaci o kreditnoj kartici te login podaci raznih web računa koje krajnji korisnik ima. Podaci upisani i poslani kroz preglednik preko https-a (SSL-a) sigurni su jer se kriptiraju (šifriraju).
Gdje i za što se sve koristi SSL?
– za sigurne online transakcije kreditnim karticama
– za sigurnu prijavu u sustav i sve osjetljive informacije koje se u njemu razmjenjuju
– za siguran webmail pristup i aplikacije kao što je Outlook Web Access ili Exchange
– za osiguranje tijeka rada i virtualizacijskih aplikacija kao što su Citrix isporučne platforme za Cloud-based računalne platforme.
– za sigurnu vezu između email klijenta kao što je Microsoft Outlook ili Microsoft Exchange
– za siguran prijenos datoteka preko https ili FTP(s) servisa kada administratori stranica ažuriraju web ili kod prijenosa datoteka.
– za sigurne prijave u hosting control panel, kao što su cPanel, Parallels i dr.
– za sigurne Intranet i Ekstranet mreže, kao što su interne mreže, datotečni prijenos (file sharing i Microsoft SharePoing), spajanje na bazu…
– za sigurne mrežne prijave i drugi mrežni promet sa SSL VPN kao što su VPN pristup poslužiteljima ili aplikacijama kao što su Citrix Access Gateway.
Što je SSL certifikat?
SSL certifikat je dio programskog koda instaliran na poslužitelju koji kao opće prihvaćeni mehanizam podiže sigurnost web stranica na višu razinu. On je potvrda da se na tom web mjestu koristi enkripcija podataka. Instalacijom jednog od SSL certifikata možete nenametljivo i provjereno potvrditi da je Vaša web stranica sigurna. Kod kupovine putem Interneta gdje kupac mora unijeti svoje podatke SSL certifikat je znak da su svi poslani podaci osigurani.
Tko izdaje SSL certifikate?
SSL certifikate izdaju certifikacije kuće, CA – Certificate Authority koje utvrđuju točnost informacije koje im pošalju pojedinci ili organizacije kod traženja SSL-a. Neke kuće sigurnije su od drugih jer se pridržavaju strožijih procedura gdje se greške ne potkradaju, npr. GlobaSign. Najutjecajnije i najbolje rangirane certifikacijske kuće su Symantec, Thawte i GeoTrust te se njihovi certifikati smatraju pouzdanima.
Koje su vrste SSL certifikata?
Neke organizacije trebaju SSL radi tajnosti povjerljivih podataka, tj. enkripcije, a neke kako bi poboljšali povjerenje u svoju sigurnost i identitet, kada žele dokazati kupcima kako su povjerljiva i legitimna organizacija.
SSL certifikati razlikuju se po dubini enkripcije (stupnju sigurnosti) i po načinu uporabe, odnosno štite li samo glavnu domenu ili i sve njene poddomene.
Kako se zahtjevi za SSL-om sve više šire, zasada postoje tri vrste SSL certifikata nazvanih prema razini validacije:
1. Extended SSL certifikat (EV)
Najcjenjenija i najsigurnija tehnologija SSL-a koja od prvobitnog nastanka slijedi proširene smjernice validacije (Extended validation guidelines). Nanoviji preglednici kao što su Microsoft Internet Explorer 7+, Opera 9.5+, Firefox 3+, Google Chrome, Apple Safari 3.2+ i iPhone Safari 3.0+ identificiraju Extended SSL certifikate i pritom aktiviraju zelenu adresnu traku s dodanom ikonom lokota. Dostupni su za sve vrste poslovanja. Extended SSL certifikat je idealan za one koji žele imati najvišu razinu autentičnosti. Web shop tvrtke koje rade s kreditnim karticama definitivno bi trebale imati EV certifikat.
Prije izdavanja, CA provjerava pravo podnositelja zahtjeva za isti, je li domena u njihovom vlasništvu te provodi temeljitu provjeru organizacije po strogim koracima koje je CA/Browser forum objavio u spomenutim smjernicama 2007. godine. Podnositelj zahtjeva potpisuje poseban ugovor o prihvaćanju uvjeta, radi se telefonska provjera postojanja tvrtke, provjerava se sudski registar, direktor i još niz drugih provjera što može potrajati od nekoliko dana do nekoliko tjedana.
2. Organization SSL (OV)
Organizacije koje se prijave za taj certifikat provjeravaju se od strane CA prije samog izdavanja certifikata u vidu imaju li legitimnu domenu te provjere samu organizaciju. Također otkriva posjetiteljima glavne informacije o organizaciji kada kliknu na markicu “Secure Site Seal” kojom se spoje na certifikatora. Time posjetitelji mogu poboljšati svoje povjerenje u tu organizaciju. Izdaje se u roku par dana.
3. Domain SSL (DV)
Preglednik ga prepoznaje i označava jednako kao i Organization SSL, samo što klikom na “Secure Site Seal” nema prikaza informacija o poduzeću već samo dubina enkripcije. Prednost mu je što se izdaje odmah po zahtjevu, kroz nekoliko minuta i bez dostavljanja dokumentacije poduzeća koje ga želi. Potrebna je samo validacija domene, tj. CA provjeri pravo podnositelja na domenu. To ga čini idealnim za one koji žele enkripciju podataka bez dodatnog napora, za malu cijenu i kojima nije bitno dokazivanje autentičnosti.
Zašto je toliko bitno dokazati autentičnost firme?
Zato jer danas bilo tko može registrirati bilo koju domenu, postaviti web stranicu na kojoj će se predstaviti lažno, kao neka druga osoba, tvrtka, web shop… Prevarant tako dođe u posjed svih podataka koje je posjetitelj unio preko forme, od osobnih podataka do brojeva kartica. Taj način prevare naziva se “phishing”. Klikom na markicu certifikata posjetitelj može provjeriti nalazi li se zaista na web stranicama firme predstavljene na stranicama i uvjeriti se u (ne)sigurnost.
Slika 1. Prikaz EV SSL certifikata kroz tri različita preglednika (Firefox, Chrome, Internet Explorer)
Klikom na oznaku lokota na korak ste do detalja o certifikatu i obaviješteni da je veza sigurna. Slijedi primjer EV SSL certifikata za korisničke stranice web hosting providera Studio4web u Google Chrome pregledniku.
Slika 2. Korak do informacija tvrtke i Extended SSL certifikata
Slika 3. Podaci o certifikatu
Izgled prikaza certifikata putem preglednika Mozilla Firefox:
Slika 4. Prikaz certifikata u Firefox pregledniku
Slika 5. Informacije o vrsti EV certifikata
Većina SSL certifikata osigurati će glavnu domenu ili poddomenu, zato postoji još jedna skupina certifikata:
4. Wildcart certifikati
Vrsta certfikata koja je potrebna ukoliko želite osim glavne domene zaštititi i neograničen broj poddomena. Ne podržava extended validaciju pa adresa ne može biti zelena.
Enkripcija i dubina enkripcije
Enkripcija je matematički algoritam u programskom kodu kojim se šifriraju i dešifriraju podaci. Namjena je da se informacije učine nečitljivim za osobe koje nemaju – ključ. Za to postoje različiti algoritmi, a većina SSL certifikata koristi SHA algoritam. Nakon pokretanja enkripcijske sesije, njenu dubinu i sigurnost određuje više faktora od kojih su navažniji: vrsta SSL certifikata, vrsta web poslužitelja, vrsta web preglednika i vrsta OS-a na računalu klijenta.
Javni ključ se koristi za šifriranje, a privatni ključ za dešifriranje.
Svaki SSL certifikat kreira jedinstveni par ključeva: jedan je javni ključ, a drugi (tajni) privatni ključ. Podatak ili poruka koja je šifrirana određenim javnim ključem može se dešifrirati samo posjedovanjem određenog privatnog ključa. Isto vrijedi i obratno. Dubina enkripcije zavisi o kompleksnosti i veličini ključeva, čim je kompleksnot i duljina veća, manja je mogućnost dešifriranja od neautorizirane strane. Konkretno, veličina ključa ovisi o broju bitova. (npr. 40 bita, 128 bita, 256 bita…). Kao i duža lozinka, i veći ključ ima veći broj kombinacija. U praksi, 128 bitni ključevi su probijeni, 160 bitni ključevi su teoretski probijeni i stoga se u današnje vrijeme preporuča korištenje 256 bitnih ključeva.
Kako internetski i matematički svijet napreduje, povećava se i mogućnost razbijanja SHA1 (160bit) algoritma pa je 2014. godine počela tranzicija na SHA2 (256bit) SSL certifikate. Od 1. siječnja 2016. godine certifikati sa SHA1 algoritmom više se ne izdaju jer su označeni kao nepovjerljivi. U razdoblju tranzicije moglo se besplatno postojeće SHA1 certifikate reizdati u SHA2 algoritam.
Većina aplikacija, poslužitelja i preglednika podržava SHA2, ali stariji operacijski sustavi kao što je Windows XP i neki mobilni uređaji ne podržavaju.
Za prelaza na SHA2 potrebno je ažurirati na posljednju verziju preglednik i aplikacije te napraviti sigurnosna ažuriranja na operacijskom sustavu.
SSL brendovi
Kvalitetan, a s najnižom cijenom na tržištu Rapid SSL najčešće se koristi. Razina enkripcija je 256 bitna, koristi se za zaštitu maila, aplikacija kao što je npr. Facebook te kod manjih web stranica (shopova) na kojima se vrše novčane transakcije ili razmjena povjerljivih podataka. Instalira se na jednu domenu i osigurava samo nju i njene poddirektorije. Prepoznaje ga 99% preglednika i ima visok nivo stabilnosti.
Comodo SSL nudi povoljne certifikate s 256 bitnom enkripcijom. Kao i sljedeća dva, nudi trust seal logo kojeg možete postaviti na web stranicu kao znak sigurnog web okruženja. Svakako bi se trebao staviti na stranicu gdje kupci unose svoje podatke i na blagajni web shopa.
Geotrust SSL je malo skuplji, ali vrhunski certifikat prepoznat kao optimalan izbor.
Thawte SSL i Symantec SSL (nekad Verisign), najcjenjeniji su certifikati, a najskuplji je Symantec zbog svog ugleda jer je kao izdavatelj najstariji. No to ne znači da je najbolji jer oba imaju istu razinu zaštite i koriste istu tehnologiju šifriranja.
Svi oni nude različite vrste SSL-a prema dubini enkripcije.
I za kraj po jedan savjet za vlasnike stranica i posjetitelje:
– Vlasnici stranica, zaštite sebe i svoje posjetitelje od prijevara na Internetu.
– Posjetitelji stranica, nikada ne upisujte svoje povjerljive podatke, broj kartice u formular na web stranici koja nije zaštićena SSL certifikatom i ako niste 100% sigurni da se nalazite na stranicama firme koje želite.
Autor: Dinka Jurinić – studio4web.com