SSL (ang. Secure Socket Layer) jest protokołem zapewniającym bezpieczne przesyłanie danych między klientem a serwerem. Zaprojektowany został w latach 90. przez firmę Netscape Communications Corporation. Powstały trzy realizacje tego protokołu, SSL v3 używany jest do dziś. W 1996 roku Internet Engineering Task Force (IETF) powołało grupę roboczą o nazwie TLS (ang. Transport Layer Security), której zadaniem było rozwijanie protokołu SSL. Trzy lata później opublikowany został standard TLS 1.0, zorientowany głównie na uwierzytelnianie serwera, ale przewidujący możliwość autoryzacji klienta. Teraz natomiast trwają prace nad wersją 1.1.

Jak działa SSL

W swojej podstawowej wersji SSL zabezpiecza protokół HTTP, ale może też służyć do szyfrowania wielu innych protokołów, takich jak Telnet, SMTP, POP, IMAP czy FTP. Głównym zadaniem SSL jest zapewnienie poufności i integralności transmisji, czyli ochrona przed podsłuchaniem wrażliwych treści na trasie między serwerem a przeglądarką oraz nieuprawnioną ich modyfikacją. SSL został stworzony w oparciu o podstawowe zasady kryptografii – szyfrowanie za pomocą klucza publicznego oraz certyfikaty cyfrowe, które pozwalają stwierdzić autentyczność serwera, z którym łączy się użytkownik.

Szyfrowanie kluczem publicznym polega na tym, że każda strona zaangażowana w transakcję przesyłania danych posiada dwa klucze: publiczny oraz prywatny. W typowych zastosowaniach klucz publiczny używany jest do szyfrowania informacji. Można je odczytać za pomocą trzymanego w ścisłej tajemnicy klucza prywatnego (dzięki temu nadawca ma pewność, że informacje odszyfruje tylko i wyłącznie ich adresat). Informacje zaszyfrowane kluczem prywatnym może tymczasem odczytać każdy posiadacz szeroko dostępnego klucza publicznego (pozwala to na stwierdzenie, że dane informacje pochodzą od określonego nadawcy, ponieważ nikt inny nie dysponuje takim kluczem prywatnym).

Podstawowy problem dotyczący przesyłania danych w internecie polega na tym, że niełatwo jest stwierdzić, czy klucz publiczny otrzymany wraz z wiadomością jest rzeczywiście kluczem publicznym osoby wysyłającej informacje. Aby wyeliminować możliwość podszycia się pod nadawcę, stworzony został system certyfikatów.

Mam certyfikat i nie zawaham się go użyć

Certyfikat to nic innego, jak klucz publiczny jakiejś firmy lub osoby, zaszyfrowany za pomocą klucza prywatnego zaufanej organizacji, zajmującej się wydawaniem certyfikatów, zwanej CA (ang. Certificate Authority). Organizacja ta gwarantuje, że łącząc się przez SSL np. z serwerem wybranej strony, klient rzeczywiście połączy się z serwerem, który ma prawo posługiwać się tą nazwą (a nie fałszywką podstawioną w wyniku ARP spoofingu lub DNS cache spoofingu). Każdy certyfikat zawiera:

• nazwę certyfikowanego obiektu,

• identyfikator obiektu,

• klucz publiczny obiektu,

• czas ważności,

• nazwę wystawcy certyfikatu,

• identyfikator wystawcy,

• podpis wystawcy.

Warto odnotować, że istnieje kilka rodzajów certyfikatów. Certyfikat CA zawiera informacje opisujące tożsamość danej instytucji certyfikującej. W certyfikacie serwera znajdziemy informacje reprezentujące tożsamość danego serwera. Istnieje też możliwość uzyskania certyfikatu osobistego, zwanego "cyfrowym paszportem", który potwierdza tożsamość konkretnej osoby. Zarówno certyfikat serwera, jak też certyfikat osobisty muszą być podpisane certyfikatem CA – oznacza to, że CA zaakceptował dowody przedstawione przez firmę lub osobę występującą o podpis.

W najnowszych dostępnych wersjach przeglądarek internetowych informacja na temat podmiotu, na rzecz którego certyfikat został wystawiony, jest prezentowana na zielonym tle w pasku adresu (w górnej części ekranu). Jest to jeden z powodów, dla którego warto pamiętać o używaniu zaktualizowanych wersji przeglądarek.

Poza tym są one wyposażone w funkcje chroniące użytkowników przed phishingiem i innymi sposobami wyłudzania poufnych danych, takich jak numery kart kredytowych, loginy, hasła itp.

Sprawdzanie certyfikatu zabezpieczeń

Przed zalogowaniem się do serwisu, o którym wiemy, że posługuje się certyfikatem SSL, należy sprawdzić:

• czy na ekranie widnieje symbol kłódki oznaczający nawiązanie połączenia szyfrowanego, a adres strony internetowej zaczyna się od https,

• kolejnym krokiem jest weryfikacja ważności certyfikatu oraz tego, czy został on wystawiony dla danego adresu. Jeśli symbol kłódki jest niewidoczny albo weryfikacja przebiegnie niepomyślnie, należy zrezygnować z logowania się do serwisu.

Poniżej znajdują się wskazówki, jak sprawdzić certyfikat zabezpieczeń w zależności od wykorzystywanej przeglądarki.

Mozilla Firefox

Aby sprawdzić certyfikat bezpieczeństwa w tej przeglądarce, należy kliknąć w zielone pole na pasku adresowym w górnej części ekranu, następnie wybrać "Więcej informacji...". W oknie, które wówczas się pojawi, trzeba kliknąć w przycisk "Wyświetl certyfikat". To samo uzyskamy, dwukrotnie klikając w symbol kłódki znajdujący się w prawej dolnej części ekranu.

Internet Explorer

Aby sprawdzić certyfikat zabezpieczeń w przeglądarce Internet Explorer, należy kliknąć w kłódkę umieszczoną w górnej części ekranu, obok adresu strony, potem zaś wybrać opcję "Wyświetl certyfikaty". Pojawi się wówczas okienko umożliwiające zweryfikowanie, czy certyfikat został wystawiony dla strony, na którą użytkownik chce się zalogować.

Opera

Aby sprawdzić certyfikat bezpieczeństwa w Operze, wystarczy kliknąć w zielone pole (z kłódką) znajdujące się w górnej części ekranu, obok adresu strony. Wyświetli się wówczas okienko informujące o zabezpieczeniach danego serwera, umożliwiające też zapoznanie się z certyfikatem.

Google Chrome

Podobnie sprawdzamy certyfikat, korzystając z przeglądarki Google Chrome. Należy dwukrotnie kliknąć w symbol kłódki umieszczony na pasku adresowym w górnej części ekranu. W okienku, które wówczas się pojawi, trzeba wybrać opcję "Informacje o certyfikacie...". W nowo wyświetlonym oknie można będzie zweryfikować certyfikat bezpieczeństwa.