Czy płacąc za zakupy w sieci zastanawiasz się, czy twoje pieniądze są bezpieczne? Widok charakterystycznej kłódki w pasku adresu to dobry znak, ponieważ odwiedzana strona internetowa posiada pozytywnie zweryfikowany przez przeglądarkę WWW certyfikat SSL, a połączenie z nią jest szyfrowane. W ramach cyklu #cyberWAT przybliżamy skomplikowany system szyfrowania połączeń i jego znaczenie dla współczesnej architektury bezpieczeństwa online.
Certyfikat SSL (ang. Secure Sockets Layer) jest elementem składowym wykorzystywanym w procesie zabezpieczania i uwierzytelniania komunikacji z usługami świadczonymi w Internecie. Do jego realizacji wykorzystywane są obecnie protokoły z rodziny TLS (ang. Transport Layer Security), które chronią dane przesyłane między przeglądarką internetową użytkownika a serwerem. Dzięki niemu nasze informacje są bezpieczne podczas zakupów online czy przeglądania poufnych treści.
„Pojęcie certyfikatu SSL przeważnie odnosi się do certyfikatów w standardzie X.509, które pozwalają m.in. na uwierzytelnienie stron komunikacji. Historycznie SSL było nazwą protokołu, który kiedyś służył do zabezpieczenia komunikacji w sieci internetowej. Obecnie obowiązującym standardem jest protokół TLS” – wyjaśnia mgr inż. Michał Glet z Wydziału Cybernetyki WAT.
Bezpieczne połączenie zabezpieczone protokołem TLS gwarantuje poufność, integralność i autentyczność przesyłanych danych. Proces szyfrowania powoduje, że dla potencjalnych intruzów mają one zupełnie nieczytelną formę. Ponadto weryfikowana jest tożsamość serwera, co umożliwia użytkownikom potwierdzenie, że komunikują się z prawidłową stroną internetową. Szczególnie istotne jest to w kontekście transakcji finansowych czy przesyłania danych osobowych.
Kiedy wiemy, że strona jest zabezpieczona?
O poprawnym certyfikacie SSL najczęściej informuje ikona zamkniętej kłódki lub klucza obok adresu strony w pasku przeglądarki. Widząc ją mamy dużą pewność, że ustanowione połączenie jest bezpieczne. Często dodatkową wskazówką jest kolor zielony ikonki. W przypadku braku certyfikatu najczęściej pojawia się ikonka wykrzyknika w kolorze czerwonym. Różnice w oznaczeniach wynikają z różnych rozwiązań przyjętych przez twórców przeglądarek i mogą istnieć również pomiędzy dwoma różnymi wersjami tej samej przeglądarki.
„Certyfikaty są częścią mechanizmu infrastruktury klucza publicznego PKI (ang. Public Key Infrastructure). Nie chronią nas one jednak w 100%, ponieważ bezpieczeństwo certyfikatów istniejących w ramach tego mechanizmu w pewnej mierze polega na zaufaniu. Każda przeglądarka internetowa ma wbudowany własny magazyn lub korzysta z systemowego magazynu z zaufanymi certyfikatami głównych urzędów certyfikujących (element PKI), które są używany do weryfikacji ważności ścieżki certyfikacji certyfikatu SSL. I tutaj może pojawić się pole do nadużyć. Jeżeli ktoś albo coś (np. oprogramowanie malware) wgra nam do tego magazynu dodatkowe certyfikaty, przeglądarka zacznie uznawać je za prawidłowe. Użytkownik będzie widział kłódkę, mimo że będzie komunikował się z fałszywą stroną internetową” – mówi mgr inż. Michał Glet.
Komunikacja w Internecie odbywa się za pośrednictwem protokołu HTTP (ang. Hypertext Transfer Protocol). Jego wersją zabezpieczoną mechanizmem TLS jest HTTPS (ang. Hypertext Transfer Protocol Secure), dlatego każdą stronę z certyfikatem SSL rozpoznamy patrząc na adres strony. Szczegóły certyfikatu możemy sprawdzić klikając ikonę zamkniętej kłódki i wyświetlając informacje dotyczące bezpieczeństwa witryny.
Co oznacza brak certyfikatu SSL?
Strony internetowe bez certyfikatu SSL mogą mieć niekiedy problemy z załadowaniem się. W zależności od przeglądarki, wyświetleniu takiej witryny może towarzyszyć ostrzeżenie czy nawet alert blokujący jej załadowanie.
„Protokół HTTP jest stale aktualizowany. Jego najnowsza wersja wprowadza liczne udogodnienia związane z bezpieczeństwem i zwiększa prędkość ładowania się strony. Obsługiwana jest jednak wyłącznie z wykorzystaniem certyfikowanego, szyfrowanego połączenia. Nowe wersje przeglądarek internetowych nie przesyłają danych związanych z plikami Cookie, jeżeli komunikacja z serwerem nie jest zabezpieczona protokołem TLS. Strony, które nie posiadają certyfikatu SSL nie będą działać prawidłowo” – wyjaśnia naukowiec.
Certyfikat buduje zaufanie użytkowników do witryn online. Przekłada się to na bardzo praktyczne korzyści. Zakładając konto na stronie mamy większą pewność, że nasze dane są bezpieczne. Możemy być również pewni, że wpisując adres e‑mail do formularza kontaktowego nikt go nie przejmie podczas transmisji danych i nie zostaniemy zasypani spamem.
Strony, które nie posiadają certyfikatu SSL nie muszą być niebezpieczne, ale jego brak powinien być dla nas sygnałem ostrzegawczym. Formalnie nadal jednak nie jest on obowiązkowy i można korzystać z nieszyfrowanego połączenia. W praktyce właścicielom stron internetowych zależy na posiadaniu certyfikatu, ponieważ jego brak zmniejsza radykalnie widoczność stron w wyszukiwarce, i w konsekwencji zmniejsza liczbę wyświetleń.
Jakie są rodzaje certyfikatu SSL?
Wyróżniamy certyfikaty jednodomenowe i wielodomenowe. Certyfikaty typu Wildcard idą krok dalej, obejmując wszelkie subdomeny danej domeny nadrzędnej. Z uwagi na poziom zabezpieczeń wyróżnia się trzy rodzaje zabezpieczeń:
- Certyfikat DV (ang. Domain Validation) skupiają się na zweryfikowaniu samej domeny, potwierdza jej autentyczność weryfikując prawo właściciela do posługiwania się domeną, ale nie potwierdzając jego tożsamości,
- Certyfikat OV (ang. Organization Validation) jest wystawiany na podstawie weryfikacji właściciela domeny. W szczegółach certyfikatu można zobaczyć szczegółowe dane na jego temat,
- Certyfikat EV (ang. Extended Validation) zapewnia najwyższy standard uwierzytelnienia tożsamości w Internecie. Urząd Certyfikacji nie tylko weryfikuje dane właściciela domeny, lecz także potwierdza jego tożsamość na podstawie szczegółowej weryfikacji dokumentów rejestrowych i wpisów w rządowych bazach danych oraz innych wiarygodnych źródłach.
Jak to działa?
Po wpisaniu adresu strony internetowej przeglądarka wysyła zapytanie do serwera, a ten odsyła dane umożliwiające jej wyświetlenie. Wykorzystywany jest do tego protokół HTTP. Umożliwia on nie tylko przeglądanie stron internetowych, lecz także pobieranie plików, przesyłanie danych formularzy i wiele innych interakcji w sieci. To międzynarodowy standard, bez którego nie można wyobrazić sobie dziś komunikacji w Internecie.
Bezpieczne połączenie SSL (protokół HTTPS) nieco wydłuża proces komunikacji. Zanim serwer odeśle dane umożliwiające wyświetlenie witryny przesyła dane uwierzytelniające (kopię certyfikatu SSL). Następnie przeglądarka weryfikuje poprawność certyfikatu i jeśli jest on poprawny nawiązuje połączenie. Dopiero na tym etapie serwer przesyła dane, które są wcześniej szyfrowane, aby uniemożliwić do nich nieautoryzowany dostęp. Zanim jednak do tego dojdzie przeglądarka sprawdza:
- czy certyfikat jest poprawny w sensie matematycznym lub struktury,
- czy certyfikat jest ważny w kontekście daty obowiązywania,
- czy certyfikat został wystawiony przez zaufany urząd certyfikacji,
- czy certyfikat nie został unieważniony,
- czy adres, na który został wystawiony certyfikat jest zgodny z adresem strony WWW.
Jeżeli weryfikacja zakończy się sukcesem, to przeglądarka tworzy bezpieczny kanał komunikacyjny z serwerem. Od tego momentu wszystkie wysyłane i odbierane do usługi dane są szyfrowane.
Dlaczego to jest tak ważne?
W Polsce 92% stron internetowych jest zabezpieczonych certyfikatem SSL. Z badania przeprowadzonego przez agencję badawczą SW Research wynika, że tylko 64% Polaków zwraca uwagę na bezpieczeństwo połączenia. Aż 22% udzieliło przeciwnej odpowiedzi, a 14% nie wie, co to jest certyfikat SSL.
W związku z rosnącym zagrożeniem cyberprzestępczością, certyfikat SSL jest dziś kluczowym elementem infrastruktury internetowej, zapewniając integralność komunikacji i budując zaufanie użytkowników do witryn online. Nie tylko zapewnia bezpieczeństwo i prywatność w sieci, lecz także zmniejsza ryzyko ataków typu man-in-the-middle, które polegają na przejęciu i modyfikacji przez cyberprzestępców danych przysłanych pomiędzy dwiema stronami bez ich wiedzy. Osoby dotknięte takim atakiem narażone są na kradzież tożsamości i wiele innych oszustw internetowych.
Marcin Wrzos
projekt graficzny: Katarzyna Puciłowska