Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Padomi » SSL sertifikāti mēdz būt dažādi

SSL sertifikāti mēdz būt dažādi

Ar ko drošs savienojums atšķiras no nedroša, to zina diezgan daudzi. Bet tālāk jau bieži vien vairs nekas nav skaidrs: kur iegūst sertifikātu, ar ko viens sertifikāts atšķiras no otra, ar ko SSL atšķiras no TLS un kas tie tādi vispār ir, kāds sertifikātam sakars ar drošību — un tā tālāk.

Šajā ierakstā pacentīsimies sniegt atbildes kaut vai uz daļu no šiem un līdzīgiem jautājumiem, taču sāksim aplinkus — ko adreses logā apzīmē HTTP un HTTPS.

 

 

HTTP un HTTPS datu pārraidē

Kad mēs apmeklējam kādu interneta vietni, lasām tur tekstu vai ievadām kaut kādus datus, tad notiek mūsu datora informācijas apmaiņa ar serveri, kurā atrodas vietne. Apmaiņa notiek atbilstoši datu pārraides protokolam, kas nosaka, kādā veidā dažādas lietojumprogrammas savā starpā apmainās ar informāciju.

Datu pārraidīšanai tīklā un informācijas saņemšanai no interneta vietnēm izmanto HTTP protokolu (angļu val. HyperText Transfer Protocol — hiperteksta pārraides protokols). Tam ir variants, kuru sauc par HTTPS (angļu val. HyperText Transfer Protocol Secure — drošais hiperteksta pārraides protokols). Šis protokola variants nodrošina šifrētas informācijas apmaiņu starp klientdatoru un serveri. Tas nozīmē, ka informācija, ar kuru apmainās klientdators un serveris, ir pieejama tikai šim klientdatoram un šim serverim, nevis kādai trešajai pusei (piemēram, interneta pakalpojumu sniedzējam vai Wi-Fi tīkla administratoram).

Savukārt no klientdatora uz serveri pārraidāmo datu šifrēšana notiek saskaņā ar vēl citu, kriptogrāfisko protokolu. Sākumā šim nolūkam izmantoja SSL protokolu (angļu val. Secure Sockets). Tam bija vairākas versijas, bet tās visas agrāk vai vēlāk saņēma kritiku par drošības trūkumiem. Galu galā sāka izmantot tagadējo versiju — to pārdēvēja par TLS (angļu val. Transport Layer Security). Taču nosaukums SSL ir plašāk pazīstams, un to bieži vien izmanto, lai apzīmētu arī jauno protokola versiju.

Lai varētu izmantot šifrēšanu, vietnei ir nepieciešams īpašs sertifikāts jeb ciparu paraksts, kas apliecina, ka šifrēšanas mehānisms tiešām ir drošs un atbilst protokolam. Ja vietnei tāds sertifikāts ir, tad līdztekus burtam S apzīmējumā HTTPS par to liecina arī zaļa atslēdziņa un uzraksts „Protected” vai uzņēmuma nosaukums pārlūkprogrammas adrešu logā.

Kā vietne var iegūt SSL sertifikātu

Ir divi veidi. Pirmais veids: vietnes tīmekļa pārzinis var patstāvīgi ģenerēt kriptogrāfiskās atslēgas, izsniegt un parakstīt sertifikātu. Tādu sertifikātu sauc par pašparakstītu (angļu val. Self-Signed). Tādā gadījumā savienojums ar vietni tiks šifrēts, bet lietotājam, kad viņš apmeklēs vietni ar šādu sertifikātu, parādīsies brīdinājums, ka sertifikāts nav uzticams (nav centrāli apstiprināts vai ir novecojis). Tad pārlūkprogrammas logā parasti redzama pārsvītrota atslēdziņa un sarkani burti HTTPS vai arī meklēšanas logā burti HTTPS ir sarkani un pārsvītroti (atkarībā no pārlūkprogrammas).

Otrais (un vienīgais pareizais) veids — iegādāties sertifikātu vienā no uzticamiem sertifikācijas centriem (Certificate authority). Sertifikācijas centrs izpēta vietnes īpašnieka dokumentus un pārbauda viņa domēna īpašnieka tiesības — sertifikāts taču garantē lietotājam arī to, ka resurss, ar kuru notiek informācijas apmaiņa, pieder reālam un likumīgam uzņēmumam, kurš reģistrēts noteiktā reģionā.

Ir diezgan daudz sertifikācijas centru, bet tikai daži no tiem ir autoritatīvi. No centra reputācijas ir atkarīgs, vai tam uzticēsies pārlūkprogrammu izstrādātāji un kā viņu programma rādīs vietni ar šādu sertifikātu. No sertifikāta veida, darbības termiņa un centra reputācijas ir atkarīga sertifikāta cena.

SSL sertifikātu veidi

Centri paraksta vairāku veidu sertifikātus — atkarībā no drošuma līmeņa, no tā, kurš un kā tos var iegūt un attiecīgi no cenas

Pirmā veida sertifikātus sauc par DV (angļu val. Domain Validation — domēna pārbaude). Lai tādu saņemtu, fiziskajai vai juridiskajai personai ir jāpierāda, ka tā kaut kādā veidā kontrolē domēnu, kuram iegādājas sertifikātu. Tas ir, ka, vai nu domēns tai pieder, vai arī tā administrē vietni šajā domēnā. Šis sertifikāts ļauj izveidot drošu savienojumu, bet nesatur informāciju par organizāciju, kurai izdots, un tā noformēšanai nav nepieciešami nekādi dokumenti. Tādu sertifikātu parasti var saņemt dažās minūtēs.

Augstāka līmeņa sertifikāti ir OV (angļu val. Organization Validation — organizācijas pārbaude). Tādus sertifikātus izsniedz tikai juridiskajām personām, un tām ir jāuzrāda dokumenti, kas apliecina organizācijas dibināšanu; tādējādi tiek apstiprināts ne tikai drošs savienojums ar domēnu, bet arī tas, ka domēns pieder elektroniskajā sertifikātā norādītajai organizācijai. Noformēšana var ilgt vairākas dienas, jo visi dokumenti ir jāpārbauda. Par vietnes DV vai OV sertifikātu pārlūkprogrammā liecina pelēka vai zaļa atslēdziņa, vārds „Secure” un burti HTTPS adrešu laukā.

Vēl ir arī visaugstākā līmeņa sertifikāti — EV (angļu val. Extended Validation — paplašināta pārbaude). Arī šo sertifikātu var saņemt tikai juridiskās personas, kas iesniegušas visus nepieciešamos dokumentus, bet īpatnība ir tāda, ka organizācijas nosaukums un atrašanās vieta ar zaļiem burtiem ierakstīta adrešu laukā aiz zaļas atslēdziņas. Tādiem sertifikātiem pārlūkprogrammas visvairāk uzticas, bet tie ir arī visdārgākie. Tos lielākoties iegādājas lielie uzņēmumi. Pat bankas bieži vien tos iegādājas nevis savai galvenajai vietnei, bet atsevišķi savam tiešsaistes maksājumu servisa domēnam.

Informācija par sertifikātu (kas un kad izsniedzis, cik ilgi derīgs) ir pieejama, ja uzklikšķina organizācijas nosaukumam vai vārdam Secure — tiesa, tas nav iespējams gluži visās pārlūkprogrammās.

Problēmas ar sertifikātiem

Galvenie pārlūkprogrammu izstrādātāji, piemēram, Google un Mozilla, savas politikas pamatā liek interneta un tā lietotāju datu drošību. Tāpēc 2017. gada rudenī Google paziņoja, ka turpmāk visas lapas, kuras izmanto HTTP savienojumu, marķēs kā „nedrošas”.

Visas vietnes, kas izmantoja HTTP, bija spiestas steigšus iegādāties uzticamos sertifikātus. Tādēļ sertifikācijas centru pakalpojumi kļuva daudz pieprasītāki, un protams, ka šie centri grib tērēt mazāk laika dokumentu pārbaudīšanai, lai pagūtu izsniegt pēc iespējas vairāk sertifikātu. Tādēļ daudzi centri vairs neveic tik rūpīgas pārbaudes.

Tā rezultātā drošus sertifikātus saņem nebūt ne drošākās vietnes. Piemēram, Google veicis pētījumu un noskaidrojis, ka viens no lielākajiem un autoritatīvākajiem centriem Symantec izsniedzis vairāk nekā 30 000 sertifikātu bez pienācīgām pārbaudēm. Šim centram nav spožu  izredžu: Google paziņojis, ka vairs neuzskatīs par uzticamiem tā izsniegtos sertifikātus, kamēr centrs nepārveidos visu savu pārbaudes sistēmu un neieviesīs jaunus standartus. Arī Mozilla plāno padarīt stingrāku sertifikātu pārbaudi savās pārlūkprogrammās un tādējādi ietekmēt izsniegšanas noteikumus.

Taču pagaidām nevar pilnīgi paļauties uz sertifikāta un to saņēmušās organizācijas drošumu. Pat tad, ja tas ir EV sertifikāts, kurš it kā atbilst visām drošības prasībām, nav ieteicams ticēt visam, kas rakstīts ar zaļajiem burtiņiem.

Ar EV sertifikātiem ir pat īpaši slikti: ļaundaris var reģistrēt uzņēmumu, kura nosaukums ir aizdomīgi līdzīgs kāda cita, plaši pazīstama uzņēmuma nosaukumam, un saņemt savai vietnei EV sertifikātu. Tādā gadījumā adrešu laukā ar zaļiem burtiem būs rakstīts pazīstamā uzņēmuma nosaukumam līdzīgais nosaukums, kas padarīs ļaundara izveidoto pikšķerēšanas vietni vēl līdzīgāku īstajai. Tāpēc vienmēr esiet piesardzīgi un ievērojiet drošības noteikumus, kad izmantojat jebkuru tīmekļa vietni.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

77 + = 80

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu