Protokół SSL pozwala na szyfrowanie komunikacji pomiędzy użytkownikiem i serwerem. Wiarygodność instytucji posługującej się certyfikatem można w prosty sposób zweryfikować. Należy zwracać na to szczególną uwagę, przede wszystkim w momencie logowania się do serwisów wymagających szczególnego bezpieczeństwa – poczty elektronicznej i kont bankowych.
Certyfikat SSL jest standardem kryptograficznym opracowanym (w obecnie używanej wersji) w 1999 roku, wykorzystującym architekturę szyfrowania asymetrycznego. Oznacza to, że do zaszyfrowania porcji danych i jej późniejszego odszyfrowania używane są dwa różne klucze – publiczny i prywatny.
Jak otrzymać certyfikat SSL?
Aby otrzymać zweryfikowany certyfikat SSL, należy zostać uznanym przez Centrum Autoryzacyjne (tzw. Zaufana Trzecia Strona) za instytucję godną zaufania. Biorąc pod uwagę specyfikację algorytmów używanych podczas zabezpieczania danych, oraz że za teoretycznie bezpieczny uznawany jest klucz o długości 4096 bitów, proces szyfrowania i deszyfrowania informacji jest czasochłonny i wymaga odpowiedniej mocy obliczeniowej komputera. Przez to zaczęto łączyć większe bezpieczeństwo szyfrów asymetrycznych, z wydajnością szyfrowania symetrycznego – do zapewnienia poufności wiadomości używa się wspólnego klucza, znanego tylko podmiotom upoważnionym, który jest uzgadniany pomiędzy stronami przy wykorzystaniu protokołu SSL.
Przed czym chroni certyfikat SSL?
Wszystkie instytucje wykorzystujące w swoich produktach protokół SSL zapewniają szyfrowanie komunikacji. Oznacza to, że o wiele trudniej jest taką transmisję danych rozkodować, lub zmienić. Używanie certyfikatu przez serwer, pozwala użytkownikowi stwierdzić, czy za jego instytucję-właściciela nikt się nie podszywa – Centrum Autoryzacyjne dba o weryfikowanie podmiotów ubiegających się o ważny certyfikat. Ponadto przez budowę algorytmów SSL możliwe jest natychmiastowe wykrycie ingerencji w przesyłane dane.
Zobacz także: Hosting pod sklep internetowy
Jak rozpoznać, że instytucja wykorzystuje SSL?
Najprostszym sposobem na zweryfikowanie instytucji pod względem dbania o poufność komunikacji jest rzut oka na pasek adresu w wykorzystywanej przeglądarce internetowej – jeżeli serwis używa certyfikatów SSL i zostały one poprawnie rozpoznane przez Centrum Autoryzacyjne, na nim pojawi się zielona kłódka. W przeciwnym wypadku kłódka będzie czerwona, przekreślona, lub w ogóle jej nie będzie.
Skąd wiadomo, że serwer jest tym, do którego użytkownik chciał się połączyć?
Centrum Autoryzacji ma budowę hierarchiczną – nadrzędne CA (Centrum Autoryzacji) poświadcza za CA podległe. Dodatkowo w bazie konkretnego CA nie może być dwóch certyfikatów wydanych na takie same dane, więc jeżeli widać zieloną kłódkę – można z dużym prawdopodobieństwem przyjąć, że witryna do której użytkownik się połączył jest godna zaufania. Oczywiście, istnieje możliwość stworzenia własnego Centrum Autoryzacyjnego i próba podszycia się pod inną instytucję, dlatego w przypadkach wątpliwych warto sprawdzić, kto dany certyfikat wystawił i podpisał.