 |
Az autentikációról, más néven partner hitelesítésről szeretne olvasni? |
 |
Webszerver tanúsítványt szeretne vásárolni? |
Ha egy böngészőbe https:// kezdetű címet írunk be, akkor a böngésző megpróbál TLS (régebbi nevén SSL) kapcsolatot létesíteni az adott szerverrel. Az TLS kapcsolat keretében elkéri és ellenőrzi a szerver tanúsítványát, összehasonlítja a tanúsítványban szereplő és a böngészőbe beírt címet (URL-t), majd a tanúsítványban lévő nyilvános kulcsot felhasználva a szerverrel közös szimmetrikus kulcsokban állapodnak meg. A későbbi kommunikációt ezen szimmetrikus kulcsokkal titkosítják, illetve hitelesítik.
Ha TLS kapcsolatot létesítettünk, a böngészők általában egy kis lakatot jelenítenek meg. A lakat vagy az URL (a weboldal címe) mellett, vagy a böngésző jobb alsó sarkában jelenik meg. (Ha a lakat magán weboldalon jelenik meg, az nem jelenti azt, hogy az oldallal valóban biztonságos lenne a kapcsolat. Csaló weboldalak szoktak ilyen, és ehhez hasonló trükkökkel próbálkozni.)
Mikor fontos, hogy egy oldalnak TLS tanúsítványa legyen? Elsősorban akkor, ha az oldallal érzékeny információkat cserélünk. Például, internet bank estében különösen fontos, hogy TLS kapcsolaton keresztül jelentkezzünk be, mert ekkor a hálózaton hallgatózó támadók sem a belépési jelszavunkat, sem a banki adatainkat nem hallgathatják le. Hasonlóan érzékeny a helyzet, ha Interneten fizetünk, és hitelkártyánk adatait adjuk meg a weben keresztül. Akkor is fontos lehet az TLS kapcsolat, ha nem adunk ugyan meg személyes adatokat, viszont valami miatt különösen fontos, hogy a weboldalon szereplő információk valóban arról az oldalról származnak, mint ahogy hisszük. (Gyakori, hogy a szerverrel nem cserélünk érzékeny adatokat, ekkor teljesen felesleges TLS kapcsolatot létesíteni, a kódolási műveletekkel ekkor csak feleslegesen terhelnénk a gépünket. Ha nem cserélünk érzékeny adatokat, az TLS hiánya nem jelent veszélyt.)
A támadóknak viszonylag könnyű eltéríteni a kapcsolatainkat, ekkor hiába írjuk be a böngészőnkbe, hogy a http://kedvencoldalam.hu oldallal szeretnénk kommunikálni, a támadó egészen egyszerűen átirányíthat bennünket az ő csaló, http://sunyivagyok.hu című weboldalára.
Ha ugyanazt a címet https:// kezdettel írjuk be (https://kedvencoldalam.hu, akkor a támadó hiába téríti el a kapcsolatot a sunyivagyok.hu oldalra. Böngészőnk ekkor ugyanis elkéri az oldal tanúsítványát, megvizsgálja, hogy a tanúsítvány a kedvencoldalam.hu címre szól-e, majd az TLS protokoll szerint - kihívás és válasz alapú megoldás segítségével - ellenőrzi, hogy a webszerver rendelkezik-e az adott - kedvencoldalam.hu címre szóló - tanúsítványhoz tartozó magánkulccsal. A bizalmi szolgáltatók a tanúsítvány kibocsátása előtt meg kell, hogy győződjenek róla, hogy a tanúsítvány alanya - esetünkben a webszerver üzemeltetője - birtokolja-e a tanúsítványba kerülő címet (domaint), valamint rendelkezik-e a tanúsítványhoz tartozó magánkulccsal, és a kulcs nem volt illetéktelen kezekben. Ez a megoldás biztosítja, hogy ha a böngészőnkbe a https://kedvencoldalam.hu címet írjuk be, akkor a kapcsolat a kedvencoldalam.hu-val jön létre, és - tekintve, hogy a kapcsolat titkosított és hitelesített - a kommunikációt illetéktelen fél nem módosíthatja, és nem hallgathatja le.
 |
A kriptográfiai alapfogalmakról szeretne olvasni? |
|
A *-ot tartalmazó címre szóló webszerver tanúsítványokról (az ún. wildcard tanúsítványokról) szeretne olvasni? |
|
A több címre szóló webszerver tanúsítványokról (az ún. UCC tanúsítványokról) szeretne olvasni? |
|
A tanúsítványokról szeretne olvasni? |
|
A hitelesítés szolgáltatókról szeretne olvasni? |
|
Webszerver tanúsítványt szeretne vásárolni? |
A webszerver tanúsítvány azt igazolja, hogy a tanúsítványhoz tartozó magánkulccsal kizárólag a tanúsítványban lévő cím birtokosa rendelkezik. Így a kérdéses webszerverrel titkosított és hitelesített kapcsolatot lehet létesíteni. A következőkre legyünk tekintettel ezzel kapcsolatban:
- A webszerver tanúsítvány nem jelenti azt, hogy a szerver biztonságos. Ha a szervert feltörték, és az a támadó irányítása alatt áll, hiába létesítünk vele biztonságos kapcsolatot, a támadóval kommunikálunk.
- A TLS kapcsolatot a tanúsítványban - és a böngészőnk címsorában - megjelölt szerverrel létesítjük. A címből nem mindig könnyű kideríteni, hogy valóban azzal kommunikálunk, akivel szeretnénk. Az xyz.hu címből gyakran nehéz meghatározni, hogy a cím mögött milyen cég vagy szervezet áll.
- Ha valakinek érvényes tanúsítványa van, az nem jelenti azt, hogy az illető jóindulatú. A támadó, mint a sunyivagyok.hu domain birtokosa, nyugodtan vásárolhat erre a címre tanúsítványt. Hiába győződünk meg róla, hogy az oldalnak tanúsítványa van, nem szerencsés, ha hitelkártyánk adatait közvetlenül a támadónak adjuk meg. (Sőt, a támadó, mint a sunyivagyok.hu domain birtokosa, vásárolhat tanúsítványt a kedvencoldalam.sunyivagyok.hu címre is.)
Célszerű megtekinteni az oldal tanúsítványát, és megnézni a tanúsítványban szereplő adatokat, ez alapján - például a tanúsítvány alanya szervezetének nevéből - könnyebb eldönteni, hogy valóban azzal kommunikálunk, akivel szeretnénk.
- Gyakori, hogy amikor az X cégtől szeretnénk vásárolni valamit, az átirányít az Y cég weboldalára, mert a fizetéssel kapcsolatos lépéseket az Y cég bonyolítja le. Ilyenkor általában nem akarnak becsapni bennünket, de akár az URL-t, akár a tanúsítványban lévő adatokat próbáljuk ellenőrizni, zavarba jöhetünk, amikor egy vadidegen cég címét és adatait találjuk ott.
- Legyünk óvatosak, ha a böngészőnk nem ismeri fel, vagy nem tudja ellenőrizni egy oldal tanúsítványát. Ez önmagában nem jelenti azt, hogy csaló oldalról van szó, de - ha más módon nem győződünk meg a tanúsítvány érvényességéről - nem lehetünk biztosak benne, hogy valóban azzal kommunikálunk, akivel szeretnénk.
- A böngészők időnként elemi lépéseket kihagynak a tanúsítványok ellenőrzésekor. Például, előfordul, hogy nem ellenőrzik a tanúsítvány visszavonási állapotát stb.
- Ha TLS kapcsolaton kommunikálunk egy szerverrel, a kapcsolatba harmadik fél nem tud közbeékelődni (nem tudja azt sem lehallgatni, sem módosítani), de ez nem mindig előnyös. Például, előfordulhat, hogy egy rosszindulatú weboldallal (pl. a támadó irányítása alatt álló feltört oldallal) kommunikálunk, és az oldalról TLS kapcsolaton keresztül rosszindulatú programot (pl. vírust) töltünk le. Ekkor hiába védi a hálózatunkat olyan tűzfal, amely esetleg képes volna kiszűrni a rosszindulatú tartalmat, a saját tűzfalunk sem lát bele a titkosított adatfolyamba.
|
Van már webszerver tanúsítványa, és ki szeretné próbálni, hogy jól van-e beállítva a szerveren? |
