Το Ιστορικό του Πιστοποιητικού SSL

Χρόνος διαβασματός: 3 πρακτικά

Η Secure Sockets Layer Το πρωτόκολλο (SSL) υιοθετήθηκε από το Netscape το 1994 ως απάντηση στην αυξανόμενη ανησυχία για την ασφάλεια του Διαδικτύου. Ο στόχος του Netscape ήταν να δημιουργήσει μια κρυπτογραφημένη διαδρομή δεδομένων μεταξύ ενός πελάτη και ενός διακομιστή που ήταν αγνωστικιστής πλατφόρμας ή λειτουργικού συστήματος. Το Netscape αγκάλιασε επίσης το SSL για να επωφεληθεί από νέα σχήματα κρυπτογράφησης, όπως η πρόσφατη υιοθέτηση του Προηγμένου Προτύπου Κρυπτογράφησης (AES), που θεωρείται πιο ασφαλές από το Πρότυπο Κρυπτογράφησης Δεδομένων (DES). Πράγματι, έως τον Ιούνιο του 2003, η κυβέρνηση των ΗΠΑ έκρινε το AES αρκετά ασφαλές ώστε να χρησιμοποιείται για διαβαθμισμένες πληροφορίες:

«Ο σχεδιασμός και η ισχύς όλων των βασικών μηκών του αλγορίθμου AES (δηλαδή, 128, 192 και 256) επαρκούν για την προστασία διαβαθμισμένων πληροφοριών μέχρι το επίπεδο SECRET. Η εφαρμογή του AES σε προϊόντα που προορίζονται για την προστασία των εθνικών συστημάτων ασφαλείας είναι πιστοποιημένη από την NSA…». (Πηγή: Wikipedia, Definition AES)

Κυκλοφόρησαν ενημερώσεις, έτσι ώστε σήμερα η έκδοση 3.0 να έχει αυξηθεί σε δημοτικότητα και να γίνει πρότυπο. Επιπλέον, το SSL 3.0 είναι η έκδοση που υποστηρίζουν σήμερα οι περισσότεροι διακομιστές Ιστού.

Τι είδους εμπιστοσύνη παρέχουν τα πιστοποιητικά SSL;

Από την έναρξή του, ο κύριος ρόλος του SSL είναι να παρέχει ασφάλεια για την κυκλοφορία Ιστού, συμπεριλαμβανομένης της εμπιστευτικότητας, της ακεραιότητας του μηνύματος, της μη απόρριψης και του ελέγχου ταυτότητας. Το SSL επιτυγχάνει αυτά τα στοιχεία ασφάλειας μέσω της χρήσης κρυπτογραφίας και σωστά επικυρωμένων ψηφιακών πιστοποιητικών.

Ως εκ τούτου, τα πιστοποιητικά SSL είναι κρίσιμα για να εμπιστευτεί ο χρήστης έναν ιστότοπο που λειτουργεί από διακομιστή πριν στείλει ιδιωτικές πληροφορίες στον διακομιστή. Αλλά η κρυπτογράφηση είναι μόνο ένα μέρος της «εξίσωσης εμπιστοσύνης» που παρέχει το SSL. Τα πιστοποιητικά SSL που εκδίδονται σύμφωνα με το πρότυπο X.509 θα πρέπει να παρέχουν πληροφορίες σχετικά με την ταυτότητα της οντότητας, καθώς τα πιστοποιητικά λειτουργούν ως «ψηφιακά έγγραφα» που επαληθεύουν ότι ένα συγκεκριμένο δημόσιο κλειδί ανήκει στην πραγματικότητα στην καθορισμένη οντότητα. Αυτή η επαλήθευση ταυτότητας βοηθά τον χρήστη να διακρίνει μεταξύ επαληθευμένων και δόλιων ιστοτόπων.

Πιστοποιητικά SSL χαμηλής διασφάλισης Δημιουργούν κενό στην διαδικτυακή εμπιστοσύνη

Οι αρχές πιστοποίησης διαδραματίζουν βασικό ρόλο στη δημιουργία εμπιστοσύνης στις διαδικτυακές ταυτότητες. Δεδομένου ότι ένα ψηφιακό πιστοποιητικό είναι μια δήλωση της ταυτότητας της οντότητας ή του ατόμου που επιθυμεί να πιστοποιηθεί η ταυτότητα, απαιτείται ένα αξιόπιστο τρίτο μέρος για την επικύρωση της ταυτότητας που επισυνάπτεται στο πιστοποιητικό. Αυτό το τρίτο μέρος είναι η αρχή έκδοσης πιστοποιητικών, η ευθύνη της οποίας είναι να παρέχει επαληθευμένη διασφάλιση εμπιστοσύνης ταυτότητας για διαδικτυακές οντότητες.

Δυστυχώς, δεν τηρούν όλες οι αρχές πιστοποίησης παρόμοια πρότυπα στη διασφάλιση ταυτότητας. Στην πραγματικότητα, ορισμένες αρχές πιστοποίησης εκδίδουν πιστοποιητικά χωρίς καμία διαδικασία για τον έλεγχο ταυτότητας και την επαλήθευση της ταυτότητας της επιχείρησης που ζητά το πιστοποιητικό. Ακόμη χειρότερα, αυτά τα μη ελεγμένα πιστοποιητικά εμφανίζουν το ίδιο κίτρινο λουκέτο με τα πιστοποιητικά SSL με εξασφάλιση ταυτότητας. Αυτά τα «αδύναμα» πιστοποιητικά επικύρωσης βασίζονται μόνο στα στοιχεία του Καταχωρητή Ονομάτων Τομέα για την επικύρωση της ιδιοκτησίας, η οποία δεν παρέχει ουσιαστικά καμία διασφάλιση ταυτότητας.

Ας δούμε το παρακάτω παράδειγμα. Είναι το www.ABCompany.com ή το www.ABC-company.com η πραγματική ιστοσελίδα της ABC Company ή ένα από τα URL ανήκει σε απατεώνα ή απατεώνα; Για να προσδιορίσετε εάν βρίσκεστε στον νόμιμο ιστότοπο θα απαιτούσε περαιτέρω επικύρωση. Εάν ένας ιστότοπος δεν διαθέτει έλεγχο ταυτότητας, οποιοσδήποτε απατεώνας μπορεί να προμηθευτεί το αξιόπιστο κίτρινο εικονίδιο για να εξαπολύσει επιθέσεις phishing ή pharming από έναν δόλιο ιστότοπο, επειδή οι χρήστες δεν μπορούν εύκολα να διακρίνουν μεταξύ των πιστοποιητικών χαμηλής διασφάλισης και των πιστοποιητικών υψηλής διασφάλισης επικύρωσης ταυτότητας.

Συμπέρασμα

Να γιατί Πιστοποιητικά EV SSL εισήχθησαν για να καλυφθεί αυτό το χάσμα εμπιστοσύνης.

Όταν ένα πιστοποιητικό EV προστατεύει έναν ιστότοπο, ο χρήστης του Microsoft Internet Explorer, του Opera ή του Mozilla Firefox θα δει αμέσως τη γραμμή διευθύνσεων να γίνεται πράσινη όταν επισκέπτεται τον ιστότοπο. Μια εμφάνιση δίπλα στη διεύθυνση URL θα εναλλάσσεται μεταξύ του ονόματος οργανισμού και του πιστοποιητικού και της αρχής έκδοσης πιστοποιητικών που το εξέδωσε SSL Certificate. Η πράσινη γραμμή σημαίνει ότι ένα τρίτο μέρος έχει επικυρώσει την ταυτότητα της επιχείρησης. Άλλοι προμηθευτές προγραμμάτων περιήγησης θα παρέχουν επίσης παρόμοια εμφάνιση

Το SSL είναι ζωτικής σημασίας Ασφάλεια Ιστού. Παρέχει μια ισχυρή αίσθηση εμπιστευτικότητας, ακεραιότητας μηνύματος και ελέγχου ταυτότητας στους χρήστες. Η επιχείρηση του ηλεκτρονικού εμπορίου είναι στενά συνδεδεμένη με την εμπιστοσύνη των καταναλωτών στην πτυχή της διασφάλισης ταυτότητας των πιστοποιητικών SSL σε ολόκληρο το δίκτυο.

Ως αποτέλεσμα, στο μέλλον τα πιστοποιητικά SSL θα εξελιχθούν για να προσφέρουν περισσότερη ασφάλεια και διασφάλιση ταυτότητας. Η κρυπτογράφηση των μηκών κλειδιών, οι σειρές κρυπτογράφησης και οι νέες κατευθυντήριες γραμμές για πιστοποιητικά SSL θα εξελιχθούν επίσης για να διασφαλιστεί ένα σταθερό επίπεδο επαλήθευσης ταυτότητας κατά τις ηλεκτρονικές συναλλαγές. Με αυτόν τον τρόπο, το ηλεκτρονικό εμπόριο θα μπορεί να συνεχίσει να αναπτύσσεται καθώς οι χρήστες αποκτούν μεγαλύτερη αυτοπεποίθηση για τις αγορές και τις τραπεζικές συναλλαγές μέσω Διαδικτύου.

Αρχίστε την Δωρεάν σας δοκιμή ΔΩΡΕΑΝ ΑΚΡΙΒΩΣ ΑΚΡΙΒΕΙΑ ΣΑΣ ΑΣΦΑΛΕΙΑΣ