זמן קריאה: 3 דקות
השמיים ב- Secure Sockets Layer פרוטוקול (SSL) אומץ על ידי נטסקייפ בשנת 1994 כתגובה לדאגה הגוברת מאבטחת האינטרנט. מטרתה של נטסקייפ הייתה ליצור נתיב נתונים מוצפן בין לקוח לשרת שהיה פלטפורמה או אגנוסטיקה של מערכת ההפעלה. נטסקייפ אימץ גם את SSL כדי לנצל תוכניות הצפנה חדשות כמו אימוץ לאחרונה של תקן ההצפנה המתקדם (AES), שנחשב לבטוח יותר מתקן הצפנת נתונים (DES). אכן, עד יוני 2003, ממשלת ארה"ב ראתה כי ה- AES מאובטחת דיה בכדי לשמש למידע מסווג:
מספיקים התכנון והחוזק של כל אורכי המפתח של אלגוריתם AES (כלומר 128, 192 ו- 256) כדי להגן על מידע מסווג עד לרמת ה- SECRET. היישום של AES במוצרים שנועדו להגן על מערכות אבטחה לאומיות מאושר על ידי NSA…. " (מקור: Wikipedia, הגדרה AES)
עדכונים פורסמו, כך שכיום גרסה 3.0 גדלה בפופולריות והפכה לסטנדרט. יתר על כן, SSL 3.0 היא הגרסא שרוב שרתי האינטרנט תומכים בה כיום.
איזה אמון מספקים תעודות SSL?
מאז הקמתה, התפקיד העיקרי של SSL הוא לספק אבטחה לתעבורת האינטרנט כולל סודיות, שלמות ההודעות, אי הדחייה ואימות. SSL משיגה אלמנטים אלה של אבטחה באמצעות שימוש בקריפטוגרפיה ותעודות דיגיטליות מאומתות כראוי.
אישורי SSL, אם כן, הם קריטיים עבור המשתמש לסמוך על אתר הפועל משרת לפני שהוא שולח מידע פרטי לשרת. אולם הצפנה היא רק חלק אחד מ"משוואת האמון "ש- SSL מספקת. אישורי SSL שהונפקו בתקן X.509 צריכים למסור מידע על זהות הישות מכיוון שתעודות משמשות כ"מסמכים דיגיטליים "המאמתים שמפתח ציבורי ספציפי אכן שייך לישות שצוינה. אימות זהות זה מסייע למשתמש להבחין בין אתרים מאומתים להונאה.
תעודות SSL עם אבטחה נמוכה יוצרים פער פער באמון המקוון
רשויות הסמכה ממלאות תפקיד מפתח בביסוס האמון בזהויות מקוונות. מכיוון שתעודה דיגיטלית היא הצהרה על זהות הישות או האדם שרוצה לאמת, יש צורך בצד שלישי מהימן כדי לאמת את הזהות המצורפת לתעודה. צד שלישי זה הוא רשות האישורים אשר באחריותה לספק הבטחת אמון זהות מאומת עבור גורמים מקוונים.
למרבה הצער, לא כל רשויות ההסמכה עומדות בתקנים דומים באבטחת זהות. למעשה, חלק מרשויות ההסמכה מנפיקות אישורים ללא כל תהליכים לאימות ואימות זהות העסק המבקש את האישור. גרוע מכך, האישורים הלא נקפיים מציגים את אותו המנעול הצהוב כמו תעודות ה- SSL המובטחות בזהות. תעודות אימות "חלשות" אלה מסתמכות רק על פרטי רשם שמות הדומיינים כדי לאמת בעלות, אשר כמעט ואינן מבטיחות שום זהות.
הבה נבחן את הדוגמא הבאה. האם www.ABCompany.com או www.ABC-company.com הוא דף האינטרנט האמיתי של חברת ABC, או שמא אחת מכתובות האתר שייכת לרמאי או מתחזה? כדי לקבוע אם אתה באתר הלגיטימי ידרוש אימות נוסף. אם לאתר אין אימות זהות, כל רמאי יכול לרכוש את הסמל הצהוב המהימן כדי להפעיל התקפות דיוג או התחזות מאתר הונאה מכיוון שמשתמשים אינם יכולים להבחין בקלות בין תעודות אבטחה נמוכות לתעודות זהות המאשרות.
סיכום
זו הסיבה תעודות SSL EV הוכנסו לסגירת פער האמון הזה.
כאשר אישור EV מאבטח אתר, המשתמש של Microsoft Internet Explorer, Opera או Mozilla Firefox יראה מיד את סרגל הכתובות בירוק כאשר הוא מבקר באתר. תצוגה לצד כתובת האתר תעבור בין שם הארגון לתעודה לבין רשות האישורים שהנפיקה תעודת SSL. המשמעות של הסרגל הירוק הוא שגורם שלישי אימת את זהות העסק. ספקי דפדפן אחרים יספקו גם תצוגה דומה
SSL חיוני ל אבטחת רשת. זה מספק תחושה חזקה של סודיות, שלמות המסר ואימות זהות למשתמשים. עסק המסחר האלקטרוני קשור באופן הדוק לאמון הצרכנים בפן הבטחת הזהות של תעודות SSL ברחבי הרשת.
כתוצאה מכך, בעתיד תעודות ה- SSL יתפתחו כך שתציע יותר ביטחון וזהות. ההצפנה של אורכי מפתח, סוויטות צופן והנחיות חדשות לתעודות SSL יתפתחו גם הן בכדי להבטיח רמה עקבית של אימות זהות במהלך עסקאות מקוונות. בדרך זו המסחר האלקטרוני יוכל להמשיך לצמוח ככל שמשתמשים יגדלו בטוחים יותר בקניות ובבנקאות ברשת.
