Mi az az SSL és miért olyan fontos?

Sok helyen hallani lehet róla, de nem mindenki tudja, hogy pontosan miről is van szó. Annak ellenére, hogy sok utalással találkozhatsz a témában, a legtöbb esetben mégsem derül ki, hogy mi az az SSL és miért kell vele annyit foglalkozni? Most ezen változtatunk, álljon itt egy cikk erről a témáról!

Mi az az SSL?

Az SSL (Secure Sockets Layer) egy biztonsági technológia, amelyet a kiszolgáló és felhasználó közötti kapcsolat biztonságossá tételére használnak. Ez a kapcsolat magába foglalja a böngésző által továbbított információkat, amik bármilyen jellegűek lehetnek. Például ügyfél hitelkártyaszáma, jelszava is ilyen.

Ha még jobban belemegyünk a témába, akkor még inkább szakmai megfogalmazással találkozunk. Ez pedig így hangzik: Az SSL a hálózatba kapcsolt számítógépek közötti hitelesített és titkosított kapcsolatok létrehozására szolgáló protokoll.

Röviden annyit jelent, hogy úgy teszi biztonságossá a kapcsolatot felhasználó és a kiszolgáló között, hogy az adott információkat titkosítva küldi a megfelelő helyre.

Az SSL tanúsítványra miért van szükség?

Az SSL tanúsítvány tulajdonképpen egy digitális állomány, amely a webhely identitását egy nyilvános kulcsból és egy privát kulcsból álló kriptográfiai kulcspárhoz köti. Ez a nyilvános (publikus) kulcs lehetővé teszi a webböngésző számára, hogy ‘https’ protokollon keresztül, titkosított kommunikációs munkamenetet kezdeményezzen egy megbízható webszerverrel. A privát kulcsot a szerver biztonságban tartja, ami weboldalak és egyéb dokumentumok digitális aláírására szolgál.

Az SSL tanusítvány tartalmazza a webhely azonosító adatait is, beleértve a domain nevét, és néha a webhely tulajdonosára vonatkozó információkat is. Ha a webszerver tanúsítványát egy nyilvánosan megbízható tanúsító hatóság (CA), például a https://www.ssl.com/ írja alá, akkor a webhelyet a felhasználó webböngészője és operációs rendszere hitelesnek tekinti.

Így az SSL tanúsítványra azért van szükségünk, hogy biztosak lehessünk benne, hogy az egyes weboldalak látogatása során az adataink biztonságban vannak és hiteles oldalakat látogatunk.

Mi az a TLS?

Az 1999-ben kiadott TLS (Transport Layer Security) az SSL hitelesítési és titkosítási protokoll utódja. Tehát a TLS az SSL továbbfejlesztett változata. Ugyanúgy működik, mint az SSL, titkosítást használva az információk átvitelének a védelmére és a webhelyek hitelesítésére. A két kifejezést gyakran felcserélik, bár az SSL-t még mindig széles körben használják.

SSL/TLS és biztonságos webböngészés?

Az SSL/TLS legelterjedtebb és legismertebb használata a ‘https’ protokollon keresztüli biztonságos webböngészés. A megfelelően konfigurált honlapok egy megbízható CA által aláírt SSL/TLS tanúsítványt tartalmaznak.

Ha ilyen webhelyet látogatsz meg, akkor biztos lehetsz benne, hogy:

  • Hiteles: Aszimmetrikus titkosítással (privát és publikus kulcsok használatával) garantálja, hogy a kiszolgáló valóban az, akinek mondja magát.
  • Sértetlen: A tanúsítvánnyal aláírt dokumentumokat (pl. weblapokat) nem változtatta meg továbbítás közben egy ismeretlen harmadik fél.
  • Titkos: a kliens és a szerver közötti kommunikáció titkosított. Tehát a géped és a weboldal közötti kapcsolatban az adatok titkosított formában áramlanak, illetéktelenek nem láthatják.

Ezen tulajdonságok miatt az SSL/TLS lehetővé teszik a felhasználó számára, hogy titkosan, ez által biztonságosan továbbítsanak bizalmas adatokat vagy információkat az interneten keresztül. Ez ugye azt jelenti, hogy más nem férhet hozzá azokhoz az adatokhoz, amiket mi megadunk a webhely számára.

Fontos még az is, hogy ne csak a kapcsolat legyen biztonságos, hanem abban is biztosak lehessünk, hogy a webhely, melyre az adatok érkeznek, vagy amelyről az adatokat kérjük hiteles legyen. Ez azt jelenti, hogy ténylegesen azzal a weboldallal kommunikáljunk, amelynek a címét látjuk, ne pedig egy ismeretlen (általában rosszindulatú) harmadik féllel, akik csak az általunk megadott információkkal kívánnak visszaélni.

Egy egyszerű, nem biztonságos ‘http’ webhelyen ezeket az adatokat egyszerű szövegként küldik tovább, így ezek könnyen elérhetőek lehetnek bizonyos harmadik feleknek is, akikkel nem kívánnánk az ilyen jellegű adatfolyamot megosztani. Valamint így nincs biztosíték arra sem, hogy az általunk látogatott weboldal tényleg az, aminek állítják, és nincs átirányítva egy nemkívánatos adathalász oldalra.

Hogyan ellenőrizheted az SSL tanusítványt?

Bármelyik böngészőt használod, a címsorára pillantva azonnal meg tudod állapítani, hogy az általad látogatott oldal rendelkezik-e az SSL tanúsítvánnyal.

Ha a címsor előtt kis lakat ikon van (böngészőnként eltérő), mint a képen láthatod, valamit a cím tartalmazza a „https” kifejezést, akkor jó helyen jársz és az adataid is biztonságban vannak.

Ha pedig a lakat át van húzva, vagy a címsorban csak a „http” kifejezést látod „s” nélkül, esetleg ki is írja a böngésző, hogy “nem biztonságos”, ahogy a képen is láthatod, akkor már akadhatnak kockázati tényezők. Bár ez nem feltétlenül jelenti azt, hogy az oldal olvasásával kárunk keletkezne.

Egyes esetekben a böngésző le is tiltja a nem biztonságos webhely látogatását, és csak külön engedély megadásával tudod az oldalt látogatni.

Míg egy blog elolvasásánál nem feltétlenül adunk meg adatot, addig egy webshopos vásárlás esetén elengedhetetlen néhány személyes adat megadása a vásárláshoz.

Weboldal tulajdonosként mit kell tenned?

Ma már a biztonság nagyon sokat számít, így erre már rengeteg felhasználó figyel. Ha nincs meg a tanúsítvány az oldalon, akkor ezzel ügyfeleket veszíthetsz. Ennek két oka is lehet. Egyrészt sokan félnek az adataik illetéktelen kezekbe kerülésétől, és nem is látogatják a nem biztonságos ‘http’-s oldalakat. Másrészt viszont a Google keresőmotorja sem szereti előre sorolni az olyan webhelyeket, melyek nem rendelkeznek ezzel a tanúsítvánnyal.

Ha segítségre van szükséged, vedd fel velem a kapcsolatot, amit itt megtehetsz.

Mik a lépései?

  1. Tanúsítvány megszerzése:
    • cPanelen keresztül lehet telepíteni, vagy beállítani
    • Itt ellenőrizheted, hogy rendelkezel-e vele
  2. A weboldal címét át kell állítani, hogy ‘https’ legyen az alapbeállítás
  3. Ne felejtsd el átírni a címet azokon a helyeken, ahol megadtad az oldalad címét, például a közösségi médiában.

Most akkor a ‘http’ oldal veszélyes?

A rövid válasz az, hogy nem. A kicsit hosszabb pedig az, hogy nagyobb a lehetősége annak, hogy adatokat lophatnak, vagy átirányítják az általad megtekintett weboldalt, mint a ‘https’ használatánál.

Forrás: