Teoretické informace o šifrovaném a důvěryhodném přístupu k WWW stránkám, certifikát a soukromý klíč, certifikační autority.

Šifrování a důvěryhodnost

Šifrovaná komunikace znamená, že veškerá data přenášená mezi serverem a klientem (naším serverem a vaším WWW prohlížečem) je šifrovaná, komunikaci sice může po cestě někdo odposlechnout, ale dešifrovat ji nedokáže, a tak nijak nezjistí jaké stránky si prohlížíte a jaká data odesíláte formulářem. Při nešifrované komunikaci se nedoporučuje přes WWW formuláře odesílat osobní data, mohou být teoreticky zachycena cizí osobou a zneužita (zejména hesla, čísla kreditních karet atd.).

Důvěryhodná komunikace znamená, že klient si ověří totožnost serveru, a má tedy jistotu, že si WWW stránky stahuje z toho pravého serveru a že mu útočník nepodstrčil stránky falešné.

Šifrování nezaručuje důvěryhodnost, jsou to 2 různé věci, ale SSL může zajistit obojí.

Co je SSL a HTTPS

SSL (Secure Socket Layer) je obecně technologie, která se v počítačových sítích používá pro šifrovanou a důvěryhodnou komunikaci. Lze použít u každého aplikačního protokolu - u POP3 (POP3 + SSL = POP3S), u SMTP (SMTP + SSL = SMTPS) atd.

Pro použití SSL potřebujeme 2 věci:

  • Soukromý klíč - je to šifrovací/dešifrovací klíč, který drží majitel v tajnosti, resp. umístí ho na WWW server.
  • Certifikát - veřejný klíč pro šifrování/dešifrování, který obsahuje informace o totožnosti jeho majitele (jeho serveru) a je podepsán nějakou certifikační autoritou.

Certifikát je vždy (v případě WWW stránek) vázán na nějaký doménový název (případně může být určen pro více doménových názvů).

Běžné certifikáty jsou jen pro jeden konkrétní název (např. www.example.cz) - pak je komunikace důvěryhodná, pokud se certifikát použije na WWW stránkách, kde doména webu přesně odpovídá názvu v certifikátu. Pokud se tyto názvy neshodují, pak je komunikace nedůvěryhodná.

Tzv. hvězdičkové certifikáty (wildcard) jsou ve tvaru *.example.cz, mohou tedy být použity pro WWW stránky na libovolné subdoméně, tedy např. www.example.czeshop.example.com atd. a pro všechny tyto případy je komunikace důvěryhodná. Ale již to neplatí pro domény 4. řádu (např.muj.eshop.example.cz).

Pro přístup na WWW stránky přes SSL se používají URL adresy s https na začátku, tedy např.https://www.example.cz/. Při nešifrovaném přístupu začíná adresa pouze http, např.http://www.example.cz/.

Pokud se název certifikátu shoduje s doménou WWW stránek, pak je tedy komunikacedůvěryhodná. Pokud se to neshoduje, pak je nedůvěryhodná a prohlížeč vás při vstupu na takové stránky přes HTTPS upozorní na možné bezpečnostní riziko (protože vám nedokáže garantovat, že  se nepřipojujete k serveru podstrčenému útočníkem).

Nepříjemným rysem certifikačních autorit je relativně vysoký poplatek, který vybírají za svoji záruku, kterou digitálnímu certifikátu dodávají. Webový prohlížeč z důvodu jednodušší implementace podporuje pouze použití certifikátů, nikoli samostatných veřejných klíčů. Proto je nutné, aby každý veřejný klíč používaný k ověřování identity protistrany byl elektronicky podepsán.

Certifikát podepsaný sám sebou

Certifikát podepsaný sám sebou (anglicky Self-signed certificate) je v kryptografii specifická forma digitálního certifikátu (resp. elektronického podpisu), který podepsal sám jeho tvůrce, který se tak zároveň stal certifikační autoritou. Používá se pro potřeby uzavřených okruhů uživatelů (škola, firma či jiná komunita). Ověření takového certifikátu se děje jiným způsobem (typicky kontrolou jeho otisku).

Jak už bylo výše zmíněno. U takovéhoto certifikátu se název certifikátu shoduje s doménou WWW stránek a web je tak označen prohlížačem, jak nedůvěryhodný. Pokud přistupujete na známou doménu je zde praktiky nulové riziko a můžete upozornění ignorovat a pokračovat v používání webu.

Jak mám "přeskočit" hlášku o důvěryhodném připojení?

Chrome: Ve spodní části oznámení klikněte na "Rozšíření nastavení" a v následné nabídce na "Pokračovat na web"

Internet Explorer: Klikněte na "Pokračovat na tento web (nedoporučujeme)"

Firefox: Klikněte na "Vím o co se jedná" otevře se nové okno, kde klinte na "Přidat vyjímku".

chrome

firefox

ie