Jak działa certyfikat SSL?

Internet jest jak dziki zachód. Każdy może podsłuchać twoje dane, przechwycić loginy, ukraść hasła. I właśnie tutaj wchodzi SSL – cały na zielono. Jeśli widzisz kłódkę w pasku adresu, to znak, że twoje połączenie jest szyfrowane. Ale czy to oznacza absolutne bezpieczeństwo?

Nie do końca. Certyfikat SSL to nie magiczna tarcza nie do przebicia, ale jeśli go nie masz – to jakbyś wyszedł z domu i zostawił drzwi na oścież z kartką „Zapraszam!”.

Co robi SSL i jak działa?

Certyfikat SSL (Secure Sockets Layer) to cyfrowy dokument, który potwierdza tożsamość strony i szyfruje dane przesyłane między użytkownikiem a serwerem. Bez niego twoje hasła, dane kart kredytowych i prywatne wiadomości latają sobie po sieci jak ulotki na wietrze.

Zasadę działania certyfikatu SSL można w sumie opisać w kilku prostych krokach:

Połączenie klienta z serwerem – następuje przekazanie informacji na temat wersji protokołu SSL, kompresji danych, sposobie szyfrowania danych oraz identyfikator sesji, który jest jednorazowy. Też teraz powstaje klucz szyfrujący, który opiera się na losowo wygenerowanej przez klienta liczbie.
Klient otrzymuje odpowiedź od serwera z inną, też wygenerowaną losowo liczbą.
Serwer tworzy odpowiedni certyfikat bezpieczeństwa i wysyła go do klienta – co pozwala na sprawdzenie jego tożsamości.
Następnie do klienta serwer wysyła tak zwany klucz publiczny – wygenerowany dzięki algorytmowi, który został uzgodniony na początku połączenia, między serwerem i klientem.
Za pośrednictwem ustalonych wcześniej dwóch losowych liczb (klienta i serwera), klient generuje tak zwany klucz sesji. Jest on wykorzystywany do rzeczywistej wymiany danych. Zostaje wysłany na serwer wykorzystując klucz publiczny pochodzący z serwera.
Do serwera klient dostarcza informacje, że zgadza się na szyfrowaną wymianę danych.
Serwer przełącza się na szyfrowane połączenie – jednak dopiero po odebraniu od klienta wszystkich danych. Następuje wysłanie próbnego, szyfrowanego komunikatu.
Od tej pory wszystkie kolejne informacje, jakie będą przesyłane między serwerem a klientem, będą zaszyfrowane – czyli bezpieczne. Szyfrowanie kończy się w momencie zakończenia sesji.

Czyli zamiast wysyłać swoje hasło w postaci zwykłego tekstu, SSL zamienia je w kod niemożliwy do odczytania. Jeśli ktoś spróbuje je podejrzeć, zobaczy jedynie losowe znaki.

Jak sprawdzić, czy strona ma prawidłowy certyfikat SSL?

Nie ufaj samej kłódce. Przeglądarki mogą ją pokazywać nawet na stronach z podejrzanym SSL-em. Prawdziwa weryfikacja wymaga kilku kroków. Cyberprzestępcy potrafią kupić certyfikaty, a nawet korzystać z darmowych, które wyglądają na wiarygodne. Twoje dane mogą więc trafić prosto w ręce oszustów, jeśli nie sprawdzisz, co kryje się za szyfrowaniem. Oto, jak zweryfikować SSL i upewnić się, że strona rzeczywiście jest bezpieczna.

Kliknij kłódkę w pasku adresu – otworzy się okno z informacjami o certyfikacie
Sprawdź, kto go wystawił – jeśli widzisz Let’s Encrypt, DigiCert, GlobalSign, Sectigo – to dobrze, ale jeśli jakiś nieznany urząd, bądź ostrożny
Zobacz, do jakiej domeny został przypisany – powinien być wystawiony dla tej konkretnej strony, np. „bank.com”, a nie „free-ssl-certificates.com”
Przeanalizuj datę ważności – przeterminowane certyfikaty to błąd amatora, a strona z takim SSL-em może być zaniedbana lub celowo fałszywa
Sprawdź poziom szyfrowania – TLS 1.2 i 1.3 są bezpieczne, SSL 2.0 i 3.0 to technologiczne trupy, których należy unikać

Sama obecność certyfikatu nie oznacza, że strona jest autentyczna. Oszuści mogą skopiować wygląd banku, kupić certyfikat i liczyć, że użytkownik zaufa zielonej kłódce. Jeśli bank, sklep internetowy lub inna ważna usługa internetowa nie ma rozszerzonego certyfikatu EV (który pokazuje pełną nazwę firmy w pasku adresu), lepiej nie ryzykować. Dodatkowo, każda niespójność w domenie, literówki w adresie czy prośby o podanie pełnych danych logowania powinny być sygnałem alarmowym. Weryfikacja certyfikatu to kilka sekund – ignorowanie tego może kosztować znacznie więcej.

SSL to nie wszystko – co jeszcze ma znaczenie?

SSL szyfruje dane, ale nie chroni cię przed oszustwem. To, że strona ma certyfikat, nie oznacza, że nie jest fałszywą kopią twojego banku. Co powinno wzbudzić czujność?

literówki w adresie – jeśli zamiast „bank.com” widzisz „bánk.com”, masz problem
dziwne domeny – „bank.com” to jedno, ale „bank-secure-login.xyz” powinno już zapalić lampkę ostrzegawczą
żądania podania danych – prawdziwy bank nigdy nie poprosi cię o hasło przez e-mail lub podejrzany formularz

Czy SSL sprawia, że twoje dane są w 100% bezpieczne? Nie. Jest jak pasy bezpieczeństwa w aucie – lepiej je mieć, ale to nie gwarancja, że nic ci się nie stanie. Możesz mieć SSL, ale jeśli logujesz się na publicznym Wi-Fi w kawiarni, jesteś narażony. Możesz mieć certyfikat, ale jeśli masz słabe hasło, ktoś je zgadnie. Możesz mieć szyfrowanie, ale jeśli podasz dane na stronie phishingowej, SSL ci nie pomoże.

SSL to konieczność, ale nie jedyna linia obrony. Bo jeśli ktoś chce cię oszukać, nie zatrzyma go nawet kłódka w pasku adresu.

Co robi SSL i jak działa?

Jak sprawdzić, czy strona ma prawidłowy certyfikat SSL?

SSL to nie wszystko – co jeszcze ma znaczenie?

Dodaj komentarz Anuluj pisanie odpowiedzi

Elektrownia atomowa Bełchatów – potencjalne konsekwencje awarii

Kopie zapasowe – czy warto je tworzyć?

Czy praca zdalna to to samo co telepraca?

Pojęcie oprogramowania komputerowego

Zebraliśmy najlepsze narzędzia do pracy zdalnej

Elektrownia atomowa Bełchatów – potencjalne konsekwencje awarii

Jak działa certyfikat SSL?

Co to jest ransomware?

Jak zapewnić najwyższy poziom bezpieczeństwa? Projektowanie systemów Telbud SA

Zabezpieczenie komputera przed niepowołanym dostępem