Czytałem na różnych stronach o certyfikatach ssl i dowiedziałem się, że jeżeli jestem właścicielem strony na, której użytkownicy wprowadzają swoje dane, dokonują zakupów itp. to muszę mieć certyfikat ssl, bo on coś tam szyfruje i jest bezpiecznie :I. Wytłumaczy mi ktoś jak działa ssl w teorii (w internecie pisało to bardzo ogólnie) ? I co się może stać jeżeli na stronie użytkownicy wprowadzają np. swoje dane osobowe, ale certyfikatu ssl nie mam ?
0
0
SSL jest protokołem sieciowym używanym do bezpiecznych połączeń internetowych, przyjęto go jako standard szyfrowania na stronach WWW. Certyfikat SSL zapewnia poufność transmisji danych przesyłanych przez Internet. Intencją twórców SSL było zaprojektowanie protokołu uniwersalnego, tak aby mogły z niego korzystać protokoły aplikacyjne (HTTP, FTP, telnet itp.).
Oznacza to, że za pomocą SSL mogą być szyfrowane połączenia do poczty, serwera ftp, strony WWW itp. Dzięki swojej skuteczności oraz prostej obsłudze certyfikat SSL bardzo szybko znalazł zastosowanie zwłaszcza przy zabezpieczaniu transakcji realizowanych w bankowości elektronicznej, podczas aukcji internetowych oraz w systemach płatności online.
podsumowując SSL pomaga w bezpieczeństwie przesyłania danych lecz nie likwiduje wszystkich zagrożeń z nim związanych ;)
0
w internecie pisało to bardzo ogólnie
xD
4
Ważna informacja: Nie generuj samemu
Jeżeli nie chcesz za cert płacić, a kłódka nie musi być zielona to użyj tego https://letsencrypt.org/docs/ - jest darmowe i tak samo bezpieczne jak EV
Certyfikaty wygasają więc ustaw sobie przypomnienie i odpowiednio wcześniej podmień na inny.
Cały ból z SSL jest taki, że trzeba zaufać wystawcy(single point of failure), a nim może być każdy ktogo stać i różne przygody już bywały.
Jeżeli planujesz certyfikat kupić, to poszukaj wcześniej czy wystawca u którego chcesz kupić nie ma na koncie zbyt wielu wpadek bezpieczeństwa(np comodo jest słabym pomysłem).
Przed czym SSL nie zabezpiecza?
Przed służbami, bo wystawcy są zobowiązani współpracować
Co zamiast SSL - blockchain, lub coś innego co jest rozproszone
0
Trzeźwy Młot napisał(a):
Certyfikaty wygasają więc ustaw sobie przypomnienie i odpowiednio wcześniej podmień na inny.
można ustawić w automacie bądź niektóre hostingi to oferują w directAdmin i nic w zasadzie manualnie nie trzeba robić
0
Pisałem "w internecie pisało to bardzo ogólnie", bo sam fakt, że coś tam się szyfruje nic mi nie mówi. Nie znalazłem strony (po polsku), w której DOKŁADNIE jest opisane działanie tego certyfikatu.
0
Przyłączam się do pytania. Czy mógłby ktoś to wyjaśnić mniej więcej jak to działa i czemu właściwie przy korzystaniu z SSL działa serwer pośredni?
No bo jeśli wysyłamy dane z naszego komputera do serwera pośredniego, by ten zaszyfrował treść to przecież dane ktoś może wykraść właśnie na etapie gdy serwer pośredni jeszcze ich nie otrzymał.
Z drugiej strony nie łapie po co jest potrzebny pośrednik. Przecież przeglądarka mogłaby pobrać sobie z serwera klucz publiczny, zaszyfruje treść i wyśle, a my sobie tą treść odczytamy po stronie serwera.
0
Chodzi o to żeby potwierdzić czy certyfikat jest poprawny.
Właśnie dla tego generowanie certyfikatu samemu chociaż jest możliwe to nie ma dużego sensu, bo użytkownik Twojej strony dalej nie będzie wiedział, czy to faktycznie ta strona czy jakiś phishing.
0
Czyli gdy kupię SSL od jakiejś firmy to w jakim momencie następuje szyfrowanie danych użytkownika? Skąd przeglądarka wie czy strona ma certyfikat? No i skąd ma klucz publiczny do szyfrowania tych danych?
Z drugiej strony dodatkowe pytanie, czy jeśli płatność jest przekierowana do zewnętrznej usługi np. dotpay to strona przekierowująca też musi mieć certyfikat?
0
Czyli gdy kupię SSL od jakiejś firmy to w jakim momencie następuje szyfrowanie danych użytkownika? Skąd przeglądarka wie czy strona ma certyfikat? No i skąd ma klucz publiczny do szyfrowania tych danych?
Przy nawiązywaniu połączenia TCP - HTTPS działa na porcie 443 zamiast 80. Klucz publiczny jest zawarty w certyfikacie.
Z drugiej strony dodatkowe pytanie, czy jeśli płatność jest przekierowana do zewnętrznej usługi np. dotpay to strona przekierowująca też musi mieć certyfikat?
Jeżeli umożliwia wprowadzanie wrażliwych danych (login, hasło, adres), to powinna.
0
Dzięki to już trochę wyjaśnia :-)
A skąd przeglądarka wie który usługodawca wystawia mi certyfikat?
2
Certyfikat zawiera tą informację.
Jeżeli masz firefoxa to kliknij w:
- kłódkę
-
> - more information
- view certyficate
6
SSL działa tak, że na samym początku, po nawiązaniu połączenia TCP z serwerem, zanim zostaną przesłane jakiekolwiek dane użytkownika z przeglądarki do serwera i z powrotem, następuje tzw. SSL handshake. Tzn. przeglądarka i serwer negocjują protokół i algorytmy jakimi będą się posługiwać (np. TLSv1.2), wymieniają się certyfikatami (oczywiście tylko kluczami publicznymi), weryfikują te certyfikaty, a następnie ustalają i wymieniają między sobą jednorazowy klucz szyfrujący dla danej sesji. Negocjacja i wymiana danych na tym etapie jest zabezpieczona kluczami prywatnymi certyfikatów i odbywa się na bazie kryptografii asymetrycznej, więc w teorii nie jest możliwe jej podsłuchanie / modyfikacja.
Weryfikacja certyfikatu działa w taki sposób, że klucz publiczny związany z certyfikatem jest albo już znany przeglądarce i zaufany (certyfikat wprost zainstalowany w systemie), albo nie jest znany, ale jest podpisany innym certyfikatem wystawcy, który to certyfikat jest już zaufany tj. znajduje się na liście certyfikatów zainstalowanych w systemie (często łańcuszek jest dłuższy i może być więcej instytucji po drodze - ważne żeby ostatni certyfikat w łańcuszku był zaufany). Każdy system operacyjny ma w standardzie zainstalowaną pewną liczbę certyfikatów głównych centrów wystawiających certyfikaty. Możliwe jest też, że certyfikat jest podpisany nieznanym CA i wtedy dostajemy informację o certyfikacie "self-signed" i kłódka nie będzie zielona.
Po negocjacji klucza szyfrowania, cała transmisja jest symetrycznie szyfrowana np. algorytmem AES. Wszystkie dane wysyłane do serwera są szyfrowane i tak samo odpowiedzi. Odczytanie ani zmodyfikowanie tych danych przez osobę postronną nie jest możliwe, bez znajomości tego klucza. Szyfrowanie transmisji wykonuje się symetrycznie m.in. ze względu na znacznie lepszą wydajność kryptografii symetrycznej niż asymetrycznej.
No i wreszcie na koniec - TLS/SSL sam w sobie nie wymaga żadnego trzeciego serwera.