fbpx

Tech

Šifrování a autentizace je základem internetové komunikace

Šifrování a autentizace: Co je to SSL, TLS a HTTPS

Znáte magické zkratky SSL, TLS a HTTP? Kdybychom si odpustili definici a přešli rovnou k významu, tak jsou to v podstatě strážci, kteří pomáhají udržovat data v bezpečí při pohybu po internetu. Jak ale fungují? A jakou roli hraje HTTPS? Pojďme se na to podívat blíže!

Data odeslaná a přijatá přes internet se pohybují rychle. Extrémně rychle. Ve skutečnosti mohou internetové datové pakety, dosahovat rychlostí stovek tisíc kilometrů za sekundu (samozřejmě v závislosti na tom, jak se pohybují – skrze tradiční dráty, kabely z optických vláken nebo vzduch). Ale i když může vysoká rychlost budit dojem, že data dorazí téměř okamžitě, ve skutečnosti tomu tak není. Mezi body A a B jsou data směrována přes více zařízení, dokud neskončí v zamýšleném cíli.

A během oné cesty jsou zranitelná.

Bohužel, vzhledem k tomu, že jako lidstvo vytváříme, nahráváme a odesíláme přibližně 2,5 bilionu dat za den, sledování všech informací, které putují po internetu, není úplně snadné. A od toho je tu šifrování a ověřování dat.

 

Co je to šifrování a autentizace dat?

Šifrování a autentizace dat je proces, který má zabránit tomu, aby se životně důležitá data dostala do nesprávných rukou. To se provádí skramblováním dat, jak jsou odesílána. Zamýšlený příjemce (webový server) obdrží speciální klíč ve formě souboru instrukcí podrobně rozepisujících data. Server používá klíč pro správné dekódování zašifrovaných dat. Bez tohoto klíče může kdokoli, kdo zachytí data na trase, vidět jen nesmyslný blábol.

Aby to fungovalo, musí samozřejmě existovat dohoda mezi odesílatelem a příjemcem. V opačném případě by obě strany neměly informace, které by potřebovaly k účinnému šifrování/dešifrování dat, která si vyměňují. K usnadnění tohoto procesu používáme několik bezpečnostních a kryptografických protokolů – nejčastěji SSL nebo TLS. Nejprve se ale podívejme na HTTPS.

 

Co je HTTPS?

Internet – konkrétně web – je obrovským distribuovaným informačním systémem klient/server. To znamená, že funguje prostřednictvím klientů (obvykle osobních počítačů nebo mobilních zařízení) kontaktujících servery, aby si vyžádali informace. Server poté přijme nebo odmítne požadavek klienta. Pokud je požadavek přijat, server vytvoří spojení s klientem přes konkrétní protokol. Protokol funguje jako standardní sada pravidel, která umožňují komunikaci serverů a klientů.

 

A to nás přivádí k HTTP

HTTP je zkratka pro protokol „Hypertext Transfer Protocol“ a je základním protokolem používaným na celém webu. HTTP definuje, jaký typ dat lze přenášet, jak jsou data formátována a jak by servery měly reagovat na konkrétní příkazy. Když klient zahájí komunikaci se serverem, odešle se HTTP příkaz vyžadující přístup na požadovanou stránku.

HTTP je mimořádně efektivní, jak potvrzuje jeho téměř univerzální přijetí. Nicméně ale není příliš bezpečný. Důvodem je, že HTTP postrádá šifrování a autentizaci dat, což v podstatě přenáší data venku, kde k nim má kdokoli přístup. Protokol HTTPS (Hypertext Transfer Protocol Secure) tento problém řeší a vytváří zabezpečené šifrované spojení mezi klientem a serverem. Tím jsou zabezpečeny weby proti odposlechu, manipulaci a krádeži dat.

 

S jako bezpečný

HTTPS byl původně navržen speciálně pro e-commerce a obchodní weby, které pravidelně zpracovávají citlivé informace (jako jsou hesla a podrobnosti o kreditních kartách), ale nová doporučení naznačují, že každý web – i ty, které jsou čistě informativní – by měl používat HTTPS. Google propaguje toto myšlení tím, že nabízí mírné hodnocení vyhledávačů na weby HTTPS a zobrazením „nezabezpečených“ varování v adresních řádcích prohlížeče Google Chrome na webech, které nemají HTTPS.

HTTPS nabízí lepší a bezpečnější řešení pro model klient/server. Toto přidané zabezpečení však není automatické; weby, které si chtějí zachovat bezpečnostní standardy, musí nejprve zakoupit certifikát SSL/TLS od důvěryhodné certifikační autority.

 

Co je to SSL?

SSL je zkratka pro Secure Sockets Layer a byla poprvé vyvinuta společností Netscape již v roce 1994. Šifrování/dešifrování SSL je metoda, pomocí které jsou internetová připojení udržována v bezpečí, ať už jde o klienta mezi klienty, servery na servery nebo (mnohem pravidelněji) klienty na server. To zabraňuje neoprávněným třetím stranám v tom, aby viděly nebo měnily veškerá data vyměňovaná přes internet.

SSL byl původně vytvořen pro ochranu spojení mezi zákazníky a online podniky. Bohužel, kybernetičtí zločinci rozšiřují svou síť tak, aby se zaměřili také na neobchodní weby. Jako takový se SSL stal široce adoptovaný. Až v roce 1999 nahradil SSL jako standardní bezpečnostní certifikát aktualizovaný protokol TLS.

 

Aktualizace

TLS znamená Transport Layer Security a je v podstatě SSL, ale bezpečnější. Přesněji řečeno, podpora SSL byla ukončena ve prospěch TLS – ačkoli zkratky se často používají synonymně.

Podobně jako SSL, TLS je kryptografický protokol, který poskytuje soukromí, autentizaci a integritu dat v počítačových sítích a používá se při procházení webu, rychlých zpráv, e-mailu a dalších. Ale i když TLS plní stejnou roli jako SSL, činí tak efektivněji. Je to proto, že protokol TLS byl navržen tak, aby řešil známé chyby zabezpečení SSL a podporoval silnější a bezpečnější sady šifrování.

Za tímto účelem šifrování TLS zahrnuje ověřování zpráv ve formě algoritmu ověřování kódem hash zpráv (HMAC). Ověřování zpráv zajišťuje, že data nebyla během přenosu změněna, a umožňuje příjemci ověřit zdroj zprávy.

TLS také disponuje vylepšenou správou klíčů a šifrovacích algoritmů. Mimo jiné TLS obsahuje a podporuje elliptical-curve klíče , bezpečná vzdálená hesla, předem sdílené klíče a Kerberos – odděluje je od SSL a nabízí bezpečnější linku datové komunikace. TLS prošel čtyřmi typy verzí, přičemž TLS 1.3 je nejnovější a nejbezpečnější.

TLS nahrazuje SSL: Jeho původní účinnost a rozšířené používání však získaly trvalé místo v lidovém internetu; pojem SSL je stále široce používán, a to i v technologických a výpočetních kruzích, a mnoho certifikačních úřadů inzeruje služby certifikátů SSL, když skutečně prodávají certifikáty TLS. Ale vzhledem k tomu, že oba protokoly plní stejnou základní funkci (tj. zabezpečují digitální komunikaci proti nežádoucí manipulaci), je pochopitelné, proč běžní uživatelé nerozlišují mezi těmito dvěma protokoly. V zájmu přesnosti uživatelé a orgány často používají termín SSL/TLS.

 

HTTPS je zabezpečeno SSL/TLS

SSL/TLS je to, co staví S do HTTPS. Aby byl web označen jako bezpečný, potřebuje aktuální certifikát SSL/TLS. A zatímco certifikace SSL/TLS není nutně vyžadována, je důrazně podporována všemi hlavními prohlížeči. Ve skutečnosti v červenci 2018 začal prohlížeč Google Chrome označovat weby bez certifikace SSL/TLS jako „nezabezpečené“, což varuje potenciální návštěvníky webu. Následovaly další hlavní prohlížeče.

Protokol SSL/TLS je nyní téměř všudypřítomný po celém webu, přičemž 90 ze 100 TOP světových webů (mimo Google) má výchozí nastavení HTTPS.

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?