Realizare site,    Creare site,    Aplicatii ERP,    Aplicatii CRM,    Aplicatii pentru mobil

CE ESTE UN CERTIFICAT SSL ?

Blog Single

CERTIFICAT SSL

Este bine sa optati pentru cumpararea unui certificat ssl in momentul in care va hotarati sa realizati un site atat pentru siguranta datelor cat si pentru o mai bine indexare in google.

Protocolul SSL (Secure Sockets Layer) si-a propus sa asigure un canal de comunicatie privat între server-ul de WEB si browser-ul client si totodata sa asigure clientii ca serverul la care sunt conectati este cel adevarat. Pentru aceasta se foloseste certificatul SSL care este un certificat semnat digital.

In Apache si in alte server-e web, atat autentificarea utilizatorilor, cat si autorizarea accesului se face pe baza de "username" si parolã. Acest mod traditional de securitate are douã puncte slabe:

- Datele transmise între serverul WEB si browser-ul client nu sunt protejate la interceptare si exista posibilitatea ca un individ sa poata intercepta informatii confidentiale, cum ar fi parolele sau date despre cartele de credit, conturi bancare etc, care circula între browser-ul clientului si serverul WEBº

- Adoua slabiciune a sistemului de securitate traditional este ca, în timp ce serverul de WEB prezinta un nivel rezonabil de securitate raportat la utilizatorul client, clientul nu are nici o posibilitate de a stabili daca serverul de WEB este cel corect.

Deseori hotii se substituie unui server bine cunoscut de WEB, încercând sa para gazde legitime, capturând informatii confidentiale pe care utilizatorul inocent considera ca le trimite unui server legitim. O data cu dezvoltarea comertului electronic, astfel de cazuri au devenit tot mai frecvente.



Protocolul SSL se bazeaza pe criptografia cu cheie publica, care este un sistem de codificare asimetric, în care cheia folositã pentru codificrae datelor este diferitã, dar înrudita matematic cu cheia folosita pentru pentru decodificarea acelorasi date.

Exista douã sisteme de codificare: codificarea simetrica si codificarea asimetrica.

În codificarea simetrica se foloseste o singura cheie atat pentru codificarea cat si pentru decodificarea umui mesaj, avand avantajul ca este mai rapidã. De aceea, codificarea simetrica este folosita atunci când trebuie codificate cantitati mari de date înainte de a fi expediate si care apoi trebuie decodificate rapid la celalalt capat al canalului de comunicatie. Dezavantajul metodei de codificare simetrica este ca ambii participanti la comunicatie trebuie sa cunoasca cheia unica folosita.

În codificarea asimetrica, cunoscuta si sub numele de codificare cu cheie publica, se folosesc douã chei. Una din cele doua chei este consideratã cheie publica si este distribuita printr-un mijloc oarecare clientilor. A doua cheie este cheia privata si este pastrata în secret de catre proprietarul perechii de chei. Cele doua chei nu sunt complet independende una de cealalta, ele sunt înrudite matematic si sunt generate simulan de Autoritatea de Certificare (CA). Cele doua chei permit ca un mesaj sã fie codificat cu una din chei si decodificat numai cu cealalta cheie.

Cum functioneaza un sistem de codificare cu cheie publica?

Cheia publicã dintr-o pereche de chei detinuta de exemplu de persoana A este accebila public si poate fi descãrcatã prin Internet de pe un site web sau ftp. Presupen ca o altã persoanã B doreste sa transmita un mesaj confidential persoanei A. Persoana B va obtine cheia publica a persoanei A prin Internet si va codifica informatiile confidentiale cu cheia publica a lui A si i le va transmite persoanei A. Acum, numai posesorul cheii private care corespunde cheii publice folosite pentru codificarea informatiilor va putea decodifica mesajul si va putea astfel citi informatiile confidentiale trimise de persoana B. Cum cheia privata este tinuta în secret de persoana A, numai persoana A va putea citi informatiile confidentiale transmise de persoana B.

Operatiile matematice folosite pentru implementarea sistemelor de codificare cu cheie publicã sunt foarte complexe si solicita intens procesorul unui sistem de calcul. De aceea, în practica, codificarea cu cheie publica este folosita doar pentru autentificarea persoanelor care doresc sa stabileasca un canal sigur de comunicatie si pentru transmiterea in siguranta a unei chei de codificare simetricã între serverul SSL si browser-ul client. Aceasta cheie simetrica este apoi folosita pentru codificarea si decodificarea datelor ce se transmit între cele doua puncte, operatiile de codificare simetrica fiind mai simple, mai eficiente si de aceea solicitã mai putin procesoarele serverului SSL si al clientului.

Autentificarea cu cheie publica joaca un rol important în SSL. Aceasta se bazeaza pe urmatoarea remarca. Daca persoana A codifica un mesaj cu cheia sa privata dintr-o pereche de chei, persoana B va putea decodifica acel mesaj cu cheia publica pereche. Daca respectiva cheie publica decodifica în mod corect datele, persoana B va sti cu un grad ridicat de certitudine ca posesorul cheii private, adica persoana A, este cel care a codificat datele. Cu alte cuvinte, destinatarul datelor, adica persoana B, are certitudinea cu privire la identitatea expeditorului, deci identitatea expeditorului este astfel autentificatã.

Concluzionand, Secure Socket Layer (SSL) foloseste atat codificarea simetrica, cat si codificarea asimetrica. Când se stabileste o legatura între un server de Web si un browser, sesiunea de comunicatii dintre cele doua puncte este codificata si decodificatã folosind un algoritm cu cheie simetricã eficient, convenit de ambele parti, folosind o cheie unica partajatã. Aspectul cu adevãrat genial în cazul protocolului SSL îl reprezintã metoda securizata folosita pentru transmiterea acestei chei de sesiune simetrice. Aici joacã un rol important codificarea cu cheie publicã. Pentru a se putea folosi SSL, toate serverele SSL au certificate de autentificare digitale prin care se pot identifica.

Certificatel SSSL sunt in principiu pachete digitale care contin jumãtatea publica a setului de chei ce apartine unui server de Web SSL. Certificatul este folosit ca masura de încredere pentru a vi se transmite aceasta cheie publicã. Dupa ce primiti cheia publica a unui site de Web SSL, puteti sã codificati mesajul catre site-ul respectiv iar acesta sã poata fi decodificat numai de posesorul jumatatii private unice din setul de chei. În acest fel puteti sa transmiteti cheia de sesiune mentionata mai sus, care este folofita apoi pentru realizarea unui tunel securizat prin Internet pentru comunicatia dumneavoastrã si site-ul SSL.

Certificatele digitale SSL sunt emise de catre organizatii cunoscute sub numele autoritati de certificare (CA). O autoritate de certificare este o organizatie care are rolul de a certifica faptul cã titularul uni certificat SSL este chiar cel care pretinde ca ar fi.

Browser-ele de Web (Netscape, Internet Explorer, Opera, Mozila Firefox, Chrome, Safari etc.) au incluse o listã lungã de autoritati de certificare de la care accepta certificate de autenticitate. Browser-ele de Web au de asemenea incluse cheile publice ale autoritãtilor de certificare cu care comunica. Daca o anumita autoritate de certificare nu este inclusã în browsewr-ul dumneavoastrã, exita posibilitatea de a fi adãugatã în browser, astfel cã in viitor browser-ul va sti sa comunice cu acea autoritate de certififcare. PEntru a vedea aceste informattii în Netscape 7.1, selectati Edit -» Preferences -» Privacy & Security -» Certificates -» Manage Certificates -» Authorities, iar in Internet Explorer selectati

Certificatele digitale SSL folosite astãzi sunt conforme standardului international X.509 adoptat de ITU (International Telecommunication Union) si ISO (International Organization for Standardization). În afara cheii publice a titularului certificatului, un certificat X.509 contine si informatii de genul datei de expirare, detalii despre autoritatea de certificare emitentã si titularul certificatului. Certificatul contine si o parte pe care nu o poti vedea si care contine semnãtura autoritatii emitente a certificatului. Aceastã semnãturã indicã faptul cã s-a verificat continutul certificatului si cã el prezintã incredere.

Mai jos se descrie modul cum functioneazã sistemul de autentificare a certificatelor digitale SSL.

1. Posesorul unui site care doreste sa foloseasca protocolul SSL, trimite o cerere de certificat unui furnizor de certificate. Cererea include si CSR-ul care contine cheia publica a site-ului, împreuna cu alte informatii despre firma.

2. Furnizorul de certificate lucreaza impreuna cu o autoritate de certificare. cãreia îi trimite cererea primita de la client.Dupa verificarea faptului ca cererea de certificat este valabila si provine de la sursa pe care pretinde cã o reprezintã, creaza un certificat pe care îl codificã apoi cu cheia sa privatã. Certificatul este apoi trimis posesorului de site care l-a solicitat.

3. De acum inainte, ori de cate ori un browser client compatibil cu SSL se conecteaza la serverul de WEB SSL al site-ului, browser-ului client îi va fi trimis acest certifcat.

4. Browser-ul client, care are încredere în autoritatea de certificare care a emis certificatul, valideaza certificatul cu cheia publica a autoritãtii de certificare. prin care se verificã faptul cã acesta a fost semnat de autoritatea respectivã cu cheia sa privata pãstrata strict secret. Un certificat este considerat a fi valabil dacã îndeplineste urmãtoarele trei criterii:

  • Certificatul trebuie sa fi fost emis de o autoritate de certificare;

  • Certificatul trebuie sa nu fie expirat;

  • Certificatul trebuie sa fie pentru serverul de Web la care browser-ul client crede ca este conectat, cu alte cuvinte, certificatul SSL oferit de server trebuie sã se suprapunã cu URL-ul folosit pentru formularea cererii.

5. Dupã ce s-a validat certificatul browser-ul client îl va deschide si va extrage cheia publica a server-ului de Web.

6. Browser-ul client va genera apoi o cheie de sesiune simetrica si va codifica acea cheie cu cheia publica a site-ului de Web. De retinut cã numai site-ul de Web care are cheia privata corespunzatoare poate decripta cheia de sesiune, astfel încât, dupa decriptarea corecta, numai browser-ul care a generat cheia si site-ul de Web respectiv o vor recunoaste.

7. În restul sesiunii SSL, browser-ul client si serverul de Web SSL vor folosi aceasta cheie simetrica partajata pentru a cripta toate mesajele care circulã în ambele sensuri. Sistemul mai lent de criptare cu cheie publica este folosit numai pentru autentificarea serverului de Web fata de browser-ul client si pentru a asigura o transmitere în sigurantã a cheii de sesiune între cele doua parti.