Talán már észrevette, hogy a webcímeken gyakran a HTTP protokoll helyett a HTTPS protokoll jelenik meg, és a böngészője egy lakatot jelenít meg az URL-cím előtt, jelezve, hogy a kapcsolat biztonságos. Bár ez a biztonság érzetét kelti, felmerül a kérdés, hogy ez pontosan mit is jelent, és hogyan védi a kapcsolatot.
Mi az SSL és hogyan működik?
Amikor egy weboldal a HTTPS protokollt használja, a weboldalhoz való hozzáférését a Secure Sockets Layer (SSL) védi. Az SSL egy internetes biztonsági protokoll, amely biztosítja, hogy a weboldal és a felhasználó közötti kapcsolat biztonságos legyen. Az SSL háromféleképpen védi a kapcsolatot. Először is, az SSL egy weboldal hitelességének bizonyítéka: azt mutatja, hogy az Ön által látogatott weboldal valóban az, aminek mondja magát, és nem egy hamis weboldal, amelyet támadók hoztak létre, akik megpróbálnak magánadatokat megszerezni a látogatóktól.
Másodszor, biztosítja, hogy a két fél közötti kommunikáció titkosított legyen. A szabványos HTTP protokoll esetében az adatok átvitele egyszerű szövegben történik. Ez azt jelenti, hogy bárki, aki képes lehallgatni ezt a kapcsolatot, láthatja a nyílt szövegben küldött adatokat. A HTTPS használatával azonban az adatokat a továbbítás előtt titkosítják, így még ha le is hallgatják őket, a dekódoláshoz szükséges kulcs nélkül véletlenszerű karakterek összevisszaságának tűnnek.
Végül az SSL az üzenethitelesítési kódok (MAC) használatával biztosítja, hogy az átvitt adatokat ne lehessen manipulálni. Bár technikailag az SSL-en keresztül küldött üzenetek még mindig lehallgathatók vagy módosíthatók, a MAC biztosítja, hogy a felhasználó mindig tudja, ha ez megtörtént.
Az SSL-t hagyományosan csak olyan weboldalakon használták, amelyek személyes adatokat dolgoznak fel, például online fizetések vagy bejelentkezési képernyők esetében. Manapság azonban sok weboldal rendelkezik SSL-tanúsítvánnyal, hogy garantálja magának a weboldalnak a biztonságát és hitelességét. A modern böngészőkkel és eszközökkel az SSL-kapcsolat létrehozásához szükséges idő többnyire elhanyagolható, ezért az már nem jelent hátrányt.
Ha már ismeri az SSL-t, talán hallott már a Transport Layer Security (TLS) szolgáltatásról is. Valójában, amikor az SSL-ről esik szó, legtöbbször a TLS-ről van szó, amely az SSL utódja. Az SSL fejlesztését 1999-ben az Internet Engineering Task Force vette át az eredeti alkotótól, a Netscape-től. Ezzel az átvétellel a név TLS-re változott, és az SSL utolsó verziója (3. verzió) elavulttá vált. Az SSL név azonban megmaradt, és a kettőt ma már felváltva használják.
Milyen típusú SSL-tanúsítványok léteznek?
Nem csak egyféle SSL-tanúsítvány létezik. Az SSL-tanúsítványok a hosztnevek lefedettségében és az ellenőrzés mértékében különböznek. Adataink szerint, ahol körülbelül 59 millió tanúsítványt vizsgáltunk meg, az SSL-tanúsítványok leggyakrabban használt lefedettsége az egydomaines, ami azt jelenti, hogy a tanúsítvány csak egy hosztnevet fed le, általában egy domain www hosztnevét (például www.google.com). Ennek a tanúsítványnak a kiterjesztése a Wildcard tanúsítvány, amely egy tartomány összes aldomainjére kiterjed. Végül a több tartományra vonatkozó tanúsítvány több, egymással nem összefüggő tartományra vonatkozik.
Az SSL-tanúsítványok különböző mértékű ellenőrzéssel is rendelkezhetnek. Ezek a fokozatok megfelelnek a tanúsítvány kiállítása előtt szükséges különböző szintű háttérellenőrzéseknek. A legkevésbé igényes ellenőrzési szint a Domain Validation, ahol a tulajdonosnak csak a domain tulajdonjogát kell igazolnia. A Szervezeti érvényesítés esetében a tanúsítványkiadó hatóság közvetlenül felveszi a kapcsolatot a domain tulajdonosával. A legkiterjedtebb ellenőrzésre a kiterjesztett érvényesítés esetében kerül sor, ahol a tanúsítvány kiadása előtt a szervezet teljes háttérellenőrzésre kerül sor. Adataink azt mutatják, hogy az SSL-tanúsítvánnyal rendelkező tartományok túlnyomó többsége (92%) csak a tartományt érvényesíti. A szervezet érvényesítés 8%-ot tesz ki, az Extended Validation tanúsítványok pedig kevesebb mint 0,1%-ot.
Az SSL-tanúsítványt, amelyet egy weboldal szerez be, egy tanúsítványkiadónak (CA) kell kiállítania, a legnépszerűbb a Let’s Encrypt. A Let’s Encrypt egy ingyenesen használható nonprofit hitelesítésszolgáltató, amelyet a köz javára hoztak létre, és technológiai vállalatok széles köre szponzorál. Az SSL-tanúsítvánnyal rendelkező domainek 64%-át fedi le, és csak Domain Validation tanúsítványokat ad ki. Ezért népszerű választás a kisebb szervezetek és magánszemélyek körében, akik meg akarják védeni a weboldaluk látogatóinak adatait. A Let’s Encrypt mellett a Sectigo és a DigiCert is széles körben használt hitelesítésszolgáltatók. További népszerű lehetőségek a Cloudflare, a cPanel és a GoDaddy, amelyek termékcsomagjaik részeként kínálnak SSL-tanúsítványokat.
Ez azt jelenti, hogy minden olyan weboldal, amelynek SSL-tanúsítványra van szüksége, már rendelkezik ilyennel? Ami azt illeti, nem. Az általunk ellenőrzött 113 millió domainnek csak a fele (52%) rendelkezett érvényes SSL-tanúsítvánnyal. Bár sok weboldalnak nincs feltétlenül szüksége HTTPS-re, mivel nem továbbítanak felhasználói adatokat, mégis sok olyan weboldalt látunk, amelyek SSL-tanúsítvány nélkül tárolnak adatvédelmi szempontból érzékeny adatokat, például bejelentkezési adatokat, elérhetőségi adatokat vagy fizetési adatokat a látogatóiktól. Adataink szerint világszerte körülbelül 3,1 millió üzleti és e-kereskedelmi weboldal tárol adatvédelmi szempontból érzékeny információkat, de nem rendelkezik SSL-tanúsítvánnyal.
Azoknak a webhelytulajdonosoknak, akiknek fontos az integritásuk és a látogatók adatainak védelme, mindenképpen fontolóra kell venniük, hogy SSL-tanúsítvánnyal védjék webhelyüket. Most, hogy megtudta, mi az SSL és mit jelent, talán Ön is óvatosabb lesz azokkal a webhelyekkel szemben, amelyek nem rendelkeznek SSL-tanúsítvánnyal.
2023-01-31