U poslednje vreme, sve češće čujemo glasine o nebrojenim krađama identiteta putem interneta, curenju lozinki, “ubacivanja” virusa, i za brojne laike nižu se novi pojmove i reči — poput ransomware.
Sve te sigurnosno-bezbednosne falinke imaju bar jednog zajedničkog imenioca — takozvani socijalni inženjering (social engineering), situacija u koju ste doslovno prevareni i “naterani” da kliknete na sadržaj ili link koji, u najmanju ruku, neće biti dobar za vas i vaše podatke. Nakon klika, otvara se pandorina kutija trikova, virusa i crva koji imaju samo jedan cilj — da naude žrtvi krađom podataka.
Međutim, suprotno uvreženom mišljenju, ovakve se greške mogu desiti svima i to vrlo lako. Website izgleda okej, čak i vrlo sličan recimo e-bankingu vaše banke, ali je naravno upitanju prevara koju je lako uočiti na vreme — ukoliko znate šta je SSL.O tome pišemo u ovom blogu. Opuštenim tonom prikazaćemo šta je to SSL, koja mu je validna vrednost i zašto bi svi trebalo da koriste neku njegovu verziju u svakodnevnom surfovanju, životom i poslovanju na netu.
Najpre, počnimo sa osnovama: SSL je skraćenica od Secure Sockets Layer i predstavlja parče koda na vašem web serveru koje omogućava bezbednu online komunikaciju. Kada pretraživač uspostavi vezu sa bezbednim sajtom, SSL sertifikat omogućava kriptovanu vezu. To je kao kada zapečatite koverat pre nego što ga ubacite u poštansko sanduče.
SSL sertifikati takođe ulivaju poverenje jer svaki SSL sertifikat sadrži podatke za identifikaciju. Kada pošaljete zahtev za izdavanje SSL sertifikata, treća strana verifikuje podatke o vašoj organizaciji i izdaje vam jedinstveni sertifikat koji sadrži te podatke. Ovaj proces naziva se autentifikacija.
SSL se od “običnog sigurnosnog omotača” vremenom nadogradio na SSL/TLS (Secure Sockets Layer/Transport Layer Security), ali je i dalje poznat po svom originalnom skraćenom nazivu SSL. Ovaj sertifikat je takođe osnova za siguran HTTP ili HTTPS — što znači da je praktično website transportovan kroz protokol za transfer hiperteksta koji prolazi kroz bezbednu, kriptovanu konekciju.
Uh, previše IT žargona u par rečenica? Hajde da pojednostavimo stvari kroz par analogija.
Recimo da želite da otvorite račun u banci. Dođete na šalter, upitate službenicu da vam pomogne, međutim ona ne želi da vam otvori račun jer joj niste predali nikakva lična dokumenta i prosto, nema osnova da vam veruje da ste vi —vi. Šta dalje činiti? Jedna opcija je da službenica pozove lokalne insitucije (MUP, recimo) kako one sigurno imaju vaše lične podatke. Ali to je i u teoriji i u praksi vrlo naporna i nepotrebna opcija, što nas dovodi do zaključka da će službenica najpre da vas pita da joj date neki važeći lični dokument.
I vi joj date ličnu kartu, u kojoj se nalazi vaše ime i prezime i JMBG koji služi za proveru vašeg identiteta u ovom slučaju. Međutim, dokument sam po sebi ne radi ništa drugo do vašeg jednostavnog identifikovanja. Ne možete, recimo, sa ličnom kartom ili pasošem da podignete novac sa bankomata. Ali možete da bilo koji validan lični dokument, upotrebite za otvaranje računa u banci na osnovu kojeg ćete dobiti debitnu karticu za bankomate.
Vrlo sličan scenario dešava se i kada želite da pristupite bezbednom sajtu. Po dolasku na datu web adresu, vašem klijentu se dostavljaju autentifikacija i identifikacija od web servera i to putem SSL sertifikata. Vaš website ne može samo da kaže “Ja sam Narodna Banka Srbije” —potreban je validan sertifikat da potvrdi taj identitet. Ovo je “SSL rukovanje” koje je zapravo forma kontinuirane dvosmerne komunikacije koja za cilj ima da uspostavi vezu i jasnu identifikaciju pre nego li pretraživač zapravo zatraži potrebne informacije.
Pa, ne baš. Nisu svi SSL sertifikati i provajderi isti.
Sertifikati se razlikuju po nivou sigurnosti kao i po uslovima po kojima se izdaju. U ponudi tako možete pronaći sertifikate koji koštaju nekoliko hiljada dolara godišnje, pa i besplatne sertifikate, kao što je Comodo SSL koji mi nudimo besplatno uz sve Unlimited shared hosting pakete.
Kako bismo pojednostavili i razjasnili, možemo SSL uporediti sa pasošem. Pasoš je dokument koji je jasan i siguran dokaz vašeg identiteta i državljanstva, a koristi se kako biste mogli da putujete u druge zemlje. Mada, nisu svi pasoši isti, neki su “moćniji” od drugih. Na primer, nekome je potrebna viza za odlazak u određenu zemlju, potrebno je da dodatno potvrdi svoj identitet drugim dokumentima, a nekima nije.
Na isti način se razlikuju i SSL sertifikati. Postoje sertifikati kao što je ovaj koji mi koristimo za naš sajt, gde je prikazan naziv firme u samom pretraživaču pored domena. Ovaj sertifikat se zove EV (Extended Validation) sertifikat, on pruža viši nivo zaštite. Drugi sertifikati, sa nižim nivoom sigurnosti, uglavnom imaju samo oznaku Secure, ali ime vlasnika sertifikata nije prikazano.
Ne brinite se, nije potrebno da svi sajtovi imaju najviši nivo sigurnosti. Ukoliko vodite blog, sigurnost u vidu SSL sertifikata je poželjna, ali nije neophodna. Sa druge strane, neki od naprednijih SSL sertifikata je neophodan ako imate online prodavnicu ili neki drugi sajt gde se od korisnika zahteva da ostavljaju osetljive podatke, kao što su brojevi platnih i kreditnih kartica, adresa, i sl.
Razmislite koji SSL bi bio najbolji za vas, a ukoliko vam je potreban dodatni savet, slobodno nas kontaktirajte. Uz sve naše shared hosting pakete se dobija besplatan Comodo SSL, ali pored toga imamo i naprednije SSL sertifikate za korisnike kojima je to potrebno.
Dakle, SSL sertifikat vas ne može zaštititi od potencijalnih opasnosti kao što su napadi socijalnog inženjeringa, spoofing napadi i slično.
Ipak, SSL je zaista minimum sigurnosti koji obezbeđuje sigurne transakcije i komunikaciju između klijenta i servera. Svaki web sajt ili aplikacija bi trebalo da poseduje neku vrstu SSL sertifikata, a vi kao korisnici bi trebalo da pazite da ne ostavljate svoje podatke na nesigurnim sajtovima.
SSL sertifikati čuvaju privatnost online interakcija čak i kada putuju preko javnog interneta, i ulivaju kupcima poverenje da je vaš sajt bezbedan za obavljanje transakcija. Ako od korisnika vašeg web sajta tražite da se prijave, ako unose lične podatke kao što su brojevi kreditnih kartica, ili na vašem sajtu mogu da vide neke poverljive podatke, onda morate da zaštitite privatnost tih podataka. Takođe morate da ih uverite da je vaš sajt autentičan.
SSL se takođe koristi za email servere, web aplikacije, server-to-server komunikaciju i još mnogo toga.
Svakome kome je potreban bezbedan prenos informacija preko interneta. Koristite SSL da zaštitite:
1. Online transakcije kreditnim karticama, web forme i login podatke korisnika
2. Email i webmail aplikacije
3. Korporativne komunikacije na intranetu, ekstranetu, internim mrežama, file sharing i Microsoft SharePoint
4. Komunikacije na cloud platformama i virtualizovanim aplikacijama
Enkripcija je matematički proces kodiranja i dekodiranja informacija. Broj bitova (40-bit, 56-bit, 128-bit, 256-bit) govori o veličini ključa. Kao i duža lozinka, veći ključ ima više mogućih kombinacija. Štaviše, 128-bitna enkripcija je jedan trilion puta jača od 40-bitne enkripcije. Kada se uspostavi kriptovana sesija, jačina se određuje na osnovu kapaciteta web browsera, SSL sertifikata, web servera i operativnog sistema na kompjuteru koji pristupa sajtu.
SSL sertifikat sadrži verifikovane informacije o sajtu koji štiti, s ciljem da uveri korisnike da je sajt na kome su zaista vaš (tj. da nisu na phishing sajtu). Proširena validacija je najviši standard verifikacije i na upadljiv način uverava korisnike u autentičnost i bezbednost sajta: tako što adresna traka browsera postaje zelena.
Osim adrese, korisnike sajta u autentičnost uverava i pečat, odnosno žig poverenja (Trust mark, trust seal), koju dobijate sa sertifikatom i koju možete da instalirate na sajt. Kada korisnik klikne na pečat može da vidi inofrmacije o vlasniku sajta, nezavisnom telu koje je sertifikat izdalo i datum isteka SSL sertifikata. U novijim browserima, informaciju o sajtu mogu da se pojave kadda korisnik pređe mišem preko adresne trake. Takođe, informacije se vide i kada kliknu na ikonicu katanaca ispred adrese.
Imaš pitanje ili komentar?