Yleistä SSL:stä

Secure Socket Layer eli SSL lienee Internetin laajimmin käytetty turvaprotokolla. Se mahdollistaa salauksen ja autentikoinnin ja käyttää X.509-sertifikaatteja. SSL toimii TCP-protokollan päällä ja sovellustason protokollien kuten HTTP:n tai FTP:n alla. Jälkimmäisestä seuraa, että www-liikenne on matkan varrella suojattua URL-osoitteita ja HTTP-protokollan otsikoita myöten. Nämäkin tiedot tulevat luonnollisesti palvelimen käyttöön ja tallentuvat sen lokitietoihin. Toinen seuraus SSL:n sijoittumisesta on, ettei se ole riippuvainen siitä, mitä sen päällä tehdään.

SSL-yhteys alkaa kättelyllä ('handshake'). Siinä autentikoidaan kommunikoivat osapuolet ja niiden välille luodaan avaimet, joilla liikenne jatkossa salataan ja autentikoidaan. Tällöin liikennöinnin luottamuksellisuus ja eheys ovat hyvien algoritmien ansiosta turvassa. Kättelykin on turvalliseksi hioutunut protokolla ja sen algoritmit ovat vahvoja. Siinä käytetään osapuolten julkisia avaimia.

Ongelmia voi aiheutua seuraavista syistä:

  • Yleensä vain palvelin autentikoidaan kättelyn yhteydessä. Selaimella ei tavallisesti edes ole julkista avainta, puhumattakaan siitä, että sillä olisi varmenne, jonka palvelin hyväksyisi. Selainta käyttävä ihminen voi kyllä autentikoitua SSL:ää käyttävälle sovellukselle, kun SSL-liikennöinti on jo alkanut.
  • Selaimessa ei aina ole sellaista varmennetta, jossa olevalla julkisella avaimella selain voisi todentaa palvelimen lähettämän allekirjoituksen. Palvelin lähettää kyllä myös asiaan kuuluvan varmenteen, mutta niin tekisi tietysti myös hyökkääjän hallussa oleva palvelin -- "varmennettu" avain vain olisi hyökkääjäpalvelimen oma, jolla se olisi tehnyt kättelyssä olevan allekirjoituksen. Selain kertoo tuntemattomasta varmenteesta ja sen yksityiskohdista käyttäjälle, joka ei välttämättä ymmärrä koko asiaa. Jotta varmenteen hyväksymiselle olisi oikeat perusteet, käyttäjän pitäisi tarkistaa jotain muuta kautta, että selaimen kertoma varmenteen tiiviste ("sormenjälki") täsmää. Tämän jälkeen kyseisen varmenteen voi asentaa selaimeen myös vastaisen varalle.
  • Palvelimen omalle julkiselle avaimelleen tarjoama varmenne voi olla kyllä selaimen luottaman tahon allekirjoittama, mutta se voi olla vanhentunut (tai ei vielä voimassa esim. jos työaseman kello on sekaisin) tai se voi koskea jotain muuta URL-osoitetta kuin mihin ollaan todellisuudessa menossa. Jälkimmäinen on näistä huolestuttavampaa, sillä tarkoituksenahan on juuri oikeasta palvelusta vakuuttuminen.

Alunperin Netscapen (1994 alkaen) toteuttaman SSL:n rinnalle tuli ilmainen toteutus SSLeay ja siitä kehitelty OpenSSL-projekti. Internet Engineering Task Force (IETF) on laatinut SSL:n pohjalta standardin ( RFC 4346, 2006; alunperin RFC 2246, 1999), jolla on nimenä TLS, Transport Layer Security. Kun puhutaan SSL:stä, käytetään usein ilmaisua SSL/TLS.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Verkko
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-ammattilainen
Milloin Päivittäin
Miksi Hyvä tapa

This topic: Tietoturva > Sisällysluettelo? > YleistäSSL:stä
Topic revision: r2 - 22 Apr 2010 - 13:31:58 - MaijuLehtonen?
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback