Na czym polega szyfrowanie SSL

Każdy kto choć raz logował się do bankowości internetowej lub robił zakupy w sklepie internetowym miał do czynienia z szyfrowaniem SSL. Być może nie zauważył przedrostka httpS://, być może nie weryfikował certyfikatu ukrytego pod małą kłódeczką przed adresem strony, ale może być pewny, że jego dane były przesyłane w sieci w sposób bezpieczny, zaszyfrowany i trudny do odczytania.

Jak tylko Internet stał się ogólnodostępny, to pojawili się w nim amatorzy cudzej własności, którzy „podsłuchiwali” ruch sieciowy i zdobywali wrażliwe, osobiste informacje użytkowników sieci. Aby temu przeciwdziałać, wymyślono protokół sieciowy SSL, który wykorzystywany jest do nawiązywania bezpiecznych połączeń internetowych.

Jest on bardzo uniwersalny, bo mogą z niego korzystać protokoły http, FTP, telnet itp. , co oznacza że są nim szyfrowane połączenia z serwerami pocztowymi, serwerami plików i serwery www. Jest to standardowy mechanizm zabezpieczania komunikacji sieciowej z bankami, urzędami, sklepami internetowymi, portalami aukcyjnymi itp. 

Co daje szyfrowanie i certyfikat SSL?

1. Szyfrowanie przesyłanych danych i ukrycie ich przed podsłuchaniem
2. Bezpieczeństwo połączenia i pewność, że nasze dane wrażliwe nie wpadną w niepowołane ręce
3. Wiarygodność strony www i jej właściciela potwierdzona przez zaufane centrum certyfikacji
4. Prestiż i zaufanie, które wzmacnia profesjonalne podejście firmy do zagadnień bezpieczeństwa w sieci. 

Jak działa szyfrowanie SSL?

SSL jest protokołem typu klient-serwer, który pozwala na bezpieczne połączenia klienta (np. naszego komputera) z serwerem, przy wykorzystaniu pary kluczy szyfrujących i certyfikatu. Połączenie wykorzystujące SSL działa następująco:

1. Klient łączy się z serwerem i przekazuje mu informacje o wersji wykorzystywanego protokołu SSL, dozwolonych sposobach szyfrowania, kompresji danych oraz unikalny, jednorazowy identyfikator sesji. Dodatkowo, na potrzeby wygenerowania kluczy szyfrujących, klient wysyła do serwera losowo wygenerowaną liczbę. 
2. Serwer odpowiada klientowi takim samym komunikatem, który zawiera inną losowo wygenerowaną liczbę. 
3. Serwer wysyła do klienta certyfikat, który pozwala na sprawdzenie jego tożsamości.
4. Serwer wysyła do klienta klucz publiczny, który jest generowany algorytmem uzgodnionym między klientem i serwerem na początku połączenia. 
5. Klient na podstawie ustalonych dwóch liczb losowych (swojej i serwera) generuje klucz sesji wykorzystywany do rzeczywistej wymiany dany. Jest on wysyłany na serwer z wykorzystaniem klucza publicznego przesłanego przez serwer.
6. Klient wysyła informację, że wymiana danych między nim a serwerem może być szyfrowana.
7. Serwer po odebraniu wszystkich danych od klienta przełącza się na połączenie szyfrowane i wysyła próbny komunikat, już zaszyfrowany.
8. Od tej pory dane przesyłane między klientem i serwerem są wysyłane w sposób bezpieczny, zaszyfrowany. Stan ten trwa do zakończenia sesji połączenia. 

O zabezpieczenie strony www w oparciu o szyfrowanie SSL i certyfikat powinien zadbać jej właściciel zwłaszcza gdy korzysta z programu reseller web