Cerytfikat SSL a bezpieczeństo strony www. Obalamy mity!

Certyfikat SSL to pojęcie, które coraz częściej można spotkać podczas codziennego poruszania się po internecie. Jeżeli interesujemy się bezpieczeństwem w sferze cybernetycznej, tym bardziej to określenie zapadło nam w pamięć. A może po prostu podczas zakupu usług sieciowych czy chmurowych natknąłeś się na określenie „Kup certyfikat SSL – zyskaj gwarancję bezpieczeństwa”?

Być może też dowiedziałeś się, że stronę banku można rozpoznać po zielonej kłódce, która oznacza połączenie SSL czyli połączenie „bezpieczne”?

Niestety, zmuszeni jesteśmy obalić mit, jakoby Certyfikat SSL był cudownym remedium na wszelkie bolączki cyberbezpieczeństwa w internecie. Z drugiej strony, nie można umniejszać jego znaczenia w codziennym życiu. Poniżej postaramy się krótko wyjaśnić, co to jest certyfikat SSL, do czego się go stosuje i czy warto w niego inwestować.

Czy jest się czego bać?

Zacznijmy od tego, że kiedy wchodzimy na jakąś stronę WWW, na przykład korzystamy z bankowości elektronicznej lub logujemy się do social mediów jak facebook lub instagram, jesteśmy w pewnej sieci. Może to być nasza sieć domowa, ale może też być to sieć w kawiarni, hotelu czy innym miejscu publicznym oferującym sieć Wi-Fi. Musimy mieć na uwadze, że w tej samej sieci (kawiarni, hotelu) mogą znajdywać się osoby wyposażone w urządzenie do podsłuchu sieci, które mogą widzieć wszystkie informacje przesyłane przez jej użytkowników. Takie urządzenie kosztuje od 50 do 300 złotych i jest proste w obsłudze. Jest to pierwsze zagrożenie dla bezpieczeństwa naszych danych.

Korzystając z internetu w dowolnej sieci, musimy też mieć na uwadze, że sieć ta ma jakiegoś właściciela – operatora – czyli firmę będącą dostawcą internetu. W takiej sytuacji niezależnie czy łączymy się z internetem przez „Wi-Fi” czy „po kablu”, wszystkie informacje przepływają przez firmę, która dostarcza nam połączenie internetowe. Teoretycznie też, i tam ktoś mógłby podejrzeć, co tak właściwie robimy w internecie.

Dzięki certyfikatowi SSL możliwe jest zaszyfrowanie komunikacji (certyfikat zawiera dane do przeprowadzenia skomplikowanej matematycznej kalkulacji) w taki sposób, aby odczytanie jej było możliwe wyłącznie przez nadawcę i odbiorcę. Dzieje się tak, ponieważ podczas nawiązywania połączenia między naszym komputerem a docelową stroną dane o certyfikacie przesyłane są na początku, a następnie z ich użyciem cała reszta komunikacji przesyłana jest w postaci szyfrowanej.

Czy zabezpiecza to naszą stronę? W pewnym sensie tak – a dokładniej zabezpiecza użytkowników strony www która korzysta z połączenia szyfrowanego. Z pomocą certyfikatu SSL ruch sieciowy, przesyłane dane przez użytkowników nie mogą zostać podsłuchane. Jednak to zabezpieczenie nie chroni w istocie naszej aplikacji i przetwarzanych przez nią danych. Atakujący może w dalszym ciągu generować złośliwy ruch do naszej strony próbując wykorzystać błędy bezpieczeństwa. Obecność certyfikatu SSL w takim razie nie ma dla cyberprzestępców większego znaczenia – ponieważ nie utrudnia bezpośredniego ataku na stronę www.

Właśnie dlatego systemy ochrony takie jak Web Application Firewall powinny wspierać każdą stronę www. O ile certyfikat SSL chroni Twoich użytkowników, o tyle Web Application Firewall jest w stanie chronić Twoje bezpieczeństwo.

Kontakt

Chcesz dowiedzieć się wiecej lub zapytać o bezpłatną wycenę? Zapraszamy do kontaktu!