Egyre nagyobb az igény a biztonságos adatforgalomra.
Az emberek kezdenek rájönni, hogy nagyon nem mindegy, hogy a személyes adataikat - név, email cím, jelszó, stb. - egy olyan oldalon gépelik be, ahol biztosított a kiszolgáló és a látogató böngészője közötti adatforgalom titkosítása, vagy pedig nem - ez utóbbi esetben ugyanis a személyes adatok lehallgathatóak, azokhoz mások hozzáférhetnek.
Ha az ember akár csak hírlevelet rendel meg, vagy egy webáruházba regisztrál be - vagy akár csak regisztráció nélkül is vásárol -, az adatai nincsenek biztonságban, ha az oldal nem rendelkezik SSL védelemmel.
Erről könnyű meggyőződni a böngészők címsorában található kis lakat ikon keresésével. Ha a lakat ott van, és nincs mellette egyéb figyelmeztetés, az már kezdetnek nem olyan rossz.
De ez sajnos, önmagában még nem elég!
Jellemző problémák
Önaláírt tanúsítvány
Gyakori probléma, hogy a tanúsítvány nem hivatalos. Sokan azt hiszik, hogy drága (itthon sajnos tlényleg az), de a hitelesített, a böngészők által is elfogadott tanúsítványok sok esetben már ingyen is beszerezhetőek.
Ha egy SSL védett oldal megnyitásakor a böngésző tanúsítványhibát jelez, az azt jelenti, hogy az oldalt vagy meghamisították, vagy az oldal tulajdonosa csak a biztonság látszatát kelti - mindkettő kerülendő!
Régi tanúsítvány SHA-1-es kódolással
Az SHA-1-es tanúsítványok sérülékenyek. A tanúsítványkiatók már több, mint egy éve az SHA256-os kódolással adnak ki tanúsítványokat, mert bebizonyosodott, hogy az SHA-1-et az Egyesült Államok Nemzetbiztonsága könnyűszerrel képes feltörni - az azóta kiszivárgott információk alapján azonban már mások is könnyen kijátszhatják ezt a fajta védelmet.
Elégtelen kiszolgálói beállítások
Hiába az SSL, és hiába a megbízható tanúsítvány, ha a webszerver SSL rétege sérülékeny. Nagyon sok weboldalon még engedélyezve van az SSLv3-as kapcsolódás, vagy olyan titkosítási algoritmus, amiről már rég kiderült, hogy nem megbízható.
Ma már csak azok az oldalak tekinthetőek biztonságosnak, amelyek nem használnak közepes, vagy annál gyengébb besorolású algoritmust.
Vajon hányan hinnék el nekem, hogy ezen szöveg írásakor pl. a legnagyobb hazai bank weboldala is használható RC4-es algoritmussal, ami évek óta a legtöbb rendszerben tiltott a magas kockázati besorolása miatt.
Szomorú tény, hogy még egy banknál, ahol az ügyfelek pénzének a biztonsága forog kockán, fontosabbnak tartják azt, hogy a weboldalukat Windows XP és Internet Explorer 6 alól is lehessen használni, mint az, hogy az ügyfelek zömének az adatai valódi biztonságot élvezzenek.
Érdemes néhány SSL védett weboldalt letesztelni ezzel az eszközzel.
Amit én biztosítani tudok
Sok szolgáltató nem ad SSL lehetőséget a weboldalakhoz, mert nem tudják- vagy nem akarják megoldani az SNI-t, és külön IP címet vetetnek inkább az ügyféllel, vagy lebeszélik az SSL használatáról akár avval a kifogással, hogy az oldalak működése lassabb lesz.
Ezek egyike sem igaz!
Bár az SSL használata valóban igényel plusz erőforrást a kiszolgálói rétegben, de nem annyit, hogy emiatt egy adott weboldal működése lassabb legyen. Sokkal inkább jelent problémát egy mai számítógépen a weboldal megjelenésekor a lassú internetkapcsolat, vagy a böngésző lassú renderelése a weboldal túlbonyolított szerkezete miatt.
Az általam szolgáltatott oldalak SSL védelme pedig A+