Mérföldkő: https

Developers' blog    2017-09-30 17:39:54

Honlap fejlesztés tanúsítvány biztonság 2017

Nemrégiben sikeresen váltottunk https-re, így az oldal sokkal biztonságosabbá vált. Ebből az alkalomból itt egy rövid cikk SSL-ről, tanúsítványokról és internetes biztonságról.

Nyilván észrevettétek, hogy csütörtök (2017.09.28) óta a böngésző az e5vosdo.hu cím mellett megjelenít egy lakatot is. Ez jelöli a https protokollt, azaz, hogy közted és a szerver között a kommunikáció titkosított. Senki nem olvashatja el se az általad, se a neked küldött adatokat*.

A https tulajdonképpen http (Hypertext Transfer Protocol) alapú kommunikáció TLS (Transport Layer Security) kapcsolaton keresztül. Az SSL (Secure Socket Layers) a TLS elődje, megmaradt az SSL-tanúsítvány elnevezésben, illetve a TLS-re is hivatkozhatnak SSL-ként.

Ha már megvan a kapcsolat, akkor minden rendben, senki nem olvashatja el a továbbított információkat. De biztos, hogy tényleg az e5vosdo.hu-hoz csatlakoztál? Biztos, hogy nem egy lemásolt, hacker által üzemeltetett oldalhoz kapcsolódtál, aminek a célja az adataidat ellopni? Hmm? Nos, erre való az SSL tanúsítvány. Tanúsítja, hogy a szerver, amivel kommunikálsz tényleg az e5vosdo.hu szervere. A legtöbb böngészőben megtekintheted a tanúsítványunkat, Firefox-ban pl. Eszközök/Oldal adatai/Biztonság alatt.

Érdekes, hogy a nem megfelelő tanúsítványt a böngészők nagyobb biztonsági kockázatként mutatják be, mint a tanúsítvány hiányát. Ennek az az oka, hogy érvénytelen, nem megfelelő (avagy hamis) tanúsítványt leggyakrabban olyan oldalak mutatnak be, amelyek valami megbízható oldalt próbálnak másolni. Így, míg a tanúsítvány hiánya nem biztonságos, de nem is nyílt fenyegetés, addig az érvénytelen tanúsítvány (amivel ugyanúgy feláll a titkosított kapcsolat, csak nem lehetsz benne biztos, hogy ki van a másik végén) a böngészők által támadásként értékelődik.

 

Mit is jelent a https Nektek?

Bárhol, akár nyílt Wi-Fi hálózaton is nyugodtan nézhetitek a Honlapot, bejelentkezhettek, cikkeket írhattok. Mindezt biztonságosan.

Jó böngészést kívánunk!

DÖkacsint

* A senki nem olvashatja az adatokat állítás azon alapszik, hogy a kód feltöréséhez túl sok idő, illetve óriási számítási kapacitás szükséges. (Ezen a téren is áttörést jelenthetnek a kvantum-számítógépek.) További olvasásra ajánlottak a https, TLS, illetve aszimmetrikus kulcsú titkosítás Wikipédia szócikkek.

Megjegyzések

Régi (http) kommentek