Internet se stal neoddělitelnou součástí moderního života, přináší informace a spojuje celý svět. Mnoho informací, které jsou na něm k dispozici, je však důvěrných, určených pouze určitému okruhu osob, např. registrovaným zákazníkům, uživatelům webových stránek nebo partnerům či zaměstnancům firmy. V současné době probíhá zabezpečení informací na Internetu převážně pomocí certifikátů SSL, které poskytují základ pro šifrování dat mezi serverem, kde jsou informace uloženy, a prohlížečem uživatele.

externí autořiexterní autoři
SoftwareSoftware
05.12.2011 13:17:0005.12.2011 13:17:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

ALSO Czech Republic s.r.o.
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Certifikáty SSL – Bezpečnost na prvním místě

Internet se stal neoddělitelnou součástí moderního života, přináší informace a spojuje celý svět. Mnoho informací, které jsou na něm k dispozici, je však důvěrných, určených pouze určitému okruhu osob, např. registrovaným zákazníkům, uživatelům webových stránek nebo partnerům či zaměstnancům firmy. V současné době probíhá zabezpečení informací na Internetu převážně pomocí certifikátů SSL, které poskytují základ pro šifrování dat mezi serverem, kde jsou informace uloženy, prohlížečem uživatele.

Historie certifikátů SSL sahá již do roku 1996, kdy firma Netscape vyvinula protokol SSL (Secure Socket Layer). Již od začátku byl šířen jako nekomerční otevřený protokol pro soukromé i komerční účely. V dnešní době je nahrazen novým, standardizovaným protokolem TLS (Transport Layer Security).

Podporu zabezpečení komunikace pomocí certifikátů SSL nabízejí dnes všechny moderní serverové systémy. Správce či majitel webového projektu tak musí pro správnou činnost zajistit pouze získání certifikátu SSL od certifikační autority, která ověřuje žadatele a certifikáty vydává.

Serverové certifikáty vydává většina certifikačních autorit (CA), ale i když jsou v podstatě úplně stejné, je nutné se při výběru rozmyslet, jakou autoritu vybrat. Kromě ceny je hlavním kritériem výběru informace, zdali je kořenový certifikát vybrané CA již nainstalován u klienta v systému, nebo je distribuován společně s prohlížečem. V Internet Exploreru je možné jednoduše zjistit, jaké certifikáty jsou předinstalované, pomocí menu Nástroje – Možnosti Internetu – záložka Obsah – Certifikáty – „Důvěryhodné kořenové certifikační úřady“. Najdete jich tam poměrně hodně.

Pokud se vybere taková CA, u které je jistota, že drtivá většina uživatelů má její kořenový certifikát, obrovskou výhodou je, že se klientovi po přístupu na zabezpečené stránky nezobrazuje nepříjemné hlášení o „nedůvěryhodnosti“. Tato výhoda je však vykoupena cenou za certifikát.


Nejznámější světové certifikační autority


VeriSign, Inc. je americká společnost poskytující širokou paletu internetových a síťových služeb. Patří mezi leadery internetové bezpečnosti a pro posilování své pozice na trhu bezpečnosti a certifikátů SSL uskutečnila mnoho akvizic i prodejů. Certifikáty VeriSign používá většina významných světových společností, v bankovním sektoru jsou samozřejmostí, téměř nutností. Získáním certifikátu VeriSign společnosti deklarují vyšší úroveň kvality služeb a zabezpečení. Mezi nejpopulárnější certifikáty SSL od společnosti VeriSign patří Secure Site EV certifikát. Jako přidanou hodnotu ke každému certifikátu SSL obdrží zákazník zdarma logo VeriSign, označující zabezpečení stránek, což posiluje důvěru návštěvníků, dále každodenní malware scan zabezpečené webové stránky, službu Vulnerability Assessment, která zjistí a ohodnotí zranitelnost stránek a také pečeť VeriSign Seal-in-Search.


Společnost THAWTE založil v roce 1995 Mark Shuttleworth jako typickou garážovou firmu. Od začátku se specializovala na digitální certifikáty a internetovou bezpečnost a stala se průkopníkem certifikátů SSL. V prosinci 1999 ji majitel prodal za 600 miliónů dolarů společnosti VeriSign.

Zajímavostí může být informace, že Mark Shuttle­worth po prodeji absolvoval jako 2. vesmírný turista v roce 2002 9 dnů ve vesmíru a v roce 2005 založil Ubuntu Foundation.

Mezi nejpopulárnější certifikáty od společnosti THAWTE patří SSL 123 certifikát nebo Web Server certifikát.


Společnost GeoTrust je v současnosti druhý největší poskytovatel certifikátů SSL, má více než sto tisíc zákazníků ve 150 zemích. Jednou z jeho akvizic na poli certifikačních autorit byla společnost RapidSSL. Ta patří mezi certifikační autority nabízející nejlevnější SSL certifikáty. Vydává dva druhy SSL certifikátů – RapidSSL a RapidSSL Wildcard. V roce 2006 získala GeoTrust za 125 miliónů dolarů společnost. Mezi nejpopulárnější certifikáty SSL od GeoTrust patří True BusinessID Multi-Domain certifikát – SAN, který umožňuje zabezpečit až 25 spolu nesouvisejících domén.


V roce 2010 se pomyslný kruh akvizic společnosti VeriSign uzavírá a kompletní bezpečnostní portfolio je prodáno softwarové společnosti Symantec za cca 1,28 miliardy dolarů.

Ostatní světové CA

Mezi ostatní známé světové certifikační autority patří GoDaddy, Comodo, GlobalSign nebo Entrust.


České certifikační autority

České CA jsou především zaměřeny na poskytování kvalifikovaných osobních certifikátů, které splňují požadavky zákona o elektronickém podpisu. Vydávání serverových certifikátů SSL je tak spíše pouze doplněk. Výraznou nevýhodou těchto SSL certifikátů je jejich „nedůvěryhodnost“ v populárních internetových prohlížečích.

Seznam českých CA je zveřejněn na stránkách Ministerstva vnitra ČR.

Certifikační autorita PostSignum

CA České pošty, vydává kvalifikované osobní certifikáty, kvalifikované systémové certifikáty (elektronická značka), komerční osobní certifikáty a komerční serverové certifikáty (SSL).

Komerční serverové certifikáty vydává s platností pouze na 1 rok. Certifikáty jsou od roku 2010 v programu Microsoft Root. V prohlížeči Firefox k dispozici nejsou, jelikož nároky Mozilla Founda­tion jsou dost těžko splnitelné. Snahou CA je dostat se i do programu Acrobat Reader.

První certifikační autorita, a.s. (I.CA)

První CA v České republice. Je vlastnicky propojena s několika velkými společnostmi a její certifikáty jsou hodně využívány v internetovém bankovnictví (ČSOB).

Společnost vydává také kvalifikované komerční certifikáty. Tak jako u Postsignum je certifikát SSL vydáván na 1 rok. Kořenové certifikáty jsou součástí pouze systému Windows.

eIdentity, a.s.

Třetí českou CA je společnost eIdentity, která vydává kvalifikované i běžné certifikáty a podle ceníku nabízí také komerční serverový certifikát s platností 1 rok k již vydanému kvalifikovanému systémovému certifikátu.

Závěrem

V poslední době bylo v oblasti SSL poměrně rušno kvůli napadení dvou důvěryhodných certifikačních autorit. CA Comodo byla schopna na problém rychle zareagovat, avšak v případě holandské CA DigiNotar došlo k faktické ztrátě důvěryhodnosti a společnost nedlouho po incidentu dobrovolně ohlásila bankrot.

Na situaci odpověděli relativně rychle i výrobci softwaru a internetových prohlížečů a napadené certifikáty v programech vyřadili či jim zrušili důvěryhodnost.

Je však potřeba říci, že certifikáty SSL a jejich infrastruktura jsou nadále důvěryhodné. K získání certifikátu však doporučujeme využít služeb velkých a opravdu profesionálních autorit, jako jsou společnosti Verisign, Thawte či Geotrust. Do konce roku k tomu můžete využít zvláště výhodných podmínek pro čtenáře softwarového Quasu.

Petr Komárek | ředitel internetové divize společnosti ZONER