SSL (Secure Socket Layer) využívá symetrickou kryptografii pro autentizaci a asymetrickou šifru pro ustavení spojení. Asymetrická šifra používá takzvané jednocestné funkce, u kterých lze snadno spočítat ze vstupu výstup, ale z výstupu získat vstup je velmi obtížné.
Vynásobením několika velkých čísel tak může vzniknout efektivní šifra. Čísla použitá pro šifru se nazývají klíče, i když analogie se skutečným mechanickým klíčem je problematická, daleko lepší je přirovnat veřejný klíč, který slouží k zašifrování zprávy, k visacímu zámku a soukromý klíč, který zprávu rozluští, je pak klíčem příslušícím k tomuto zámku. Komunikace protokolu pak probíhá, jakoby jeden uživatel poslal druhému poštou zámek, od kterého má klíč pouze on sám, poté druhý uživatel jeho zprávu uzamknul a poslal ji zpět.
Zdá se, že tento způsob je velmi bezpečný, a s přenosem citlivých informací není problém. Získat SSL certifikát je ale opravdu snadné a tak ho může mít kdokoli - třeba někdo, kdo útočí formou phishingu. Phishingové stránky se vydávají za firmu, u které má zákazník účet, a pod nějakou záminkou si vyžádají jeho přihlašovací údaje. Když je společnost zasažena takovou formou útoku, mívá velké ztráty, protože zákazníci v ní ztratí důvěru a šance spolupráce s nimi klesne o 42 %. V roce 2011 existovalo nejméně 83000 phishingových stránek a terčem těchto útoků bylo 520 domén (bankovní domény a sociální sítě). Rozhodně tedy nejde o okrajový problém.
Právě proti pishingu byl vytvořen EV SSL (Extended Validation SSL), který zajišťuje certifikaci důvěryhodnosti firmy, která stránky provozuje. Ve všech běžných prohlížečích je tento systém podporován a je provázen zelenou barvou a zobrazením identifikace firmy střídané se jménem certifikační autority.
Tato služba je podstatně dražší než použití klasického SSL, firma tedy musí být dostatečně velká a výdělečná, aby si mohla certifikaci dovolit, což zajišťuje, že nejde o malou skupinu podvodníků, a dává to firmě konkurenční výhodu, protože tím dokazují, jak důležitá je pro ně bezpečnost. Jde vlastně o dlouhý řetěz důvěry mezi zákazníky, společnostmi a certifikačními autoritami.
Na druhou stranu ale ještě před dvěma lety používalo tuto metodu pouze 20 % firem ze sta největších firem světa. Argumentem pro nepoužívání této metody bylo, že firmám známého jména lidé věří i bez certifikace a navíc uživatelé nejsou zvyklí na zelené označení řádku prohlížeče a jeho význam neznají. Další potíž je v tom, že vyšší cena může znevýhodňovat menší a střední firmy (SMEs), které v roce 2012 zaměstnávají v Evropě 67 % lidí.
Momentálně se právě z tohoto důvodu prosazuje snaha stáhnout cenu EV SSL co nejníže. Jak bylo prohlášeno na veletrhu HostingCon 2012, zároveň s tím přichází také nabídka EV SSL pro velkoobchody. Nejnovější studie z tohoto roku pak ukazují, že vzrůstá oblíbenost těchto certifikátů. Zdá se tedy, že koncept funguje a zákazníci tomuto certifikátu důvěřují. Ale dočkáme se někdy zcela důvěryhodného internetového přenosu dat? Těžko.
Prameny:
https://ec.europa.eu/enterprise/policies/sme/facts-figures-analysis/performancereview/files/supporting-documents/2012/annual-report_en.pdf
https://markets.cbsnews.com/cbsnews/news/read/21803766/digicert_highlights_benefits_of_ev_ssl_for_resellers_at_hostingcon_2012
https://www.lexiconn.com/blog/2010/01/extended-validation-ev-ssl-certificates-should-yourwebsite-have-one/
https://www.opensrs.com/blog/2012/09/big-ssl-news-new-super-low-ev-pricing-and-ucsancerts/
https://www.allspammedup.com/2012/09/phishing-a-look-inside-the-statistics/
https://www.sslmarket.cz/ssl/ev-certifikaty/