FairSSL - Vi gør SSL NEMT

Bli geeksmart på SSL/TLS på 5 minuter

30 April 2018
image of ai engineers working (for a ai healthcare company)

Några snabba svar om vad SSL/TLS-certifikat är

Varför använda SSL-certifikat?

SSL/TLS-certifikat lägger till två viktiga funktioner för onlinekommunikation:

1. Avsändarens identitet

Om certifikatet innehåller namnet du kommunicerar med och din enhet litar på utfärdaren kan du vara säker på att du pratar med rätt server.
Data signeras också med certifikatet så att det inte kan manipuleras längs vägen.

2. Datasekretess

Två parter som aldrig har träffats tidigare kan skapa en säker kanal över en osäker anslutning (som internet) utan att någon kan avlyssna den säkra kommunikationen.

Det är tekniskt möjligt att kryptera utan TLS-certifikat, men endast certifikatet säkerställer att du pratar med rätt server.

Varför fungerar inte internet utan SSL/TLS?

Utan SSL/TLS skulle det enda alternativet vara symmetrisk krypteringdär båda parter måste ha utbytt en hemlig kod i förväg — fysiskt eller via en säker kanal.

Detta skulle innebära att du måste visas fysiskt på:

  • Banken
  • Webshop
  • Din arbetsplats
    ... att komma överens om en kod innan du kunde kommunicera säkert.

Utan SSL/TLS:

  • Skulle någon kunna avlyssna din kommunikation
  • Skulle alla kunna utge sig för att vara andra (man-in-the-middle)
  • Skulle du inte kunna skapa konton, handla online eller använda tjänster som Facebook, Amazon, eBay, etc.

Vad innehåller ett SSL/TLS-certifikat?

Ett certifikat består alltid av:

  • EN privat nyckel (hemligt, endast för ägaren)
  • EN offentlig nyckel (tillgänglig för alla)

Dessutom kan den innehålla:

  • Vem certifikatet tillhör (t.ex. FairSSL ApS)
  • Vem kan använda den (t.ex. www.fairssl.dk)
  • Vem som har utfärdat det (t.ex. GlobalSign med SHA256-signatur)
  • Var får man utfärdarens certifikat (URL eller filsökväg)
  • Var ska man kontrollera om certifikatet har återkallats (CRL/OCSP)
  • Vad certifikatet kan användas till (e-post, signering, server, klient, CA)
  • Giltighetstid (från och till)

Varför har SSL-certifikat ett utgångsdatum?

  • Minskar tiden en hackare måste bryta nyckeln
  • Tvingar ersättning av certifikat med potentiella fel
  • Begränsar missbruk av stulna certifikat (teoretiskt — missbruk kan ske snabbt)

Skillnad mellan betrodd certifikatutfärdare, intern certifikatutfärdare och egenutfärdat certifikat

Pålitlig offentlig CA

  • Utfärdad av en CA som Comodo, GlobalSign, DigiCert
  • Signerat av ett rotcertifikat förinstallerat i webbläsare och system
  • Måste uppfylla stränga krav från CAB Forum

Intern CA

  • Utfärdad av företagets egen CA
  • Kräver installation av rotcertifikatet på alla klienter

Självsignerad

  • Lita inte på certifikatet om det inte installeras manuellt på varje klient

Förhållandet mellan HTTP, HTTPS och certifikat

  • HTTP: Protokoll för kommunikation mellan webbläsare och webbserver
  • HTTPS: HTTP med SSL/TLS lager ovanpå

Webbläsaren säkerställer:

  • Att certifikatet är undertecknat av en giltig kedja
  • Att det inte har löpt ut eller återkallats
  • Att domännamnet matchar certifikatet (SAN)
  • Att en hemlig nyckel kan bytas ut säkert

Hur använder man certifikatet för kryptering?

SSL/TLS-användare asymmetrisk kryptering för att byta ut en hemlig nyckel:

  1. Webbläsaren använder serverns offentliga nyckel för att kryptera en hemlighet
  2. Servern dekrypterar med sin privata nyckel
  3. Nu har båda parter samma hemlighet
  4. De byter till symmetrisk kryptering för resten av sessionen

Certifikatet används endast för att upprätta anslutningen — inte för själva datakrypteringen (förutom till exempel e-post).

Varför kallas det fortfarande SSL när det är TLS som används?

Även om det idag är TLS (en vidareutveckling av SSL 3.0) används, beteckningen används SSL fortfarande ofta eftersom det var den första allmänt använda standarden för online-kryptering.

Del på sociale medier