Šifrování SSL certifikátem

Zabezpečení přenosu dat pomocí šifrování by proto měl být první krok k zabezpečení vašeho webu. Šifrování je možné provádět dvěma způsoby – buď s jedním sdíleným šifrovacím klíčem, nebo se dvěma klíči, z nichž je jeden veřejný a jeden tajný (soukromý). Pokud bychom šifrovali data jedním společným klíčem, musíme si klíč s druhou stranou bezpečně vyměnit. Kdokoliv by tento klíč získal, snadno přečte naši komunikaci. Tento princip je zjevně nepraktický pro šifrování dat na serveru, protože bychom museli všem návštěvníkům poslat náš šifrovací klíč předem. Výrazně lepší způsob je zveřejnit svůj veřejný klíč, kterým může návštěvník data zašifrovat. Přečíst data může pouze náš server, který má privátní klíč k dešifrování. Tento princip veřejného klíče používají SSL certifikáty. Zašifrování dat zajistí SSL certifikát, který si provozovatel serveru zajistí u certifikační autority. SSL certifikát je, jak už bylo zmíněno, veřejný klíč serveru. Pravost certifikátu je možno ověřit u vydávající certifikační autority, která při vydání certifikát podepsala. Uživatel certifikátu si může u nadřazené autority ověřit, že je podpis platný, a tudíž že veřejný klíč v certifikátu pochází od osoby, kterou certifikát uvádí ve svém detailu.

Důvěryhodnost certifikátu

Výběr správné a důvěryhodné certifikační autority je důležitý. Certifikát důvěryhodné certifikační autority nezobrazuje v prohlížeči návštěvníka žádné varování o nedůvěryhodnosti. Naopak, certifikáty nedůvěryhodných autorit a vlastní (tzv. selfsigned) certifikáty nemají na webu místo. Prohlížeč zákazníka jim nedůvěřuje, protože není možné ověřit pravost podpisu certifikační autority. Prohlížeč návštěvníka vašich stránek od návštěvy odrazuje, protože nedůvěryhodný certifikát může pocházet i od útočníka, což nelze vyloučit.

Certifikát není pouze pro šifrování dat

Certifikát může mít více úloh než jen šifrování dat. Ve většině vydaných SSL certifikátů je uveden název společnosti, která byla ověřena autoritou a které byl certifikát vystaven (výjimkou jsou certifikáty doménové, ověřené přes e-mail). SSL certifikát tedy plní i vítanou úlohu autorizace serveru. Aktivní HTTPS protokol je v prohlížeči zobrazen ikonou zámku. Po kliknutí na něj je zobrazen detail certifikátu, ve kterém je možné zjistit údaje o vlastníkovi SSL certifikátu.

Nejdůvěryhodnější SSL certifikáty s EV ověřením a zeleným pruhem (adresním řádkem) zvyšují důvěryhodnost webu a zvyšují pocit bezpečí návštěvníka. V zeleném adresním řádku je uveden ověřený název jeho vlastníka, takže i laik vidí, kdo webové stránky provozuje. Studie provedené pro certifikační autority prokázaly zvýšení počtu transakcí a obratu na webu, který je EV certifikát zabezpečen.

DNSSEC – ochraňte zdarma vaše návštěvníky

DNSSEC je vhodným doplňkem SSL certifikátu při zabezpečení webových stránek. Jedná se o způsob zabezpečení domény, kterou spravuje a zajišťuje váš registrátor. Zajišťuje platnost, důvěryhodnost a integritu DNS záznamů, které při surfování využíváte.

Bezplatná výhoda k vaší doméně

Největší výhodou DNSSECu je krom robustnosti hlavně jeho bezplatnost. Vlastník domény, který chce DNSSEC využít, nemusí nést žádné náklady. Stačí vlastnit doménu, kterou je možné DNSSECem podepsat (například CZ nebo EU). Návštěvník takové domény využije vyšší bezpečnost standardními prostředky a nemusí nic v počítači nastavovat. Každý počítač s přístupem na internet používá DNS servery, které DNSSEC využívá, a rozšiřuje tak již zavedenou technologii překladu doménových jmen.

Jak DNSSEC funguje?

Hlavní výhodou z pohledu bezpečnosti je nemožnost podvržení DNS záznamů uživateli, tedy nemožnost jeho přesměrování na podvodný web (phishing). DNS záznamy jsou registrátorem digitálně podepsány a podpisový klíč (otisk veřejného klíče sloužícího k ověření podepsaných DNSSEC záznamů) je publikován do nadřazené zóny (autority), u které si návštěvník jejich pravost a platnost ověří. Tím je zaručena jejich důvěryhodnost, podobně jako funguje důvěryhodnost u SSL certifikátů. U DNSSEC však nejsou na rozdíl od SSL certifikátů certifikační autority třetí strany. U obou technologií je shodně možné platnost digitálního podpisu ověřit u nadřazené autority (zóny). Pokud narazíte na neplatný záznam, budete DNSSECem ochráněni a váš prohlížeč na stránku nevstoupí. Vy však neznáte důvod, proč se web nezobrazil, protože přímo v prohlížeči DNSSEC podporován není.

Proč tomu tak je?

DNS klient, který je přítomen ve vašem operačním systému a posílá dotazy na DNS server poskytovatele, se nazývá stub-resolver. V systému Windows 7 je stub-resolver systému sice nevalidující (aktivně neověřuje platnost DNSSEC záznamu), ale je tzv. security aware, a zajímá se o platnost odpovědi. V dotazu na DNS server (resolver) uvádí, že očekává určení výsledku validace. V případě záporné validace DNS serveru se odpověď vrací s chybovým příznakem a ke klientovi se ani nedostane. Vy se na danou doménu nedostanete a neznáte důvod – můžete si tedy myslet, že má dotyčný web výpadek či chybu. To uživatele paradoxně nutí navštívit tuto doménu znovu a prověřit dostupnost z jiného systému, který však DNSSEC nemusí používat (využívá nevalidující resolver).

Bezpečnost surfování může návštěvník snadno zvýšit tím, že místo DNS serverů poskytovatele bude používat veřejné DNS servery, které DNSSEC využívají a hlídají platnost záznamu. Takovému serveru se říká validující resolver (ověřuje platnost odpovědi, tedy podpisu DNS záznamu) a v Česku je provozuje například CZ Nic. Váš systém pravděpodobně umí požádat o sdělení výsledku validace (security-aware stub-resolver), a tudíž i využít zabezpečení DNSSECem. Pokud necháváte starost o DNS čistě na vašem poskytovateli, zřejmě se předem zříkáte DNSSECu a bezpečnosti, kterou přináší.

Mezi diskutabilní aspekty DNSSECu patří poměrně nízký počet TLD domén, které ho podporují. DNSSEC také nezaručí, že k podvodným stránkám se uživatel nedostane jiným způsobem, jako je phishingový e-mail nebo úprava souboru HOSTS. Systémy Windows resolvují nejdříve v tomto seznamu a až potom pošlou dotaz na DNS server, což může být prostor pro útok. DNSSEC tedy nejlépe využije znalý uživatel s bezpečnostními návyky.

Další kroky k zabezpečení webu

Samotnou instalací SSL certifikátu na server a zapnutí DNSSECu zabezpečení webu nekončí. Pro zajištění kompletního zabezpečení webu doporučujeme používat pouze zabezpečený protokol HTTPS a na stránku načítat externí prvky zabezpečeně. Tento přístup se označuje jako „always-on SSL“ a v moderních prohlížečích je již standardem. Zabezpečené webové stránky s nezabezpečenými prvky jsou v nich zobrazeny nesprávně.

Kód webových stránek a soubory by měly být pravidelně kontrolovány na přítomnost malwaru, protože útočníci často umisťují na důvěryhodné stránky škodlivý kód. Jistě jste také zaznamenali trend DDoS útoků na webové servery, které se množí. Útok na váš web si dnes může zajistit kdokoliv, a je proto vhodné monitorovat připojení na váš server. Aktuální software je též důležitý pro bezpečnost vašeho serveru, protože útočníci se zaměřují na známé chyby v softwaru. S nainstalovanými záplatami snižujete riziko napadení serveru přes známé zranitelnosti.

Jindřich Zechmeister
Autor pracuje na pozici SSL specialisty ve společnosti Zoner software. Věnuje se prodeji a podpoře SSL certifikátů a obecně PKI.