agenturer.no

    Denne artikkelen er del 16 av 23 artikler om Datasikkehet

    Denne artikkelen er del 21 av 23 artikler om TCP/IP nettverk

Trygg overføring av data og transaksjoner!

Secure Sockets Layer, SSL, er en protokoll som tillater autentisering mellom en klient (maskin/mobil) og en tjener (server) for å opprette en autentisert og kryptert tilkobling. Eller som vi sier på god norsk:

«En sikker tilkobling mellom to datamaskiner, hvor det er umulig for hackere og andre uvedkommende å snappe opp informasjonen som sendes mellom disse to datamaskinene».

SSL protokollen brukes for å opprette en sikker kobling mellom en server og en klient (din datamaskin/pad/mobil). 

Ved at linjen mellom A og B blir kryptert er det ikke mulig for uvedkommende å sette opp en «lyttepost» på linjen som tar en kopi av informasjonen som sendes mellom serveren og tjeneren (din maskin/mobil. SSL brukes derfor alltid i forbindelse med korttransaksjoner, innlogging til nettbanker og annen overføring av sensitiv informasjon.


Sikkerheten avgjøres av krypteringsalgoritmen

Hvor godt denne linjen blir kryptert er avhengig av krypteringsalgoritmen som brukes. Jo høyere kryptering, jo vanskeligere er det for hackere å knekke krypteringen av dataene. Den høyeste krypteringen er idag 256-bit kryptering gjennom SHA-256 algoritmen. Av den grunn bygger alle SSL-sertifikatene OnNet selger på 256/128 bits SHA-256 kryptering.

Hvorfor SSL?

ssl

SSL tillater sensitiv informasjon som kredittkort informasjon, personnumre og passord til å bli overført på Internett på en trygg måte.

Gjennom å installere et SSL sertifikat på ditt nettsted viser du alle kunder og brukere som besøker nettstedet ditt at dette er et seriøst og trygt nettsted, hvor ikke noe informasjon kan bli stjålet av uvedkommende. Noe som blir stadig viktigere for å få kundenes tillit.

Facebook andre sosiale medier har også begynt å kreve at nettstedet har et SSL sertifikat for å kunne utveksle informasjon med det sosiale mediet via et API-grensesnitt e.l. Det samme gjelder nettsteder som ønsker å implementere en betalingløsning.


Bruksområder for SSL

SSL-sertifikat brukes hovedsakelig til å kryptere følgende typer linjer og kommunikasjon mellom en server og klient:

  • Nettsider – Alle trafikk til ett nettsted kan omdirigeres til et SSL-sertifikat som krypter all kommunikasjon mellom nettstedet og de som besøker nettstedet via HTML-protokollen. Noe som er svært viktig for å sørge for at kortinformasjon, brukernavn, passord og andre sensitive opplysninger ikke kommer på avveie.
  • Epost – Ved å kryptere kommunikasjonen over POP3, IMAP og SMTP protokollen til et SSL-sertifikat kan man sikre seg mot at andre klarer å snappe opp sensitiv informasjon som sendes på mail.
     
  • FTP – Ved å kryptere kommunikasjonen over FTP-protokollen kan man sikre seg mot at ingen klarer å snappe opp filer som lastes opp eller ned mellom en server og bruker.

SSL-sertifikatet viser nettbrukeren hvilket selskap som eier domenet. Før dette kan skje må eierskapet være validert og bekreftet av en betrodd tredjepart (sertifiseringsautoritet CA), for å være gyldig.

Om et SSL-sertifikat er gyldig kan surferne på Internett enkelt se i sin nettleser. Er SSL-sertifikatet gyldig vil du se en hengelås i adressefeltet til nettleseren. I tillegg kan du se at nettsiden benytter SSL ved å se på URLen. Den begynner med med https:// i adressefeltet i stedet for http://.

Kryptering over TCP/IP – nivået

SSL kjører over TCP/IP-nivået, men under HTTP, LDAP, IMAP, NNTP, og andre nettverksprotokoller som kjører på et høyere nivå.

ssl-handshake

Den nyere Internet Engineering Task Force (IETF)-standarden Transport Layer Security (TLS) er også basert på SSL.

Hvordan «handshaket» er mellom klienten (deg) og serveren skjer for å etablere en trygg, kryptert linje ved hjelp av et SSL-sertifikat er vist i illustrasjonen til høyre.

Krypteringen skjer ved at tjenermaskinen (serveren/nettstedet) har en krypteringsnøkkel med to passord. Det ene kan bare brukes til å kryptere innholdet og kan derfor gis ut til alle (offentlig nøkkel). Den andre kan brukes til å dekryptere innholdet og må selvsagt bare være kjent for eieren (privat nøkkel).

Når SSL brukes f.eks for å lese e-post så sender tjenermaskinen det offentlige passordet til brukermaskinen uten at brukeren av brukermaskinen trenger å vite om dette. Dette passordet (krypteringsnøkkelen) bruker så brukermaskinen til å lage meldingen uleselig (kryptert) for tredjeparter som ikke kjenner dekrypterings passordet (nøkkelen). Deretter sendes meldingen over nettet til tjenermaskinen. Tjenermaskinen mottar meldingen og dekrypterer den ved hjelp av sitt hemmelige passord (krypteringsnøkkel), og leverer meldingen videre inn i sitt lokale system. Dermed vil ingen mellom bruker og tjener kunne avlytte kommunikasjonen.

I denne sammenheng er det viktig å merke seg at det er kommunikasjonskanalen (linjen) som er kryptert, og ikke selve budskapet (dataene). Ønsker du maksimal sikkerhet mot uautorisert adgang bør også dataene som sendes og lagres krypteres.


Hva er TCL (Transport Layer Security)?

TLS står for Transport Layer Security, og er en nyere versjon av SSL, med mindre justeringer. Brukes bl.a. til å kryptere linjer som brukes til å sende/motta epost og filer.

Krypterte porter

For å sikre en sikker kryptert tilkobling mellom serveren og brukeren skjer selve krypteringen ved at brukerne blir sendt til helt andre porter enn de åpne standardene bruker. Den åpne HTML standarden for nettsider bruker f.eks. port 80, mens HTMLS standarden bruker port 443. Under finner du oversikt over hvilke porter som normalt brukes.

HTML protokollen:

Åpen – Port: 80
SSL – Port: 443

FTP protokollen:

Åpen – Port: 20
SSL – Port: 21

POP3 protokollen:

Åpen – Port: 110
SSL – Port: 995

SMTP protokollen:

Åpen – Port: 25
SSL – Port: 465

IMAP protokollen:

Åpen – Port: 143
SSL – Port: 993



Nettlesergjenkjennelse

Dersom et SSL sertifikat ikke gjenkjennes av brukerens nettleser, vil brukeren få et varsel om at nettsiden ikke er trygg. Dette er selvsagt til stor ulempe for eieren av nettsiden som kan miste verdifulle brukere. Hvor stor andel av nettleserne som har forhåndsinstallert roten til de ulike SSL sertifikatene varierer en god del. Et godt sertifikat har minst 99 % nettlesergjenkjennelse.

Transaksjonsforsikring

SSL sertifikater ivaretar i hovedsak to funksjoner; sikker kryptering av informasjon og identifisering av eier av websiden. Transaksjonsforsikringen er ment å være nettbrukerens økonomiske garanti for at krypteringen ikke blir brutt under sesjonen og at informasjonen i sertifikatet er korrekt. Ved valg av forsikringsbeløp i sertifikatet må man ta stilling til hvilke økonomiske konsekvenser det vil ha dersom utvekslet informasjon kommer til feil mottaker eller blir tappet. Transaksjonsforsikring vil være med på å dekke økonomiske krav fra brukere som har blitt påført tap som et resultat av å ha blitt tappet for informasjon under en kryptert sesjon på din nettside.

Utstedes av et sertifiseringorgan

comodo-logoSSL sertifikater blir verifisert gjennom en tillitskjede. Tillitsankeret for SSL sertifikatet er rotleverandøren (Root Certificate Authority eller CA). Dersom rotleverandøren er kjent for brukeren er det større sannsynlighet for at vedkommende tar i bruk de tjenestene som websiden tilbyr, enn om det er en ukjent rotleverandør. Årsaken er at brukeren vil anse det som mindre sannsynlig at dette er et svindelforsøk fordi vedkommende stoler på rotleverandøren. Velg derfor sertifikater med mest mulig kjent og tiltrodd rotleverandør. Et godt eksempel på en velkjent rotleverandør er Verisign.

Hvordan ser jeg at en nettside bruker SSL?

ssl-cert

Normalt skjer all kommunikasjon mellom en webserver og en besøkende av din nettside på den åpne HTML-standarden. Dvs. via en adresse som starter med http://.

Skjer kommunikasjonen på en sikker linje starter nettadressen med https://.

I tillegg vil du normalt få et symbol i nettleseren din som forteller at dette er et SSL-beskyttet område. De dyreste SSL-sertifikatene gir i tillegg en «grønn sidebar» med firmanavnet og ett stort grønt felt som en del av nettadressen for å vise at nettstedet benytter et SSL-sertifikat.

Anbefaling

Vi anbefaler at du alltid bruker SSL protokollen på nettsider som inneholder sensitiv informasjon eller informasjon som du er redd for at andre kan snappe opp via en lyttepost på linjen din. Klassiske eksempler er innloggingssider til brukerne dine.

Fant du ikke svaret? Spør redaksjonen!

Fant du ikke svaret?

Fyll ut skjemaet under hvis du har et spørsmål knyttet til denne artikkelen.

Ditt spørsmål:

Ditt navn:

E-post:

Rapporter en feil, mangel eller savn

Rapporter en feil, mangel eller et savn

Benytt skjemaet under hvis du finner en feil eller mangel i en av våre artikler. Uten tilbakemeldinger fra våre lesere er det umulig for oss å forbedre våre artikler.

Jeg ønsker å rapportere inn en:

En feilEn mangelEt savn

Angi en feil, mangel eller savn:

Ditt navn:

E-post:

Du kan også laste ned denne artikkelen og resten av artikkelserien som en e-bok Artikkelserien fortsetter under.

Topp20 artikler
Siste 20 artikler
Nye artikkelserier
Du leser nå artikkelserien: Datasikkehet

  Gå til neste / forrige artikkel i artikkelserien: << Sikring av mobiltelefon og nettbrettSurfe-regler på Internett >>
    Andre artikler i serien er: 
  • Datasikkerhet
  • Datavirus
  • Malware
  • Orm
  • Trojaner (trojansk hest)
  • DDoS angrep
  • Bakdør
  • botnet, også kalt Zombies
  • Brute Force
  • De vanligste sikkerhetshullene
  • Passordregler
  • Brannmur
  • Sikring av trådløse nettverk (WI-FI)
  • Sikring av datamaskiner
  • Sikring av mobiltelefon og nettbrett
  • SSL | Secure Sockets Layer
  • Surfe-regler på Internett
  • E-postregler for sikker epost
  • Slik beskytter du deg mot spam
  • Sikkerhetskopiering
  • Hva må du huske på når du kaster din PC, Mac, kamera eller mobil?
  • Hvem står juridisk ansvarlig for sikringen og innholdet i nettskyen?
  • Mobil overvåkning av ansatte, utstyr og varer
  • Du leser nå artikkelserien: TCP/IP nettverk

      Gå til neste / forrige artikkel i artikkelserien: << BrannmurTingenes Internett («Internet of Things») >>
        Andre artikler i serien er: 
  • Datanettverk (nettverk)
  • Arbeidsstasjon (Klient, også kalt personlig datamaskin)
  • Nettverksserver (Server, også kalt tjener)
  • Nettsky
  • VPS (Virtual Private Server)
  • VPS: OpenVZ eller Xen virtualisering?
  • Hvordan fungerer Internett?
  • TCP/IP
  • Rutere og rutingtabell
  • DHCP
  • ISP (Internet Service Provider)
  • Proxy-server
  • VPN (virtuelt privat nettverk)
  • Domene
  • DNS (navnetjenere)
  • Sonefil
  • Webserver
  • File Transfer Protocol (FTP)
  • E-post
  • Brannmur
  • SSL | Secure Sockets Layer
  • Tingenes Internett («Internet of Things»)
  • 5G nettverk – vil løse dagens nettverksproblemer