5 gjëra që duhet të dini rreth SSL

Google, Facebook dhe Microsoft janë në mesin e shumë kompanive që janë munduar të përhapin sa më gjerë përdorimin e kriptimit SSL/TLS (Secure Sockets Layer/Transport Layer Security), edhe pse mund të jetë i ndërlikuar dhe i shtrenjtë për t’u implementuar. Më poshtë, kemi listuar gjërat themelore që duhet të dini rreth SSL/TLS.

Çfarë është SSL/TLS?

Eshtë një protokoll i zhvilluar pjesërisht nga Netscape në vitin 1990, për të siguruar vërtetësinë e uesbsajteve si dhe të lejojë që të gjitha të dhënat që kalojnë nëpërmjet një ueb serveri dhe një shfletuesi të ngelen private. Ky protokoll krijon një lidhje të kriptuar duke përdorur dy çelsa kriptografik, një “Private Key” dhe një “Publik Key” dhe tregohet në mënyrë tipike nga “https” dhe një dry i cili shfaqet në shiritin e URL-së së një shfletuesi.

Pse është i rëndësishëm?

Të dhënat e shkëmbyera duke përdorur vetëm http:// mund të kapen nga hakerat. Të dhënat mund të mblidhen ose të ndryshohen, duke krijuar rreziqe sa i përket privatësisë dhe sigurisë për përdoruesit. Gati të gjitha bankat dhe uesbsajtet e-commerce përdorin SSL/TLS këto ditë, por shumë faqe interneti të vogla siç është dhe gjbiteam.com ende nuk e kanë të implementuar.

A është i vështirë implementimi i tij?

SSL/TLS njihet si nazeli dhe i vështirë për t’u implementuar, sidomos tek uesbsajtet shumë të mëdha. Organizatat e njohura si Autoritetet e Certifikimit (CAs) shesin lloje të ndryshme të certifikatave dixhitale të përdorura për të vërtetuar faqet e internetit. Në varësi të llojit të certifikatës, AC do të verifikojë se subjekti kërkues është i legjitimueshëm për t’u mbrojtur kundër faqeve mashtruese. Por certifikatat mund të jenë të shtrenjta, dhe kritikët thonë se kostoja dhe kompleksiteti janë jotërheqës. Certifikatat gjithashtu skadojnë, dhe është e rëndësishme që Administratorët e IT-së të dinë se kur duhet të rinovohet.

A ka ndonjë dobësi?

Me pak fjalë, shumë. Ekspertët kibernetike kanë hartuar sulme të shumta gjatë viteve duke komprometuar kështu lidhjen SSL/TLS. Gjithashtu, dobësi në softuer të tilla si Heartbleed janë gjetur në OpenSSL, i cili është një aplikim përdorur gjerë. AC kanë qenë herë pas here i hakuar, ku sulmuesit krijonin certifikata për faqet e internetit të cilët i përdornin për phishing. Në vitin 2011, kriptografi Moxie Marlinspike përshkruan dobësitë e shumta në sistemin CAs dhe kompleksitetin e gjetjes së një zëvendësuesi.

Çfarë po bëhet në lidhje me problemet?

Problemet dhe arrnimet në SSL / TLS rregullohen gjithmonë kur sulme të reja zbulohen, por fatkeqsisht nuk ka një zëvendësues për të gjithë sistemin në këtë pikë. Për ta ndryshuar atë do të duhet një marrëveshje me të gjithë industrinë, dhe kjo është e pamundur tani shpejt. Tani për tani, për të mbrojtur çelsat privat SSL/TLS është ndoshta detyra më e rëndësishme, dhe module të ndryshme sigurie në treg mund të menaxhojnë këto çelësa dixhital në mënyrë të sigurtë.