SSL

Nga Wikipedia, enciklopedia e lirë
Shko te: navigacion, kërko

SSL teknologjia përdoret për të enkriptuar komunikimin në HTTP protokol. Zakonisht përdoret për të enkriptuar të dhënat që barten ndërmjet një klineti dhe një web sajti. Që një server të përkrah një SSL lidhje duhet të ketë të instaluar nje çertifikatë X.509. Çertifikata ështe një dokumet digjital që përdoret për të vërtetuar identitetin. Çertifikata lëshohet nga një palë e tretë e besueshme. SSL përdoret kur përdoren Web-shërbimet, Web shërbimet zotojnë IIS(Internet Information Server) të cilët mbështesin enkriptimin SSL. Për përdorimin e IIS me SSL së pari duhet të gjenerohet një çertifikatë dhe të instalohet. Pastaj mund të kofigurohen një ose më shumë lidhje në IIS, të kërkohet një komunikim më i sigurtë. Klientët që konektohen në një web-faqe, web-shërbim që i përdorin këto lidhje duhet që të përdorin URL-t që fillojnë me HTTPS në vend të HTTP. Një klient mund t’i besoj ose jo një web-sajti para se të dërgoj të dhëna të ndishme(personale/të rëndësishme) në të . Çertifikatat janë të dizajnuara për këtë qëllim, vërtetimin e një realcioni të besueshëm me ndihmën e palës së tretë. Në koncept çertifikata digjitale është analoge me dokumentin identifikues, të cilin e lëshon departamenti i shtetit, i cili department garanton për identitetin tuaj. Ngjashëm një çertifikatë vërteton se Autoriteti Çertifikues (CA) garanton/mban përgjegjësi për identitein tuaj. Për krahasim mund të marrim, kur një kompani vendos të pranoj një aplikacion tuaj të bazuar në një dokument tuaj valid, në rastin tonë klienti mund të vendos të dërgoj të dhëna të ndjeshme/personale në një web bazuar në një çertifikatë e cila është e nënshkr uar nga një palë e tretë e besueshme. Për të përdorur SSL, një organizatë duhet të blej një çertifikate nga një Autoritet Çertifikues i njohur, dhe t’a instalojë atë në serverin e vet. Gjersa klienti i beson Autoritetit Çertifikues, ai i beson edhe informative të cilat gjenden në çertifikatë, të validuara nga ai autoritet. Nëse një palë e tretë e padëshiruar e insatlon çertifikatën me një identitet të falsifikuar , edhe nëse e bënë këtë CA përmban informacione për secilin përdorues të regjistruar, dhe e anulon çertifikatën në këtë rast. Autoriteti çertifikues (CA) ruan identitetin tuaj.Sikurse një kompani që pranon një aplikacion tonin duke u bazur në ID-kartën tonë si vërtetim, këtu klineti mund të dërgojë të dhëna në web-server duke u bazuar në një çertifikatë të nënshkruar nga një palë e tretë.

Komunikimi me SSL2.png

Çertifikata përmban informacion të sigurtë identifikuese. Është e nënshkruar me çelësin privat të autoritetit çertifikues me të cilën garanton që është ë mirëfillt(vërtetë), pra nuk është modifikuar.

Tipi i çertifikatave i njohur si X.509v3 përmban informata bazike si:
  1. - Emrin e posudeusit, organizatën dhe adresën
  2. - Çelësin publik të poseduesit
  3. - Datën valide të çertifikates
  4. - Numrin serik të çertifikatës

Një çertifikatë mundet edhe të përmbajë informacione të veqanta për bisnese siç jan:çertifikata e poseduesit të industrisë, sa gjatë ka qenë ajo industri në veprim, e të tjera. Çertifikatat përmbajnë një çelës publik, kjo na bënë të ditur që duhet përdour kriptimin asimetrik.Çdo informacion që klinenti kripton me çelësin publik mund të dekriptohet vetëm nga serveri. Klienti krijon një realcion me serverin dhe në mënyrë të sigurtë ndërron çelësin për enkriptim, i cili çelës përdoret për të gjithë të dhënat të cilat do të shkëmbehen mes serverit dhe klientit. Pse egziston SSL? -Enkriptimi, fsheh të dhënat që dërgohen nga një kompjter një tjetrin -Identifikimi, bënë të mundur që kompjuteri me të cilin po kumunikoni është ai që ju i besoni. Enkriptimi-nëse dëshironi të dërgoni të dhëna për kartën tuaj të kreditit nëpër rrjet dërgimi i të dhënave pa SSL është rrezik sepse kur të dhënat dërgohen nga kompjuteri juaj në server mund të jetë një pale e tretë, e cila mund të marrë të dhënat tuaja. Përdorimi i SSL në këtë rast vendos një barrier mbrojtëse, dhe të dhënat nuk mund të merren nga nje palë e tretë, e gjitha që mund te mirret nga pala e tretë është e pakuptueshme.

Enkripitimi bazohet në këta hapa:

  1. Kompjutëret zgjedhin llojin e enkriptimit
  2. Serveri dërgon të çertifikaten
  3. Klienti fillon enkriptimin
  4. Serveri fillon enkriptimin
  5. Të gjithë mesazhet tani janë të enkriptuar

Indetifikimi[redakto | redakto tekstin burimor]

Një kompani kërkon nga autoritetet çertifikuese një çertifikate. Kompania në këtë rast duhet të jap informata për: Web-serverin, çfarë kompanie është, ku është e lokalizuar. Autoritetet çertifikuese kontrollojnë mbi korrektësinë e të dhënave, pasjta autoritetet çertifikuese krijojnë çertifikatën dhe e nënshkruajnë atë.

Skeda:Komunikimi me SSL.gif
komunikimi me ssl

Hapat që ndjek klinenti për vërtetim e serverit. Gjatë SSL *handshake*, serveri i dërgon klientit një çertifikatë për të vërtetuar vetveten. Klienti e përdor këtë për të vërtetuar identitetin që paraqet kjo çertifikatë.

Nje klient i aktivizuar SSL kalon nëpër këto hapa për të vërtetuar identitetin e serverit :

1.A është data e sotme brenda periodës valide? Klienti e kontrollon datën e validitetit të çertificatës së serverit. Nëse data dhe koha aktuale janë jashtë kësaj periode, procesi i vërtetimit nuk shkon më tej. Kurse, nëse data është brenda kohës valide të çertifikatës, klienti kalon në hapin e dytë.

2.A është Autoriteti çertifikues (CA), një CA që i besohet? Çdo klient aktiv i SSL mban një listë të çertifikatave CA. Kjo listë përcakton se cilat çertifikata të serverit do t’i pranoj klienti. Nëse “DN” e lëshuar nga Autoriteti Çertifikues, përkon me “DN” të Autoritetit çertifikues që gjendet në listën e klientit të Autoriteteve Çertifikuese të besueshme, përgjigjja është “po” dhe klienti shkon në hapin 3. Nëse lëshimi i CA-se nuk është në listë, serveri nuk vërtetohet derisa klienti mund të verifikojë një zingjir çertifikate duke përfunduar në një CA që është në listë.

3.A e vërteton lëshimi i çelësit publik të CA-ve, nënshkrimin digjital të emetuesit? Klienti e përdor çelësin publik nga çertifikatat e CA-ve(që gjendet në listën e CA-ve të besuara në hapin e dytë) për të vërtetuar nënshkrimin digjital të CA në serverin e çertifikatës që është duke u prezentuar. Nëse informata në serverin e çertifikatës ka ndryshuar nga koha që është nënshkruar nga CA, ose nëse çelësi i çertifikatës publike CA nuk korrespondon me çelësin privat që është përdorur nga CA për të nënshkruar çertifikatën e serverit, klienti nuk e vërteton identitetin e serverit. Nëse nënshkrimi digjital i CA-se mund te jetë i vlefshëm, klienti e trajton çertifikatën e serverit si një "letër rekomandimi" valide nga ajo CA dhe vazhon zhvillimin. Në këtë pikë, klienti është i determinuar që çertifikata e serverit është valide, është përgjëgjësia e klientit të kalojë në hapin e katërt pa kaluar në hapin e pestë.

4.A përputhet emri i domenës në çertifikatën e serverit me emrin e domenës së vete serverit? Ky hap konfirmon që serveri është në të vërtetë i lokalizuar në të njejtën adresë të rrjetit që është specifikuar nga emri i domenës në çertifikatën e serverit. Edhe pse hapi i katërt teknikisht nuk është pjesë e protokolit SSL, ky hap përmban mbrojtjen e vetme kundër një sulmi të sigurisë të njohur i "Njeriu-në-mes-të sulmit". Klientët duhet të performojnë këtë hap dhe duhet të refuzojnë vërtetimin e serverit ose të krijojnë një lidhje nëse emrat e domeneve nuk përkojnë. Nëse emri i domenës së serverit aktual përkon me emrin e domenës në çertifikatën e serverit, klienti kalon në hapin e pestë.

5.Serveri është i vërtetuar. Klienti vazhdon procesin me SSL *handshake*. Nëse klienti nuk kalon në hapin e pestë për ndonjë arsye, serveri që është i identifikuar nga çertifikata nuk mund te vërtetohet, dhe përdoruesi është i paralajmëruar për problemin dhe i informuar qe vërtetimi i lidhjes nuk mund të krijohet.

Në detaje procesi i SSL zhvillohet kështu:

  1. Klienti dërgon kërkesën për t’u lidhur me serverin.
  2. Serveri nënshkruan çertifikatën dhe e dërgon tek klineti. Ky nënshkrim( i realizur me çelësin privat të serverit) siguron që mesazhi nuk mund të ndryshohet.
  3. Klienti kontrollon nëse çertifikata është lëshuar nga nje autoritet çertifikues që ai i beson. Nesë po, vazhdon në hapin tjetër. Në skenarin e një web-browseri klienti duhet të informohet me një mesazh nëse ai e njeh autoritetin çertifikues, edhe e lejon web-shfletuesin të vazhdoj ose jo. Këtu klienti përdor çelësin publik te autroitetit çertifikues për t’a verifikuar nënshkrimin e çertifikatës.
  4. Klienti i krahason të dhënat në çertifikatë me të dhënat që pranohen nga sajti(duke përfshirë emrin e domenit dhe çelësin publik). Klienti gjithashtu verifikon, që çetifikata ne anën e serverit është valide dhe nuk është anuluar dhe është lëshuar nga një autroitet çertifikues i besueshëm. Pastaj klienti pranon ose refuzon lidhjen.
  5. Klineti i tregon serverit çfarë tipi të çelësit të enkriptimit përkrah për komunikim.
  6. Serveri zgjedh gjatesine e çelesit që mund të përdoret nga klienti dhe serveri edhe per këtë e informon klinetin.
  7. Klineti gjeneron një çelës të rastit për kriptim simetrik te gjatesise se sugjeruar nga serveri, ky çelës quhet çelës i sesionit, ky çelës do të përdoret gjatë gjithë transaksionit në mes të serverit dhe klientit. Siguron performace me të lartë, sepse enkriptimi simetrik është më i shpejt se enkriptimi asimetrik.
  8. Klienti enkripton çelsin e sesionit duke përdorur çelësin publik të serverit(nga çertifikata) dhe tani dërgon çelësin e enkriptuar te sesionit ne server
  9. Serveri pranon çelësin e sesionit te enkriptuar dhe e dekrpiton atë duke perodur çelësin privat te tij. Tani edhe server edhe klienti kanë shkëmbyer sekretin e tyre dhe mund të përdorin enkriptimin gjatë gjithe komunikimit.

.

Refernca[redakto | redakto tekstin burimor]

  • C# Data Security, Handbook :: Autorë:MacDonald, Matthew & Johansen, Eric B.

[1]

  1. ^ Microsoft Support