SSL

Webovou bezpečnost čeká menší revoluce. Šifrovací algoritmus RSA v 1024bitové podobě a hašovací funkce SHA-1 přestávají být bezpečné. Po letech tak budou odstaveny a nahrazeny bezpečnějšími nástupci. Jak změna proběhne? Kolika stránek a uživatelů se to dotkne? A proč by nás to vůbec mělo zajímat?

Uplynulý rok byl bohatý na bezpečnostní incidenty týkající se certifikačních autorit. Kompromitace, slabé klíče, nerevokovatelné certifikáty. Situace vedla k návrhu nových nástrojů a protokolů na pozitivní straně a k ohrožení mnoha lidí na negativní straně. Praktický význam slova „důvěryhodný“ se posunul jinam.

Článok popisuje vybrané možnosti a konfiguráciu modulu mod_ssl, ktorý rozširuje webový server Apache HTTPD o podporu protokolu SSL. Zaoberá sa nielen autentizáciou servera, ale aj klientov pomocou klientských certifikátov. Podrobne si rozoberieme celú tvorbu a použitie certifikátov a všetko si ukážeme na príkladoch.

Spojenia cez SSL sa často berú ako bezpečné a mnohé návody dávajú rady typu 'dávajte svoje citlivé údaje len tam, kde vidíte https spojenie'. Tipujem, že väčšina ľudí (a špeciálne ne-IT profesionáli) netuší, aké jednoduché môže byť odpočúvanie/modifikácia SSL spojenia, ak si poriadne nedajú pozor na certifikáty. Hocikto na routeri/gateway použitím utility stunnel a iptables to dokáže.