Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX
18.04.2019

Technologie wideo

Avaya IX Collaboration Unit
18.04.2019

Krótki rzut

Optoma W318STe i X318STe
18.04.2019

Do mobilnej pracy

Jabra Evolve 65e

Zabezpieczanie transmisji z użyciem certyfikatów SSL

Data publikacji: 26-09-2018 Autor: Adam Wróblewski
Przykład, w jaki sposób...

W artykule 32 rodo znajduje się zapis nakazujący każdej organizacji, która przetwarza, czyli również posiada dane osobowe, wdrożyć środki techniczne, aby zapewnić stopień bezpieczeństwa odpowiadający zidentyfikowanemu ryzyku naruszenia ochrony danych osobowych, w szczególności poprzez zastosowanie szyfrowania. Jak w takim razie zadbać o bezpieczeństwo informacji przesyłanych za pośrednictwem stron WWW?

 

25 maja bieżącego roku weszły w życie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rodo). W poprzednim artykule z cyklu „Rodo w praktyce” przyglądaliśmy się możliwościom bezpłatnego programu VeraCrypt w wydaniu przeznaczonym dla systemów Linux. VeraCrypt może jednak zapewniać bezpieczeństwo jedynie tych danych, które znajdują się na trwałych nośnikach informacji, takich jak dyski twarde, pamięci flash czy karty pamięci. Tymczasem jednym z popularnych miejsc, przez które mogą przepływać dane, są różnego rodzaju formularze udostępniane na stronach internetowych, np. formularz kontaktowy albo panel logowania do webowego klienta poczty e-mail. Oprócz tego od pewnego czasu przeglądarki internetowe, takie jak Google Chrome, wyświetlają w pasku adresu komunikat „niezabezpieczona”, podczas odwiedzania stron internetowych, które nie korzystają z szyfrowania transmisji. W artykule omawiamy, czy, w jaki sposób oraz jakie ponosząc koszty, można zapewnić bezpieczeństwo informacji przesyłanych za pośrednictwem stron WWW, tak aby zapewnić zgodność z rodo.


> DO CZEGO SŁUŻĄ CERTYFIKATY SSL


Ogólnym celem stosowania certyfikatów SSL jest zapewnienie bezpieczeństwa przesyłanych informacji. Chodzi o to, że wówczas transmisja odbywająca się np. między użytkownikiem końcowym a serwerem WWW, jest szyfrowana. Dzięki temu, gdy zakładamy konto na jakiejś stronie internetowej i logujemy się do niej, inni użytkownicy sieci nie mają możliwości podsłuchać (podejrzeć) naszych danych logowania. W takiej sytuacji, nawet jeżeli komuś uda się przechwycić transmisję pomiędzy klientem i serwerem, zdobędzie on dostęp do nic nie znaczącego ciągu danych. Poza tym certyfikaty SSL wspomagają budowanie wiarygodności – każdy użytkownik odwiedzający zabezpieczoną stronę internetową widzi na pasku adresu zieloną kłódkę, a czasami dodatkowo w pasku adresu   na zielonym tle, nazwę organizacji, która poświadcza pochodzenie strony.


Warto przetestować bezpieczeństwo witryny internetowej, którą będziemy zabezpieczać – przed i po zainstalowaniu certyfikatu SSL – to bardzo proste. Wystarczy w tym celu uruchomić sniffer sieciowy, np. Wireshark, Microsoft Network Monitor, tcpdump, następnie skorzystać np. z formularza logowania na danej stronie WWW, i później odfiltrować wyniki do metody POST protokołu HTTP i poszukać ciągu znaków typu „pwd”. Jeżeli wśród danych dostrzeżemy użyty login i hasło w postaci czystego, zrozumiałego tekstu, oznacza to, że dane mogą zostać przechwycone również przez osoby niepowołane.


> TRZY RODZAJE CERTYFIKATÓW SSL


Podczas zamawiania certyfikatu SSL zwykle mamy do wyboru kilka typów certyfikatów, które różnią się przede wszystkim stopniem walidacji i ceną. Na koszt certyfikatu wpływ mają takie cechy jak to, czy certyfikat zabezpiecza jedną domenę czy również jej wszystkie subdomeny, rozpoznawalność przez przeglądarki internetowe (zwykle wynosi ponad 99%), a także wysokość gwarancji, na wypadek gdyby doszło do złamania szyfru certyfikatu SSL – np. w przypadku certyfikatu DV thawte SSL123 dostępnego za około 220 zł gwarancją jest 500 000 dol., podczas gdy w przypadku analogicznego certyfikatu DV Comodo Standard SSL, którego orientacyjny koszt to ok. 100 zł, gwarancja wynosi 10 000 dol.


Podstawowy rodzaj certyfikatów SSL to DV, czyli Domain Validation. Na jego obecność wskazuje zielona kłódka w pasku adresu odwiedzanej strony internetowej. Po wyświetleniu szczegółów użytkownik uzyskuje jedynie ogólną informację dotyczącą tego, do jakiej domeny został on zarejestrowany, bez dokładniejszych danych np. na temat siedziby firmy będącej posiadaczem certyfikatu. Jeden tego typu certyfikat można kupić w cenie ok. 100–150 zł brutto za rok dla jednej domeny. Tożsamość podmiotu ubiegającego się o certyfikat zwykle jest weryfikowana tak, że organizacja go wydająca wysyła wiadomość e-mail na adres administracyjny znajdujący się w domenie, na którą jest zamawiany certyfikat (np. admin@it-professional.pl albo webmaster@it-professional.pl) i – celem zweryfikowania tożsamości zamawiającego – wymagane jest otwarcie strony, do której link znajduje się we wspomnianej wiadomości e-mail. Alternatywną metodą weryfikacji jest umieszczenie pliku o konkretnej nazwie i zawartości na serwerze hostującym stronę internetową, dla której jest zamawiany certyfikat, albo utworzenie rekordu TXT na serwerze DNS. Uzyskanie certyfikatu tego typu jest zwykle bardzo szybkie i zajmuje kilka minut, gdyż po opłaceniu faktury wymagana jest jedynie weryfikacja, którą administrator jest w stanie samodzielnie przeprowadzić, korzystając z kreatora udostępnianego przez dostawcę certyfikatu.

[…]

Autor jest praktykiem w obszarze bezpieczeństwa informacji, który na co dzień zajmuje się wdrożeniami przepisów rodo w placówkach medycznych (w ujęciu prawnym i technicznym) oraz normy ISO 27001. Administrator systemów Windows / Linux i baz danych MS SQL, MySQL, PostgreSQL. Posiada certyfikaty Microsoft, głównie z zakresu Windows Server i Microsoft SQL Server.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"