Azt hiszem a legnagyobb baromság-konteót hallottam a minap, mikor is kijelentette valaki nagy nyilvánosság előtt, hogy nyilvánvalóan a google illetve egyéb “háttérhatalak” tiltják a weblapokat úgy, hogy kiírják a böngészők, hogy nem biztonságos.
A kapcsolatot minden esetben a böngésződ ellenőrzi, nem a google írja ki neked, hogy nem biztonságos (nyilván a chrome az a google terméke), ha nem sikerül titkosítani a weboldallal a teljes kapcsolatot a böngészőnek, akkor most már mindegyik modern böngésző kiírja a hibát és figyelmeztet rá.
A biztonságos kapcsolatot egy un titkosítással érheted el a készüléked és a webkiszolgáló között, ennek a protokollnak a neve https, vagy HTTP2.
A https alapja a kétkulcsos titkosítás. A kulcspár két összetartozó, nagyon nagy (több száz jegyű) szám. A titkosítandó szöveget az egyik szám segítségével, egy nyilvános eljárással rejtjelezzük. Az így kapott üzenet ugyanazzal az eljárással, de a kulcspár másik tagjának segítségével fejthető csak vissza.
Ha a kulcspár egyik tagját titokban tartjuk, a másik kulcsot nyilvánosságra hozzuk, és valaki egy üzenetet a nyilvános kulcsunkkal rejtjelez, akkor azt csak mi fogjuk tudni elolvasni. A titkosítás mindig a nyilvános kulccsal történik.
A nyilvános kulccsal visszafejthetők lesznek azok az üzenetek, amelyeket mi rejtjeleztünk. A visszafejthetőség igazolja, hogy a titkos üzenetet mi írtuk (hiszen a titkosító kulcsot csak mi ismerjük), ezért ezt az eljárást digitális aláírásnak nevezzük. A digitális aláírás tehát mindig titkos kulccsal történő rejtjelezést jelent.
Tanúsítóhely
Ha egy webszerver nyilvános kulcsát le tudjuk kérdezni, és azzal titkosítunk, akkor az üzenetünket csak a webszerver fogja tudni elolvasni. Az üzenet titkosságával tehát már nincs baj, abban viszont még nem lehetünk biztosak, hogy a titkosított üzenetünk ahhoz jutott, akinek szántuk, hiszen titkosító kulcspárt bárki tud csinálni. Más szóval: a webszerver hitelessége még nincs biztosítva.
A hitelesség biztosításának egyik módja a tanúsítvány. Ez egy igazolás arról, hogy a webszerver nyilvános kulcsa hiteles. Az igazolás kiadója egy tanúsítóhely (Certificate Authority), az igazolás hitelességét az ő digitális aláírása biztosítja, valamint az a tény, hogy a tanúsítóhelyet a böngésző írói felvették a böngészőben a hiteles tanúsítóhelyek listájába.
A tanúsítóhelynek tehát hasonló szerepe van a digitális hitelesítésben, mint a közjegyzőnek a papír alapúban. Fontos különbség viszont, hogy a tanúsítóhelyet nem hatóság, hanem a böngésző „nevezi ki”.
Tehát kedves olvasó a fenti wikipedia idézet azt hiszem érthetővé tette azt, hogy a “háttérhatalmak” pont akkor nem tudják lehallgatni az adatforgalmadat, ha hiteles tanúsítvánnyal rendelkezel (zöld a lakatocska)…
De ezeknek a tanúsítványoknak van lejárati ideje is – azonban ingyenes tanúsítványt is igényelhetsz a weboldaladhoz – ilyen pld. amit mi használunk (cloudflare) vagy a letsencrypt is…
Tehát ha ilyen weblappal találkozol akkor lehet, hogy hanyag volt a webmester (nem újította meg a tanúsítványt), vagy nem is használ titkosítást webszerver, legrosszabb esetben használna ugyan titkosítást a weblap, de a forráskódba olyan egyéb http (nem titkosított) forrásból származó tartalom van behívva, ami miatt szól a böngésző, hogy nem biztonságos a teljes kapcsolat a weboldallal, azért ez a legrosszabb eset, mert ilyenkor a webmester hanyagságáról beszélünk, pl. ha a facebookot http-vel hívja be, vagy elírja a belső hivatkozásokat a weboldalon és http-vel hivatkozik a menükre, képekre, vagy dokumentumokra…
Mindenesetre ha ilyen hibaüzenettel találkozol, akkor az nem azért van, mert a google ki akarja tiltani a weblapot a világhálóról, hanem azért mert hanyagul elkészített, vagy nem biztonságos a weboldal. A titkosítás minden esetben a te biztonságod érdekében történik azért, hogy ha “lehallgatják” az adatforgalmadat akkor csak kódolt adatokat találjanak, amiket nem tudnak visszafejteni.
