Háčik je v tom, že HTTPS neznamená to, že o peniaze neprídete.

Certifikát v jednoduchosti hovorí o tom, či ste stále na stránke, ktorú ste chceli do prehliadača načítať a či s ňou počas celého spojenia komunikujete. Rozoberme si túto situáciu podrobnejšie. Kontaktovali sme bezpečnostnú firmu ESET, aby sme zistili, čo to certifikát je a na čo sa v skutočnosti môžete spoľahnúť.

Záruka identity, nie dobrého charakteru

Ľudia si môžu myslieť, že ikona zámku, zelený pruh alebo akákoľvek grafika prehliadača o bezpečnosti webu hovorí, že je daný web bezpečný alebo pravdivý. To nie je pravda a toto ani nie je úloha certifikátu.

Peter Košinár z ESETu uvádza nasledovné prirovnanie: „Ja som TaSkutocnaBanka a ak použiješ ďalšie dáta z toho certifikátu, môžeme spolu komunikovať tak, že tomu nikto iný nebude rozumieť.

Jeho účelom je zabezpečiť dôvernú komunikáciu medzi vami a cieľovým serverom. Certifikát môže mať webové stránky, ktoré sa vydávajú za skutočnú banku a taktiež rôzne dezinformačné weby alebo weby, ktorých charakter je pochybný.

Môže ísť napríklad o podvodníkov v boji proti rakovine alebo iným ochoreniam. Je certifikát záruka, že ste na stránke, ktorá ponúka podvody, je stránka s podvodmi? Áno, presne tu je tá záruka. Je certifikát, záruka, že neprídete o peniaze alebo nekupujete škodlivý „akože liek“? Nie, na toto certifikát neslúži. V tomto je ten háčik, ktorý si nemusíme na prvé zamyslenie uvedomiť.

Certifikačná autorita

Certifikát k svojej stránke (alebo napríklad doméne 2. úrovne) si môže vyžiadať hocikto. Overenie pravosti, že stránka patrí žiadateľovi vykonáva certifikačná autorita. Tá na základe svojich overovacích schém potvrdí, že žiadateľ je zároveň vlastníkom webovej stránky resp. má dosah na informácie, ktoré sú na webe.

Napríklad môže požadovať pridanie nejakej informácie do DNS záznamu alebo priamo do stránky.

Peter Košinár hovorí o tom, ako proces funguje: „Overovať „technickú“ pravosť certifikátu človekom je samozrejme nezmysel. Tú overí browser – on sa pozrie na aktuálny dátum a zistí, či certifikát môže dnes byť platný a zistí, či je platne podpísaný nejakou autoritou a podľa potreby aj ďalej… až nakoniec nájde jedného z X vydavateľov certifikátov, ktorí sú považovaní za dôveryhodných.

A ešte si popritom aj overí, či náhodou nebol certifikát medzičasom  revokovaný a ešte sa možno pozrie do certificate transparency logu. Tu človek nemá čo spraviť lepšie – ak ale browser povie, že certifikát NEsedí, tak naozaj niečo nesedí.

Nemusí ísť o obsah, ktorý by bol priamo viditeľný pre návštevníkov stránky. Autorita ale potom zistí, že ten kto žiada o certifikát na stránku povedzme falosne-lieky.sk ju spravuje a dokázal na ňu umiestniť autoritou žiadaný obsah. Opäť, certifikačná autorita negarantuje, že produkty zo stránky falosne-lieky.sk vám pomôžu schudnúť alebo bojovať s ekzémom.

Tipnite si, akej webovej stránke patrí tento certifikát, ktorého držiteľ je www.defense.gov
Je to stránka www.nsa.gov 🙂

Rozšírená kontrola

Ako z toho von? Na čo je teda certifikát dobrý, keď nevie overiť legitimitu stránky? Možno zle položená otázka vzhľadom na to, čo je úloha certifikátu. Keď si ho pozriete detailne, reálne sa nedozviete, komu stránka patrí. Vidíte v ňom autoritu, ktorá overila jeho pravosť a to, že komunikácia prebieha zabezpečene. Teda, ak ste stále na stránke falosne-lieky.sk tak pri každom kliknutí a požiadavke na obsah stránky na nej zostávate.

Z pohľadu prehliadača je to teda v poriadku. Toto bežný používateľ nemá ako overiť a spolieha sa na prehliadač. Ten informuje, keď chcete načítať stránku falosne-lieky.sk ale prehliadač zistí, že na druhej strane je stránka este-falosnejsie-lieky.sk a to už nie je to, čo ste pôvodne chceli navštíviť.

Komu teda stránka patrí?

Ďalšia z otázok, ktorá vám v reáli nepovie, či kúpené lieky v našom príklade zaberú na ekzém. Existujú detailnejšie metódy overenia, tzv. Extended Validation. Jej súčasťou môže byť overenie toho, či ide o reálnu firmu a či má nejaké obchodné záznamy atď. Nakoniec to ale stále nepovie nič o tom, či za touto firmou nie je podvodník.

Vlastník domény a meno obchodu nemusí byť rovnaké. Napríklad v gastro biznise by stačilo, aby si firma Servis Jedál Otec a syn, s.r.o. kúpili doménu najchutnejsie-kolaciky.com. Ak by ste kúpili jedlo z tejto prevádzky, webová stránka na bločku byť uvedená nemusí a bude tam len názov „eseročky“. Je ale legitímna, pretože takto je to v poriadku. A je to celkom bežná vec, všimnite si nabudúce názov podniku a firmu uvedenú na bločku.

Certifikát a jeho úloha

Takže zosumarizované, certifikát stránky nehovorí o tom, či je to legitímna stránka a už vôbec že na druhej strane nie je podvodník. Je to ale dôkaz toho, že som na stránke, ktorú som zamýšľal navštíviť a že ma z nej len tak nemôže nikto presmerovať inam a ja si nevšimnem, že už v skutočnosti neťahám dáta z tejto stránky.

Zdroj: vlastné, Eset

Prečítajte si aj: