SSL (Secure Sockets Layer) a jeho modernější nástupce TLS (Transport Layer Security) jsou kryptografické protokoly, které zajišťují šifrovanou komunikaci mezi dvěma zařízeními – obvykle mezi webovým prohlížečem a serverem. Díky nim jsou data, která odesíláme přes internet (např. hesla, osobní údaje, platební informace), chráněna před odposlechem, úpravou nebo podvržením.
I když se často mluví o SSL certifikátech, ve skutečnosti se dnes už používá téměř výhradně TLS – SSL jako protokol je zastaralý a považovaný za nebezpečný.
Jak SSL/TLS funguje
Šifrování pomocí SSL/TLS se odehrává během procesu zvaného TLS handshake, kde:
Klient (např. prohlížeč) požádá o navázání zabezpečeného spojení.
Server odpoví a odešle svůj TLS certifikát, který ověřuje jeho identitu (např. že jde opravdu o banku.cz a ne podvodnou stránku).
Obě strany si dohodnou, jakým způsobem budou komunikaci šifrovat – to zahrnuje výměnu klíčů a dohodu o kryptografických algoritmech.
Po dokončení handshake začíná šifrovaná komunikace.
Od této chvíle je veškerý přenášený obsah chráněn a třetí strana ho nemůže přečíst.
Proč je SSL/TLS důležité
Ochrana dat při přenosu – zejména u přihlašovacích údajů, bankovních operací nebo zdravotních záznamů.
Ověření identity serveru – TLS certifikát zaručuje, že jste připojeni k legitimnímu webu, a ne k falešnému (phishingovému).
Zvýšení důvěryhodnosti webu – moderní prohlížeče označují šifrované stránky zámečkem v adresním řádku, což zvyšuje důvěru uživatelů.
Základní prvek SEO a povinné součásti moderního webu – Google a další vyhledávače upřednostňují HTTPS weby před HTTP.
Známé typy útoků proti SSL/TLS
I když TLS je velmi bezpečný, v minulosti se objevilo několik útoků, které zneužívaly staré nebo chybně implementované verze:
Heartbleed (2014) – zranitelnost v knihovně OpenSSL, která útočníkovi umožnila číst paměť serveru a získat citlivá data, včetně privátních klíčů.
POODLE (2014) – útok na zastaralý SSLv3, který umožňoval dešifrování části šifrované komunikace.
BEAST a CRIME – útoky využívající slabiny ve starších verzích TLS.
Díky těmto incidentům se důrazně doporučuje používat TLS 1.2 nebo vyšší, a všechny starší verze deaktivovat.
Jak poznat, že web používá SSL/TLS
Web, který používá TLS, poznáte podle:
adresy začínající na https:// místo http://,
ikony zámečku v adresním řádku prohlížeče,
možnosti zobrazit TLS certifikát kliknutím na zámeček a prozkoumáním údajů o certifikátu.
Jak získat TLS certifikát
Většina moderních hostingů nabízí automaticky generovaný a pravidelně obnovovaný certifikát od Let’s Encrypt – bezplatné certifikační autority. Pro větší weby nebo firmy je možné zakoupit placený certifikát s rozšířeným ověřením (EV certifikát), který zobrazí název organizace v adresním řádku.
Certifikát je vždy vydáván pro konkrétní doménu a má omezenou platnost, obvykle 90 dní až 1 rok, po kterém je nutná obnova.
Shrnutí
SSL/TLS je základem bezpečného internetu. Umožňuje, aby se uživatelé mohli spolehnout, že jejich komunikace s webem není odposlouchávána nebo manipulována. Ať už spravujete web, pracujete v IT nebo jste běžný uživatel, vědět, co znamená zámeček v prohlížeči, se rozhodně vyplatí.