Mis loomad on veebisertifikaadid

Ühest IT-poliitilisest sündmusest ajendatult seletaks natuke, mis asi on veebisertifikaat (SSL certificate) ja kuidas see töötab (ehk mis juhtub siis, kui avate turvalise veebilehekülje, mille aadressil on ees https://, mitte tavaline http://).

Kui tavalist veebiliiklust on lihtne pealt kuulata, sest kogu info liigub piki juhtmeid kodeerimata kujul, siis vähegi turvalisust nõudvates kohtades (pangad, e-poed, isikuandmeid töötlevad veebilehed) on vaja paremat lahendust. Selleks on leiutatud krüpteerimine ehk lihtsamalt öeldes salakeel.

Turvalise, krüpteeritud ühenduse loomiseks vahetavad veebileht ja sinu veebibrauser salakooditabeli. Matemaatiliselt on tegu keerulise lahendusega, kuid oluline on teada, et asi põhineb usaldusel. Usaldusel selles mõttes, et teie usaldate, kes on teiselpool. Näiteks peaksite endalt küsima, kas te usute, et olete ühenduses tõelise pangaga mitte „naabripoisi“ loodud veebileheküljega, kes on teie võrgujuhtme oma arvuti taha ühendanud. Kõlab ehk jaburalt, aga ega seda polegi võimalik tegelikult niisama lihtsalt kontrollida (meenutage uudiseid sellest, kuidas häkkerid on inimeste pangakontodelt raha välja petnud meelitades neid Hansapanga kodulehega väga sarnasel, ent tegelikult kurjategijate veebilehel pangakoode sisestama).

Vahendiks, mille abil veebikasutajad peaksid saama kindluse, et tegemist on õige veebileheküljega, on sertifikaadid. Need tagavad usalduse samal põhimõttel nagu raha. Igaüks võiks ju oma kodus trükkida mingeid rahatähti, aga rahana usaldavad inimesed riikide poolt väljaantud rahatähti. Sertifikaate, mida veebibrauserid (nagu IE või FireFox) automaatselt usaldavad, annavad välja maailmas vaid ligikaudu 50 eri firmat, ent üle poole turust kuulub ühele firmale, VeriSign (http://www.securityspace.com/s_survey/data/man.200704/casurvey.html andmetel, tütarfirmad kokkuarvestatult). Protsess näeks välja nii – lähete näiteks VeriSign kodulehele, avaldate sertifikaati ostusoovi, annate oma andmed (kes te sellised olete), VeriSign kontrollib, kas teie olete tõesti teie ja väljastab digitaalse sertifikaadi. Teie panete saadud sertifikaadi oma veebiserverisse ning brauserid avavad turvalise ühenduse teie veebisaidiga edaspidi probleemideta. Samuti võivad nad klõpsata sertifikaadi nuppu ja lugeda, kes on selle veebisaidi autor.

Konks ilusas skeemis on… raha. Nimelt on sertide turg üks väga kinnine moosipurk, klubi peamiselt USA-s tegutsevatest firmadest, kes ei taha uusi tegijaid teps mitte ligi lasta. Kui ma mõni aeg tagasi uurisin Eesti ID-kaartide sertifikaate väljastav AS Sertifitseerimiskeskusest, miks pole Eesti ID-kaart maailmas aktsepteeritud ega nemad Internet Exploreri või FireFoxi ega Adobe poole tunnustatud, siis nad vastasid, et tegu on neile rahaliselt üle jõu käiva liitumisprotsessiga. Nad ei ole firmana piisavalt suured, et täita kasvõi eelarve suuruse nõuet, et saada liikmeks. Vihje selle kohta, miks seda turgu nii kiivalt kaitstakse, annab külaskäik VeriSigni kodulehele – kiire surfamise käigus saan teada, et üks korralik veebisaidi sertifikaat maksab 995 dollarit ja kehtib see vaid ühe aasta.

AS Sertifitseerimiseksus pakub sama teenust tunduvalt odavamalt, 1500 krooni eest aastas (http://www.sk.ee/pages.php/02020401,39). See on odav ja hea alternatiiv, sest Eestis neid ju teatakse, kuid tõsi, veebibrauserid annavad ikkagi veateate…

Nüüd et enamus inimesi jätab ülaltoodud informatsioon sügavalt ükskõikseks ja klõpsatakse nagunii kiirelt nuppe arvutis, et vaid tülikast veateatest mööda pääseda, siis enamik väikefirmasid kasutab isetehtud sertifikaate. Ing. k. Self-signed certificate kohta saate täpsemalt lugeda siit (http://en.wikipedia.org/wiki/Self-signed_certificate). Neid saab luua igaüks, kes kasvõi Googlest leitud juhendis näpuga järge ajab ning maksma ei lähe see midagi. Sinna saab sisestada ka autori nime, kuid miski ei garanteeri, et te ikka õige nime sisestate.

Mille poolest on isetehtud sert halvem? Pealtkuulamise osas vahet pole, ühendus krüpteeritakse samal viisil. Vahel on selles, et võite sattuda võltsitud leheküljele ise sellest midagi teadmata. Ning ebamugavam on ka – veebibrauser hoiatab, et sisenete mingile „kahtlasele“ leheküljele. Teisalt ei toeta mina küll sertifikaadimonopoli nuumamist. Mingit kolmandat lahendust oleks vaja. Riik võiks näiteks oma käe alla panna, et mõni Eesti ID-kaardi sertifikaadid maailmas tunnustuse saaks. Või noh, piisaks kokkuleppest kolme firmaga – Microsoft, Mozilla ja Adobe. Idee valimisplatvormisk – „Meie lubame, et Microsoft hakkab Eesti ID kaarti tunnustama.“ ? 

2 kommentaari

  1. […] Mis loomad on veebisertifikaadid […]

  2. Saan aru, et AS Sertifitseerimiskeskusest ostetud sertifikaadi peale annab baruser ikkagi hoiatust, et ei ole usaldusväärne. Kui ma õigesti aru sain, siis küsin, et miks siis üldse nende käest seda osta?

Lisa kommentaar

Täida nõutavad väljad või kliki ikoonile, et sisse logida:

WordPress.com Logo

Sa kommenteerid kasutades oma WordPress.com kontot. Logi välja /  Muuda )

Google photo

Sa kommenteerid kasutades oma Google kontot. Logi välja /  Muuda )

Twitter picture

Sa kommenteerid kasutades oma Twitter kontot. Logi välja /  Muuda )

Facebook photo

Sa kommenteerid kasutades oma Facebook kontot. Logi välja /  Muuda )

Connecting to %s

%d bloggers like this: