Wat is SSL en hoe werkt het?

Geplaatst op door Argeweb

SSL. Van deze klassieke drie-letter-computer-afkorting hebben veel mensen wel een vaag idee: Het is een beveiligde verbinding, die er vooral voor zorgt dat je browser waarschuwingen geeft als het juist niet goed zit.

Het internet bestaat uit een heleboel computers die berichten verzenden, ontvangen en doorgeven. Tijdens dat doorgeven is het theoretisch mogelijk om zaken af te luisteren of te manipuleren. Laten we dat eens vergelijken met een brief die onderweg geopend, gelezen en misschien zelfs gewijzigd wordt, en uiteindelijk bij de nietsvermoedende ontvanger aankomt.

In het voorbeeld met de brief ligt de oplossing voor de hand. Je schrijft de brief in een code, waarvan alleen de verzender en ontvanger weten hoe ze tekst kunnen coderen en decoderen. Op het internet is dit jammer genoeg niet altijd een mogelijkheid. De server waar een website op draait heeft namelijk geen idee wie zijn bezoekers zijn, en als hij de manier van coderen en decoderen met iedereen moet delen, dan is het geen geheim meer te noemen.

Hoe lost SSL dat op?
Wanneer je een beveiligde website bezoekt, stuurt jouw computer een verzoek naar de server. De server reageert door een sleutel op te sturen, waarmee jouw computer informatie kan inpakken. Die sleutel is niet geheim, maar heeft een belangrijke eigenschap: Berichten coderen met behulp van de sleutel is gemakkelijk, maar uitpakken is een stuk moeilijker; daar heb je een andere sleutel voor nodig. En die sleutel heeft alleen de server.
De server moet natuurlijk ook informatie aan jouw computer geven. En als die informatie op dezelfde manier wordt gecodeerd, is jouw computer natuurlijk niet in staat die informatie de decoderen…
Dat is op de volgende manier opgelost: Jouw computer verzint een willekeurig getal, codeert het, en stuurt het naar de server. Vanaf dat moment delen jouw computer en de server een geheim, en kunnen ze echt een privégesprek gaan voeren.
Om het met iets begrijpelijkers te vergelijken: Op verzoek stuurt de server je een open doosje toe, waarin je een sleutel kunt stoppen. Het doosje klik je dicht, en alleen de server kan het doosje openmaken. Je stuurt die sleutel naar de server, en vervolgens kunnen jij en de server elkaars berichten openmaken.

Sleutels maken
Een unieke sleutel is snel gemaakt. Natuurlijk gaat er behoorlijk wat wiskundig rekenwerk aan vooraf om twee bij elkaar horende sleutels te maken, waarvan de ene alleen kan coderen, en de andere ook kan decoderen. Dankzij wat slim programmeerwerk van wat encryptie-deskundigen is zo’n setje sleutels snel te genereren, en gelukkig erg moeilijk te kraken; denk aan supercomputers en rekencentra die wekenlang bezig zijn om één bericht te kraken.

Maar de identiteit dan?
De oplettende lezer heeft zichzelf misschien al een belangrijke vraag gesteld:
“Leuk dat we niet afgeluisterd worden, en leuk dat berichten ongelezen en onaangepast van A naar B komen, maar hoe weet ik zeker dat ik de juiste server aan de lijn heb? Misschien praat ik wel heel veilig met een oplichter!”

Dat is een hele goede vraag. Als er ergens onderweg een tussenstap gehackt is, en iemand maakt de website van uw bank na, wat is die beveiligde verbinding dan waard? Dat is als volgt oplost: Jouw computer moet ergens na kunnen vragen of de gebruikte sleutel ook echt gebruikt hoort te worden door de server waarmee je communiceert.

Sleutels registreren
Als eigenaar van een website kun je je sleutels laten registreren. Zodra een bezoeker jouw publieke sleutel krijgt, kan zijn browser navraag doen of dit inderdaad een geregistreerde sleutel is die door jouw server gebruikt wordt.

Als een bezoeker onbewust tegen een andere server dan die van jou praat, dan zal deze server een ander setje sleutels hebben, en meteen door de mand vallen.
Komt de identiteit van de server wel netjes overeen met de gebruikte sleutels, dan kan de browser een geruststellend slotje weergeven, want de bezoeker erop wijst dat hij zich geen zorgen hoeft te maken.

Deze sleutel-registratie en identiteitsgarantie is wat een SSL certificaat is.
Een SSL certificaat komt echter in vele varianten. Bekijk hier de Verschillen tussen SSL Certificaten.




Geef een reactie

Jouw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *