Seuraavassa käydään läpi SSL-sertifikaatin toimintatapaa verkkoliikenteen salaamisessa sekä palvelun luotettavassa tunnistamisessa.
Kun viesti halutaan toimittaa salattuna vastaanottajalle, pitää lähettäjällä ja vastaanottajalla olla hallussaan sama salausmenetelmä. Tyypillisesti tämä tehdään salausavaimella, joka on etukäteen turvallisesti toimitettu viestin lähtö- ja vastaanottopäähän. Tätä kutsutaan symmetriseksi salaukseksi.
Symmetrisen salauksen aikaansaamiseen käytetään PKI-menetelmää (Public Key Infrastructure). PKI:n lähtökohtana on kaksi salausavainta, jotka ovat erittäin pitkiä alkulukuja. Toinen on salainen avain (Private Key) ja toinen julkinen avain (Public Key). Jos salaisella avaimella salataan viesti, sen voi avata vain julkisella avaimella. Ja päinvastoin: jos julkisella avaimella salataan viesti, sen voi avata vain julkisella avaimella.
Kun esimerkiksi web-palvelimella tehdään sertifikaattihakemus (CSR, Certificate Signing Request), muodostuu palvelimella salainen ja julkinen avain. Julkinen lähtee sertifikaattipyynnön mukana varmentajalle (CA, Certificate Authority – esim. Entrust), joka tarkastaa pyynnön oikeutuksen. Varmentaja lähettää takaisin SSL-sertifikaatin, joka sisältää mm. julkisen avaimen. SSL-sertifikaatti asennetaan web-palvelimelle ja se lukittuu salaiseen avaimeen.
Tarkastellaan yllä olevan kuvan mukaista tilannetta, jossa käyttäjä ottaa selaimella ensimmäisen kerran yhteyttä web-palvelimella olevaan https:// -osoitteeseen. Selain pyytää ja saa web-palvelimelta SSL-sertifikaatin. Selain tarkastaa sertifikaatin ja näkee, että se on luotettavan varmentajan allekirjoittama. Sertifikaatti myös näyttää luotettavasti web-palvelimen omistajan ja tuo mukanaan web-palvelimen julkisen avaimen.
Selain muodostaa nyt aivan uuden symmetrisen salausavaimen. Selain muodostaa viestin, jossa on tämä symmetrinen salausavain ja salaa viestin saamallaan julkisella avaimella. Selain lähettää tämän web-palvelimelle. Tämä viesti voidaan avata vain web-palvelimella olevalla salaisella avaimella. Web-palvelin tekee näin ja saa käyttöön symmetrisen avaimen.
Nyt sekä selaimella että web-palvelimella on käytössä symmetrinen salausavain, jota kenelläkään muulla ei voi olla. Tätä käytetään kyseisen selainistunnon ajan liikenteen salaamiseen. Ja kun istunto päättyy, symmetriset avaimet poistetaan.
Ja lisää tietoahan saa osoitteesta info@ssl-apua.fi