Spațiul digital în continuă expansiune necesită o comunicare online sigură. O tehnologie care a jucat un rol esențial în protejarea tranzacțiilor noastre online și a schimbului de informații este reprezentată de protocoalele SSL/TLS și de certificatele digitale care le utilizează. În ultimele două decenii, certificatele SSL au evoluat și s-au adaptat la complexitatea crescândă a securității cibernetice, devenind o componentă crucială.
Introduse la mijlocul anilor 1990, certificatele SSL au revoluționat modul în care transmitem informații pe internet. Concepute inițial pentru a securiza transmiterea de date sensibile, cum ar fi detaliile cardurilor de credit și parolele, acestea au devenit între timp un instrument esențial pentru stabilirea încrederii, a confidențialității și a criptării în interacțiunile online. Acest articol explorează istoria certificatelor SSL, urmărind evoluția acestora de la începuturi până la aspectele lor moderne. De asemenea, analizează principalele repere care au marcat dezvoltarea acestora.
Cuprins
- Istoria SSL și TLS – O incursiune în timp
- Evoluția certificatelor SSL la sfârșitul anilor ’90
- Evoluția certificatelor SSL la începutul secolului 21
- Evoluția certificatelor SSL în ultimul deceniu
- Ce ne rezervă viitorul pentru certificatele SSL?
- Concluzie
Istoria SSL și TLS – O incursiune în timp
Când John Wainwright, un informatician din Silicon Valley, a comandat prima carte pe Amazon, ultimul lucru pe care și l-ar fi putut imagina a fost că o clădire va purta numele său. Dar exact atât de mult prețuiește cel mai mare retailer de pe planetă primul său client.
Într-un salt uriaș față de sfârșitul anilor ’90, când comerțul online cu amănuntul era încă la început, Amazon vinde acum milioane de cărți în fiecare an. Dar ceea ce a făcut Wainwright acum 25 de ani nu ar fi fost posibil fără o altă tehnologie care funcționa în fundal. O tehnologie atât de fundamentală pentru evoluția internetului și a tranzacțiilor online, încât niciun site nu mai poate funcționa fără ea. Este vorba despre protocoale criptografice și certificate SSL/TLS – elementele de securitate web care au făcut posibilă revoluția internetului.
În momentul în care primele browsere popularizau World Wide Web, nevoia de plăți sigure era o preocupare urgentă. Undeva în sediul central al Netscape, una dintre cele mai mari companii de servicii informatice de la acea vreme, Taher Egmal, un criptograf egiptean și cercetător șef al Netscape, elabora primul protocol criptografic al internetului numit Secure Sockets Layer (SSL).
Evoluția certificatelor SSL la sfârșitul anilor ’90
Fără posibilitatea de a fi testat în lumea reală, SSL 1.0 a fost un dezastru total. Plină de defecte criptografice și vulnerabilități de securitate, prima versiune nu a fost lansată niciodată. Netscape a continuat să dezvolte protocolul SSL și, în februarie 1995, a lansat SSL 2.0. Acesta a fost livrat împreună cu browserul Navigator de la Netscape și a rămas în uz timp de doar un an, până când hackerii și experții în securitate l-au expus din nou.
În același timp, Microsoft a decis să revizuiască protocolul SSL 2 cu unele completări proprii și a lansat prima versiune a protocolului PCT (Private Communication Technology). Cu toate acestea, nu a luat niciodată amploare și a rămas doar în IE și IIS.
Netscape s-a grăbit să dezvolte SSL 3.0, care a adus în sfârșit un pic de stabilitate. Abia în 1999 a ieșit la iveală protocolul TLS (Transport Layer Security) 1.0, aparent nou-nouț. În realitate, TLS a fost aproape identic cu SSL 3.0 și a reprezentat mai degrabă un compromis între concurenții acerbi Netscape și Microsoft, decât o deviere de la SSL 3.0.
După cum își amintește Tim Dierks, cel care a scris implementarea de referință a SSL 3.0, Netscape și Microsoft au negociat o înțelegere prin care ambele companii sprijineau IETF (Internet Engineering Task Force) să preia protocolul și să îl standardizeze în cadrul unui proces deschis.
“Ca parte a acestei schimbări, a trebuit să facem unele modificări la SSL 3.0 (pentru a nu părea că IETF doar a aprobat protocolul Netscape) și a trebuit să redenumim protocolul (din același motiv). Și astfel s-a născut TLS 1.0 (care era de fapt SSL 3.1). Și, bineînțeles, acum, în retrospectivă, toată chestia pare o prostie.”
Grupul IETF a avut nevoie de trei ani pentru a publica TLS 1.0. Confuzia dintre SSL și TLS continuă până în prezent.
Evoluția certificatelor SSL la începutul secolului 21
La începutul noului mileniu, certificatele SSL erau la fel de rare ca și copacii în deșert. Autoritățile de certificare cereau sute de dolari pentru validarea businesss, singura opțiune disponibilă la acea vreme. Aceasta era o investiție costisitoare pentru companiile de comerț electronic care se avântau în lumea online.
Necesitatea unei validări mai rapide și mai ușoare era evidentă. În 2002, GeoTrust a devenit prima autoritate de certificare care a distribuit certificate cu validare a domeniului, o mișcare care avea să schimbe pentru totdeauna sectorul SSL. Mai rapide și mai ieftine, aceste certificate puteau cripta orice tip de site web și au devenit în cele din urmă forța din spatele revoluției HTTPS.
Cinci ani mai târziu, în 2007, o altă inovație a revoluționat industria certificatelor SSL. Apariția certificatelor cu validare extinsă a permis companiilor să ofere utilizatorilor de internet o asigurare rezonabilă că site-ul web pe care îl accesează este într-adevăr controlat de o entitate juridică. Faimoasa bară de adrese verde EV a ajutat companiile să se identifice mai bine în fața clienților și a îngreunat atacurile de phishing prin intermediul certificatelor SSL.
Între timp, IETF a lansat TLS 1.1 în 2006 pentru a aborda atacul BEAST, iar apoi TLS 1.2 în 2008, cu criptarea autentificată (AEAD) ca principală îmbunătăţire. Deși un progres semnificativ în domeniul criptografiei online, va dura ani de zile până când browserele și serverele importante vor permite acest lucru. Chrome a adăugat suport pentru TLS 1.2 în august 2013. La acea dată, IEFT începuse deja să elaboreze protocolul TLS 1.3.
Având în vedere că internetul evoluează rapid, iar numărul de atacuri cibernetice ține pasul cu creșterea sa, nevoia de criptare la scară largă era o necisitate stringentă. Aici intră în joc Google, probabil cel mai mare susținător al tranziției HTTPS.
Evoluția certificatelor SSL în ultimul deceniu
În 2014, istoria SSL a luat o nouă întorsătură când Google a anunțat că va da un impuls SEO tuturor site-urilor securizate. Și, din moment ce toată lumea era obsedată de SEO la acea vreme, site-urile web care altfel nu ar fi considerat un certificat SSL, au trecut de la HTTP la HTTPS pentru a obține chiar și cel mai mic avantaj față de concurență. Această mișcare a dat startul ascensiunii HTTPS și a deschis o nouă eră pentru ecosistemul SSL/TLS.
La scurt timp după stimulentul oferit de Google, Cloudflare, popularul serviciu de rețea de livrare de conținut, a oferit certificate gratuite celor peste două milioane de utilizatori ai săi.
Anul 2015 a fost marcat de trei evoluții majore în sectorul SSL/TLS. În primul rând, certificatele eliberate după 1 aprilie au avut valabilitatea redusă de la cinci la trei ani. Această durată de viață mai scurtă a fost prezentată în 2012, în primele cerințe de bază pentru emiterea și gestionarea certificatelor de încredere publică.
Apariția Let’s Encrypt, SSL este devalorizat
Câteva luni mai târziu, în noiembrie, autoritatea de certificare cu sursă deschisă Let’s Encrypt a pus la dispoziția tuturor certificatele SSL cu validare de domeniu gratuite și emiterea automată. Susținută de companii precum Google, Facebook și Mozilla, Let’s Encrypt a devenit rapid o alegere populară pentru site-uri web de bază, bloguri și portofolii online.
În același an, protocolul SSL a fost eliminat de către IETF, dar au trecut ani până când serverele mai vechi l-au dezactivat complet.
În 2016, criptarea HTTPS a atins pragul de 50% pe internet. Deși aceasta a fost o realizare uriașă pe atunci, treaba era doar pe jumătate făcută. Scopul final al Google a fost de a securiza întregul web. Pentru a face acest lucru, a fost nevoie de ceva mai radical decât o mic stimulent SEO. Și, ca întotdeauna, mințile strălucite din Silicon Valley au găsit o soluție simplă, dar eficientă.
Browserele încep să blocheze conținutul HTTP
Odată cu lansarea Chrome 68 în 2018, browserul a început să semnalizeze toate site-urile necriptate ca fiind nesigure. Mozilla a urmat exemplul și, dintr-o dată, certificatele SSL au devenit, de la un simplu stimulent SEO, o necesitate absolută pentru toate tipurile de site-uri web. Pe măsură ce proprietarii s-au grăbit să își securizeze site-urile și să evite avertismentul amenințător, criptarea HTTPS a crescut vertiginos până la 80% pe internet.
Certificatele SSL erau acum noua normă. Un element indispensabil pentru construirea și securitatea unui site web. De aici încolo, evoluția HTTPS a luat o nouă direcție. În următoarea versiune, Chrome 69 va elimina emblema de securitate de pe site-urile HTTPS, lăsând doar lacătul ca unic indicator.
Acest lucru a consfințit încă o dată schimbarea majoră în abordarea Google față de site-urile web criptate. Dacă în trecut, a oferit recompense pentru a încuraja migrarea spre HTTPS. Acum, a urmat cursul opus și a început să penalizeze site-urile necriptate. Bara verde de validare extinsă a supraviețuit, dar nu pe mult timp.
Data lansării TLS 1.3
Pe fondul acestor schimbări, IETF a publicat mult-așteptatul protocol TLS 1.3. A durat cinci ani pentru a-l dezvolta și a venit la un deceniu după versiunea anterioară TLS 1.2, dar așteptarea a meritat. Lansat în august 2018, TLS 1.3 a eliminat o mulțime de cifre și algoritmi vechi și a redus la jumătate viteza handshake-ului TLS. Ca și în cazul versiunilor anterioare, adoptarea sa va fi lentă.
Anul 2018 a marcat încă un eveniment major în industria SSL. Valabilitatea SSL în continuă schimbare a fost redusă din nou, de data aceasta doar pentru doi ani. Noua restricție a permis ca certificatele SSL să expire și să fie reemise mai frecvent, permițând astfel autorităților de certificare să controleze mai bine întregul mediu SSL/TLS.
După o lungă încursiune în trecut am ajuns în sfârșit în ziele de azi. În lumea online, criptarea HTTPS pe internet a depășit cifra de 95%. Obiectivul Google de a securiza întregul internet este acum o realitate.
Modificări HTTPS după 2020
Browserele continuă să normalizeze conexiunea HTTPS, făcând-o mai neutră. În ultima lor mișcare, atât Chrome, cât și Firefox au renunțat la indicatorul Extended Validation din barele de adrese și l-au repoziționat în panoul de informații despre certificate. Google a efectuat cercetări interne și externe și a descoperit că indicatorul EV nu transmite în mod eficient informații despre identitatea și securitatea unui site web. În plus, ocupă prea mult spațiu, iar numele de companie pe care îl afișează poate crea confuzie în rândul utilizatorilor. Chiar și așa, eliminarea indicatorului EV nu reprezintă sfârșitul certificatelor Extended Validation. Principalul beneficiu al acestora rămâne verificarea extinsă a identității societății.
Între timp, valabilitatea SSL a continuat să se reducă. De data aceasta a fost rândul lui Apple să reducă în unanimitate ciclul certificatelor la doar un an pentru browserul Safari. Noua modificare a intrat în vigoare începând cu 1 septembrie. Deoarece Safari este al doilea cel mai popular browser de pe internet, concurenții săi au urmat decizia Apple. Valabilitatea de un an diminuează și mai mult fereastra de expunere la atacuri cibernetice prin generarea de chei noi în mod regulat. Toate aceste schimbări au evidențiat din nou dinamica istoriei SSL.
Ce ne rezervă viitorul pentru certificatele SSL?
Odată cu criptarea universală vine și o responsabilitate mai mare în ceea ce privește protejarea datelor sensibile ale utilizatorilor împotriva atacurilor cibernetice persistente. Deși defectele protocoalelor mai vechi au fost eliminate în versiunile ulterioare, riscul unor noi amenințări la adresa securității va rămâne ridicat atâta timp cât internetul va evolua.
Mulți experți FinTech au sugerat blockchain ca un potențial înlocuitor al SSL. În termeni simpli, un blockchain este o structură de bază de date care stochează informații în loturi numite blocuri, legate secvențial pentru a forma un lanț de blocuri. Fiecare lanț este un registru public în care tranzacțiile sunt înregistrate și confirmate în mod anonim. Unul dintre cele mai cunoscute exemple de blockchain este criptomoneda Bitcoin. Dar cum poate Blockchain să îmbunătățească criptarea web?
Pentru început, acesta poate fi utilizat de părți individuale pentru a genera chei criptografice unice care pot verifica informațiile și pot asigura o comunicare sigură. Pe piață există deja mai multe certificate SSL bazate pe blockchain. Aceste certificate elimină autoritățile de certificare (factorul uman) din tranzacțiile digitale, asigurând o autentificare mai puternică.
Un astfel de sistem este Remme. Protocolul distribuit Public Key Infrastructure atribuie certificate SSL unor dispozitive individuale, cum ar fi smartphone-uri sau PC-uri, și stochează informațiile despre certificate într-o bază de date securizată, cu ajutorul unui blockchain.
Deși blockchain este prezentat ca fiind cel mai bun înlocuitor SSL, scoaterea autortiăților de certificare din ecuație poate genera efectul opus. Tehnologia se află încă la început de drum și, până când dezvoltatorii vor putea dovedi eficiența și stabilitatea sa în furnizarea de încredere descentralizată, autoritățile de certificare, foarte bine reglementate, vor continua să verifice legitimitatea proprietarilor de certificate.
După cum spune vechea zicală, dacă nu este stricat, nu-l reparați. Aceasta nu înseamnă că autoritățile de certificare nu au avut parte de probleme și încercări, dar progresul lor neîntrerupt a transformat industria SSL într-un domeniu sigur. În prezent, cele mai importante autorități de certificare oferă o gamă largă de opțiuni de gestionare și automatizare a certificatelor, ajutând companiile să gestioneze eficient mii de cicluri de certificate.
Browserele și agențiile de certificare sunt atât de încrezătoare în siguranța SSL, încât Google intenționează să elimine pictograma lacătului – ultimul indicator care semnalizează un site securizat. Până în prezent, toate intențiile Google au devenit realitate. Eliminarea lacătului SSL va marca revoluția HTTPS ca fiind o poveste de succes și un capitol important în tânăra istorie a internetului.
Concluzie
Au trecut aproape trei decenii de la apariția primului protocol SSL. Întregul internet a evoluat foarte mult de la primele zile ale browserelor, până la punctul în care este un mediu complet diferit. Criptarea web este acum omniprezentă. Protocoalele SSL și TLS mai vechi sunt depășite, făcând loc celei mai recente versiuni TLS 1.3.
Istoria SSL ne-a învățat importanța criptării, a autentificării, a adaptabilității, a standardelor industriale, a capacității de utilizare, a accesibilității și a caracterului permanent al securității. Aceste lecții ne oferă informații valoroase, în timp ce ne străduim să creăm o lume digitală mai sigură și mai securizată pentru utilizatorii din întreaga lume.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10
