TLS

A TLS egy titkosítási protokoll (szabály rendszer), amit leggyakrabban a böngészők (pl. Firefox, Brave, Opera) használnak az interneten keresztül küldött adatok (HTTP kérések és válaszok) titkosítására. Ha valamilyen adat TLS használatával titkosítva van, akkor a „hackerek” nem tudják

• megnézni a TLS csomagokban szállított adatokat
• megváltoztatni a TLS csomagok tartalmát (mert különben hibaüzenetet ír a böngésző)

Hogyan tudom használni a TLS-t?

Az összes böngészőbe be van építve a TLS titkosítás HTTPS formájában. Amikor egy veboldal címe https:// kezdetű (fontos az S a HTTPS végén), és a böngésző címsávjában egy lakat látszik az oldal címe mellett balra, az azt jelenti, hogy azt az oldalt TLS titkosítás használatával olvasod.

A legtöbb böngésző beállításai között van valami olyasmi, hogy "Csak HTTPS mód", amit nagyon ajánlott bekapcsolni. Ha be van kapcsolva, az azt jelenti, hogy mindig TLS titkosítást fog használni.

Itt találsz több infót erről, és egy útmutatót a bekapcsoláshoz: "Csak-HTTPS" mód bekapcsolása a böngészőben

Mi az az SSL?

A TLS elődje. Ma már nem használjuk. A TLS kifejlesztése előtt SSL-t használtak TLS helyett. Mondhatni, a TLS egy továbbfejlesztett SSL. Az SSL ma már nem számít biztonságosnak, ezért nem ajánlott használni, főképp azért mert már szinte mindenhol támogatott a TLS. Az „SSL” kifejezést használják a TLS megnevezésére is, mivel a TLS az SSL továbbfejlesztése. Azonban a „TLS” kifejezést nem lehet a régi SSL megnevezésére használni.

Mi van akkor, ha egy weboldal nem támogatja a TLS-t?

Az a weboldal egyáltalán nem biztonságos. Ha egy weboldal címe elé https:// kifejezést írsz a böngészőben, és nem tudod elérni, csak, ha kitörlöd az s betűt a HTTPS végéről, az azt jelenti, hogy az a weboldal nem támogatja a TLS-t.

Ez egyben azt is jelenti, hogy nagyon-nagyon erősen megkérdőjelezheted a weboldalt készítő programozók hozzáértését. Ma már nagyon egyszerűen lehet TLS tanúsítványt igényelni, ráadásul a folyamat ingyenes, így minden weboldaltól elvárt, hogy HTTPS-en keresztül is elérhető legyen. Még a keresőprogramok is (pl. Google, DuckDuckGo) hátrébb teszik a titkosítatlan weboldalakat a találatok között, tehát, ha ennyire nem érdekli a weboldal tulajdonosait, akkor nem lehet sokat várni tőlük. A TLS-t nem támogató weboldalak tartalmát egy támadó meg tudja változtatni, mielőtt megérkezik a HTTP válasz a böngésződbe.

Ilyen weboldalakon soha ne adj meg semmilyen személyes adatot, és soha ne bízz meg megjelenített tartalom eredetiségében! Ha egy támadó ugyan azon a Wi-Fi hálózaton van, mint te, akkor ő is láthatja, hogy mit írsz be a weboldalra, és akár meg is tudja változtatni a megjelenített weboldal tartalmát.

„A weboldal érvénytelen tanúsítványt használ.”

Amikor a böngésző a TLS tanúsítvánnyal kapcsolatos hibát ír, azt jelenti, hogy a TLS titkosítási kulcsok eredete nem ellenőrizhető, ezáltal annak ellenére, hogy a kapcsolat TLS titkosítást használ, mégsem megbízható. Ilyenkor lehetséges, hogy a titkosításhoz használt kulcs nem a weboldal kulcsa, hanem egy támadóé.

Ahhoz, hogy ezt a helyzetet teljesen megértsd, ismerned kéne az asszimmetrikus titkosítás működését. Egyszerűen elmagyarázva annyi, hogy ilyenkor a HTTP kérések és válaszok titkosítva vannak, de nincs rá megbízható bizonyíték, hogy a webolal saját TLS titkosítási kulcsa volt használva hozzá. Az is lehet, hogy egy támadó generált egy hamisított TLS titkosítási kulcsot, és azzal titkosította az adatokat, mielőtt azok eljutottak a böngésződbe. Mivel az a kulcs a támadó birtokában van, ezért ugyan olyan hozzáférése van a HTTP kérésekhez, és válaszokhoz, mint ha egyáltalán nem lenne titkosítva.

Ha esetleg ismered az asszimmetrikus titkosítás működését, akkor ezt a hibaüzenetet annyiból megértheted, hogy ilyenkor lehetséges, hogy MITM támadás történt.