Bezpečnosť už nie je len možnosťou, ale povinným kurzom pre každého odborníka na internetové technológie. HTTP, HTTPS, SSL, TLS - Naozaj rozumiete tomu, čo sa deje v zákulisí? V tomto článku vám laickým aj profesionálnym spôsobom vysvetlíme základnú logiku moderných šifrovaných komunikačných protokolov a pomocou vizuálneho vývojového diagramu vám pomôžeme pochopiť tajomstvá „za zámkami“.
Prečo je HTTP „nezabezpečený“? --- Úvod
Pamätáte si to známe upozornenie prehliadača?
"Vaše pripojenie nie je súkromné."
Keď webová stránka nenasadí HTTPS, všetky informácie o používateľovi sa prenášajú cez sieť v otvorenom texte. Vaše prihlasovacie heslá, čísla bankových kariet a dokonca aj súkromné konverzácie môže získať dobre situovaný hacker. Hlavnou príčinou je nedostatočné šifrovanie v HTTP.
Ako teda HTTPS a „strážca brány“ za ním, TLS, umožňujú bezpečný prenos údajov cez internet? Rozoberme si to vrstvu po vrstve.
HTTPS = HTTP + TLS/SSL --- Štruktúra a základné koncepty
1. Čo je v podstate HTTPS?
HTTPS (HyperText Transfer Protocol Secure) = HTTP + šifrovacia vrstva (TLS/SSL)
○ HTTP: Zodpovedá za prenos údajov, ale obsah je viditeľný v otvorenom texte
○ TLS/SSL: Poskytuje „uzamknutie šifrovania“ pre HTTP komunikáciu, čím premieňa dáta na hádanku, ktorú dokáže vyriešiť iba legitímny odosielateľ a príjemca.
Obrázok 1: Tok údajov HTTP verzus HTTPS.
„Zámok“ v adresnom riadku prehliadača je bezpečnostný príznak TLS/SSL.
2. Aký je vzťah medzi TLS a SSL?
○ SSL (Secure Sockets Layer): Najstarší kryptografický protokol, u ktorého sa zistili závažné zraniteľnosti.
○ TLS (Transport Layer Security): Nástupca SSL, TLS 1.2 a pokročilejšieho TLS 1.3, ktoré ponúkajú významné vylepšenia v oblasti zabezpečenia a výkonu.
V súčasnosti sú „SSL certifikáty“ jednoducho implementácie protokolu TLS, len pomenované rozšírenia.
Hlboko do TLS: Kryptografická mágia skrytá za HTTPS
1. Proces handshake je plne vyriešený
Základom bezpečnej komunikácie TLS je handshake tanec v čase nastavenia. Rozoberme si štandardný postup handshake TLS:
Obrázok 2: Typický postup handshake protokolu TLS.
1️⃣ Nastavenie TCP pripojenia
Klient (napr. prehliadač) iniciuje TCP pripojenie k serveru (štandardný port 443).
2️⃣ Fáza podávania rúk TLS
○ Privítanie klienta: Prehliadač odošle podporovanú verziu TLS, šifru a náhodné číslo spolu s indikáciou názvu servera (SNI), ktorá serveru povie, ku ktorému názvu hostiteľa chce pristupovať (čo umožňuje zdieľanie IP adries medzi viacerými lokalitami).
○ Pozdrav servera a problém s certifikátom: Server vyberie vhodnú verziu TLS a šifru a odošle späť svoj certifikát (s verejným kľúčom) a náhodné čísla.
○ Overenie certifikátu: Prehliadač overí reťazec certifikátov servera až po dôveryhodnú koreňovú certifikačnú autoritu, aby sa uistil, že nebol sfalšovaný.
○ Generovanie premasterového kľúča: Prehliadač vygeneruje premasterový kľúč, zašifruje ho verejným kľúčom servera a odošle ho na server. Dve strany vyjednávajú kľúč relácie: Pomocou náhodných čísel oboch strán a premasterového kľúča klient a server vypočítajú rovnaký symetrický šifrovací kľúč relácie.
○ Dokončenie handshake: Obe strany si navzájom posielajú správy „Dokončené“ a vstupujú do fázy prenosu šifrovaných údajov.
3️⃣ Bezpečný prenos dát
Všetky servisné dáta sú symetricky šifrované s efektívnym dohodnutým kľúčom relácie, a aj keď sú zachytené uprostred, sú len zhlukom „skomoleného kódu“.
4️⃣ Opätovné použitie relácie
TLS opäť podporuje Session, čo môže výrazne zlepšiť výkon tým, že umožní tomu istému klientovi preskočiť zdĺhavé nadväzovanie kontaktov.
Asymetrické šifrovanie (ako napríklad RSA) je bezpečné, ale pomalé. Symetrické šifrovanie je rýchle, ale distribúcia kľúčov je ťažkopádna. TLS používa „dvojkrokovú“ stratégiu – najprv asymetrickú bezpečnú výmenu kľúčov a potom symetrickú schému na efektívne šifrovanie údajov.
2. Vývoj algoritmov a zlepšenie bezpečnosti
RSA a Diffie-Hellman
○ RSA
Prvýkrát sa široko používal počas TLS handshake na bezpečnú distribúciu relačných kľúčov. Klient vygeneruje relačný kľúč, zašifruje ho verejným kľúčom servera a odošle ho tak, aby ho mohol dešifrovať iba server.
○ Diffie-Hellmanov test (DH/ECDH)
Od verzie TLS 1.3 sa RSA už nepoužíva na výmenu kľúčov v prospech bezpečnejších algoritmov DH/ECDH, ktoré podporujú dopredné utajenie (PFS). Aj keď dôjde k úniku súkromného kľúča, historické údaje stále nie je možné odomknúť.
| Verzia TLS | algoritmus výmeny kľúčov | Bezpečnosť |
| TLS 1.2 | RSA/DH/ECDH | Vyššia |
| TLS 1.3 | iba pre DH/ECDH | Vyššie |
Praktické rady, ktoré musia zvládnuť odborníci na networking
○ Prioritný upgrade na TLS 1.3 pre rýchlejšie a bezpečnejšie šifrovanie.
○ Povoliť silné šifry (AES-GCM, ChaCha20 atď.) a zakázať slabé algoritmy a nezabezpečené protokoly (SSLv3, TLS 1.0);
○ Nakonfigurujte HSTS, zošívanie OCSP atď. na zlepšenie celkovej ochrany HTTPS;
○ Pravidelne aktualizujte a kontrolujte reťazec certifikátov, aby ste zabezpečili platnosť a integritu reťazca dôveryhodnosti.
Záver a myšlienky: Je vaše podnikanie skutočne bezpečné?
Od HTTP v čistom texte až po plne šifrovaný HTTPS sa bezpečnostné požiadavky vyvíjali s každou aktualizáciou protokolu. TLS, ako základ šifrovanej komunikácie v moderných sieťach, sa neustále zlepšuje, aby sa vyrovnal s čoraz komplexnejším útočným prostredím.
Používa vaša firma už HTTPS? Je vaša krypto konfigurácia v súlade s najlepšími postupmi v odvetví?
Čas uverejnenia: 22. júla 2025
