March 19
Lo shopping online rappresenta una parte enorme della attività economica di Internet. Tuttavia, senza un modo per proteggere i dati sensibili inviati tra un browser e un sito internet, lo shopping online non sarebbe mai decollato. Netscape ha creato nel 1994 SSL per cifrare le comunicazioni di dati sensibili. SSL ed i suoi successori sono ora utilizzati per proteggere gli acquirenti online e banchieri.
SSL sta per "Secure Sockets Layer". È un metodo per cifrare i dati. SSL opera al livello più basso di una connessione di rete, la presa, in modo che possa essere utilizzato contemporaneamente con i protocolli di alto livello come HTTP o FTP.
Netscape ha sviluppato il protocollo SSL nel 1994, ma mai rilasciato pubblicamente SSL 1.0. Netscape prima rilasciato SSL 2.0 in Februrary 1995. Netscape ha rilasciato SSL 3.0 nel 1996 per correggere le vulnerabilità nel protocollo SSL 2.0.
In primo luogo, SSL fornisce un mezzo per autenticare l'identità di un server (ad esempio, un sito web). Questo è noto come "handshake". Quando un client (ad esempio, un browser) contatta il server, il server risponde con un certificato a chiave pubblica. Il client verifica questa chiave attraverso servizi di terze parti come ad esempio VeriSign.
SSL fornisce quindi un mezzo per la crittografia una sessione privata tra il server e il client. Dopo aver verificato l'identità del server, il client invia generato in modo casuale chiavi di sessione al server, utilizzando la chiave pubblica del server per cifrare il messaggio. Il server utilizza la propria chiave privata (che corrisponde alla sua chiave pubblica) per decifrare il messaggio. Per il resto della sessione, sia il client e il server utilizzano le chiavi di sessione per cifrare e decifrare i messaggi.
SSL 2.0 è vulnerabile a un attacco "man-in-the-middle". In attacco man-in-the-middle, un terzo "canaglia" intercetta tutti i messaggi tra il client e il server. Il partito canaglia appare al client come il server e al server come client. Durante la stretta di mano, il partito canaglia sostituisce il certificato del server con una propria in modo che il cliente autorizza erroneamente il computer canaglia invece del server.
Il partito canaglia sostituisce anche le chiavi di sessione generate dal cliente con chiavi di sessione generate dal ladro. Il partito canaglia è quindi in grado di leggere e modificare tutti i messaggi passati tra il server e il client senza essere scoperti. SSL 2.0 utilizzata anche la funzione MD5 per l'autenticazione dei messaggi. La funzione MD5 è considerato intrinsecamente insicuro per scopi di crittografia.
Maggior parte dei browser supportano ancora SSL 2.0.
Microsoft Internet Explorer: A partire dalla versione 7, le navi di Internet Explorer con SSL 2.0 disabilitato. Tuttavia, gli utenti possono comunque attivare SSL 2.0.
Mozilla Firefox: A partire dalla versione 2, le navi di Firefox con SSL 2.0 disabilitato. Tuttavia, gli utenti possono comunque attivare SSL 2.0.