Security Of Internet Payment

Temu rezervirali: Vanja Pisačić i Lovro Jakopović.

Security Of Internet Payment

---

Sadržaj 1 Uvod 2 Elektronička trgovina 3 Razvoj elektroničke trgovine 4 Prednosti i nedostaci elektroničke trgovine za kupce 5 Prednosti i nedostaci elektroničke trgovine za prodavače 6 Problem sigurnosti kupovanja preko elektroničkih trgovina 7 Savjeti za povećanje sigurnosti internet plaćanja 8 Smjernice EBA (European Banking Authority) 9 SSL(Security Sockets Layer) 10 Kako prepoznati da stranica koristi SSL? 11 SSL zapis 12 Handshake protokol 13 Alert 14 Literatura

Uvod

Tema ovog rada je sigurnost plaćanja putem interneta. Stoga je na samom početku objašnjen pojam elektroničke trgovine kao i njen razvoj, nakon čega su navedene prednosti i nedostaci elektroničke trgovine za kupce i prodavače. Zatim je na jednom primjeru prikazano kako u nekoliko jednostavnih koraka obaviti sigurnu online kupovinu, te su navedeni neki savjeti za povećanje sigurnost online plaćanja. Isto tako navedene su i EBA smjernice koje pokazuju stajalište prema nadzornim praksama unutar Europskog sustava financijskog nadzora. Na samom kraju rada objašnjeni su SSL i Handshake protokol.

Elektronička trgovina

Elektronička trgovina predstavlja proces kod kojeg se vrši kupnja, prodaja ili razmjena proizvoda, usluga ili informacija putem interneta, pri čemu se znatno smanjuju troškovi i vrijeme cijelog procesa kupnje. Elektroničke trgovine najbolje je sagledati iz sljedeće četiri perspektive:

• Komunikacijske perspektive - elektronička trgovina omogućuje razmjenu proizvoda, usluga ili informacija preko javnih dostupnih računalnih mreža, javnih telefonskih linija ili pak nekim drugim elektroničkim putem.
• Perspektive poslovnih procesa - elektronička trgovina predstavlja korištenje nove tehnologije kako bi se automatizirale poslovne transakcije i kako bi se unaprijedilo poslovanje.
• Perspektive pružanja usluga - elektronička trgovina je sredstvo kojim poduzeće nastoji smanjiti troškove pružanja usluga uz istodobno povećanje razine kvalitete i brzine same isporuke.
• Virtualne perspektive - elektronička trgovina daje mogućnost kupnje i prodaje proizvoda, usluga ili informacija korištenjem interneta.

Važno je naglasiti da se elektronička trgovina odnosi isključivo na odvijanje trgovinskih aktivnosti putem interneta, pri čemu se ni u kojem slučaju ne može poistovjetiti sa širim pojmom elektroničkog poslovanja. Najbolji način da se pokaže razlika između pojmova elektroničke trgovine i elektroničkog poslovanja je percepcija tih pojmova u obliku sante leda gdje površinski dio koji je vidljiv golim okom predstavlja elektroničku trgovinu. Taj površinski dio zapravo označava sučelje na internetu kojeg kupci vide i koriste, dok cijela santa leda predstavlja elektroničko poslovanje koje uključuje splet poslovnih aktivnosti.

Izvor

Razvoj elektroničke trgovine

Pojava elektroničke trgovine javlja početkom 90-ih godina kada je brz razvoj interneta omogućio da upravljanje poslom bude puno jednostavnije i ekonomičnije. Određene kompanije su na samom početku shvatile prednosti korištenja interneta sa svrhom promjene načina poslovanja te su počele istraživati mogućnosti kupnje i prodaje putem interneta. One su prodaju preko interneta shvatile kao priliku za diferenciranje poslovanja u odnosu na svoju konkurenciju, zbog čega su u što kraćem roku pokušale izgraditi web mjesto putem kojega bi kupcima omogućili elektronički način kupovanja. Njihov glavni cilj temeljio se na tome da budu prvi, odnosno da prije svoje konkurencije imaju mogućnost kupovanja i prodaje elektroničkim putem, pri čemu će tako svoju konkurenciju dovesti u nepovoljan položaj. Izuzetan uspjeh prvih kompanija koje su poslovale putem interneta iznenadio je mnoge poduzetnike i trgovce. Vlasnici knjižara, muzičkih trgovina, putničkih agencija, auto kuća i mnogih drugih oblika trgovina počeli su razmišljati o svojoj budućnosti kada su se pojavili konkurenti koji su počeli prodavati svoje proizvode i usluge putem interneta. Oni koji su prodavali svoje proizvode i usluge isključivo tradicionalnim načinom počeli su se bojati da će ih elektronički trgovci u potpunosti zamijeniti. Takva situacija potakla je postojeće tvrtke da razmisle o načinu na koji nude svoje proizvode i usluge kupcima. Na samom početku razvoja elektroničkih trgovina fizičke tvrtke nisu ništa poduzimale jer su se nadale da će tvrtke koje provode takav način poslovanja propasti i u potpunosti nestati. Međutim s vremenom kada su vidjeli da elektroničke trgovine sve više napreduju pokrenule su vlastite prodajne kanale na internetu i tako postale fizičko-virtualne kompanije. Danas je elektronička trgovina vrlo razvijena i zastupljena širom svijeta. Zanimljivo je predviđanje koje govori da će elektronička maloprodaja u narednim godinama nastaviti rasti po godišnjoj stopi od 10% pri čemu tu nisu uračunate online prodaje automobila, lijekova i putovanja. Kako bi iskoristile sve prednosti i prilike koje pruža elektronička trgovina, tvrtke moraju biti spremne na promjene koje uključuje prihvaćanje i razvoj različitih strategija elektroničkog poslovanja. Danas postoji veliki broj elektroničkih trgovina zbog čega strategije moraju biti inovativne kako bi se ostvarila prednost u odnosu na postojeću konkurenciju i kako bi se stvorile nove vrijednosti. Trenutno se internet smatra temeljnim kanalom za komercijalne transakcije. Isto tako internet je globalno tržište sa stotinama milijuna kupaca i prodavača, gdje se obavljaju sve vrste poslova i transakcija.

Izvor

Prednosti i nedostaci elektroničke trgovine za kupce

Prednosti elektroničke trgovine za kupce:

• Kupovina preko interneta je praktičnija zbog toga što kupci ne moraju pretraživati dućane i police da bi pronašli proizvod koji im treba
• Kupovanje je privatno zbog čega kupci ne trebaju kontaktirati s prodajnim osobljem
• Elektroničke trgovine često pružaju više informacija o nekom proizvodu nego što ih zna sam prodavač u klasičnoj trgovini
• U interakciji s ostalim korisnicima u elektroničkim zajednicama razmjenjuju se ideje i uspoređuju iskustva
• Kupci mogu obaviti kupnju iz kuće, pa stoga ne moraju trošiti vrijeme na put do trgovine
• Proizvodi i usluge preko elektroničke trgovine se obično prodaju po nižim cijenama
• Ljudi iz manje razvijenih zemlja ili iz ruralnih područja imaju dostupnost proizvodima koji im inače nisu dostupni

Izvor

Nedostaci elektroničke trgovine za kupce:

• Straha kupaca od krađe podataka kreditnih kartica
• Postoji mogućnost prijevara da se ne dobije proizvod koji je kupac već unaprijed platio
• Može se desiti situacija da kupac dobije proizvod koji nije jednak onome kakav je očekivao
• Kupac ne može isprobati proizvod prije same kupnje
• Čekanje na dostavu narudžbe u pojedinim situacijama zna biti dosta dugo

Prednosti i nedostaci elektroničke trgovine za prodavače

Prednosti elektroničke trgovine za prodavače:

• Internet predstavlja izvrsno sredstvo za kontakt s dobavljačima i tvornicama pri čemu se značajno smanjuju troškovi zbog toga što je elektronička komunikacija u većini slučajeva najjeftiniji oblik komunikacije
• Kod elektroničke trgovine troškovi izrade digitalnih kataloga daleko su niži od troškova tiskanja i slanja papirnatih kataloga
• Elektronički marketing također nudi veću fleksibilnost, što omogućava da prodavači neprestano prilagođavaju svoje ponude i programe prema kupcima
• Prodavačima se nudi mogućnost širenja na nacionalna i međunarodna tržišta uz minimalna kapitalna ulaganja
• Nabava materijala i proizvoda od drugih poduzeća je puno brža
• Elektronička trgovina omogućuje smanjenje razine zaliha u skladištima

Izvor

Nedostaci elektroničke trgovine za prodavače:

• Prodavači konstantno trebaju ulagati u daljnji razvoj vlastite elektroničke trgovine
• Svakim danom konkurencija elektroničkih trgovina je sve veća zbog čega se je potrebno istaknuti u odnosu na konkurenciju
• Također potrebno je stalno usvajanje novih znanja kao i stalna prilagodba trendovima

Problem sigurnosti kupovanja preko elektroničkih trgovina

Danas postoji veliki broj elektroničkih trgovina putem kojih kupci mogu kupovati proizvode, usluge ili informacije i to iz udobnosti vlastitog doma. Broj elektroničkih trgovina se stalno povećava i kupci moraju biti oprezni prilikom kupovanja, pogotovo kod neprovjerenih i manje poznatih elektroničkih trgovina. Trenutno dvije najpopularnije elektroničke trgovine na kojima svakodnevno kupuju milijuni kupaca su eBay i Amazon.

Stoga je u nastavku ovog rada prikazano kako najlakše u nekoliko jednostavnih koraka obaviti sigurnu online kupovinu na provjerenoj i globalno poznatoj elektroničkoj trgovini kao što je eBay.

Za početak je poželjeno (ali ne i nužno) kreirati račun na PayPal-u. PayPal je jedan od najpopularniji servisa za online plaćanje zbog toga što omogućuje jednostavno i sigurno online plaćanje. Otvaranje računa na PayPal-u je besplatno, dok se određena provizija plaća prilikom izvršenja transakcija. Osim jednostavnog i sigurnog online plaćanja prilikom kupovine različitih stvari PayPal omogućava i prebacivanje novca na druge račune.

U nekoliko jednostavnih koraka može se napraviti PayPal račun i omogućiti nam sigurnije i jednostavnije online plaćanje. Da bi kreirali račun na PayPal-u potrebno je posjetiti web stranicu https://www.paypal.com/. Na početnoj stranici u gornjem desnom kutu potrebno je odabrati opciju za kreiranje računa. Kreiranje samog računa je besplatno.

Zatim je potrebno odabrati jedan od dva ponuđena tipa računa (osobni račun ili poslovni račun).

Nakon toga potrebno je upisati email adresu i lozinku pomoću kojih ćemo se ubuduće prijavljivati na PayPal.

Zatim je potrebno unijeti podatke kao što su ime, prezime, datum rođenja, nacionalnost itd. i na samom kraju treba označiti da prihvaćamo sporazum od PayPal-a.

Nakon toga potrebno je unijeti broj kartice, datum isteka roka trajanja kartice i CSC troznamenkasti kontrolni broj krtice koji se nalazi na poleđini kartice nakon čega će kartica biti povezana s našim računom na PayPal-u i time je proces kreiranja računa na PayPal-u završen.

Također u nekoliko jednostavnih koraka možemo poslati novac nekom drugom, pri čemu nam je potrebna samo email adresa na koju želimo poslati novac, što čini sam postupak slanja vrlo jednostavnim.

Glavna prednost korištenja PayPal plaćanja je u tome da korisnik u online trgovini prilikom plaćanje ne mora unositi podatke kreditne kartice već se dovoljno samo ulogirati s korisničkim podacima od PayPal-a čime se znatno smanjuje rizik od krađe i zloupotrebe podataka. Isto tako slanje novca drugima je vrlo jednostavno i sigurno.

Izvor

Sada kada smo kreirali PayPal račun, odlazimo na web stranicu eBay-a http://www.ebay.com/ kako bi kupili željenu stvar. Prvo je potrebno kreirati račun na eBay-u. Na početnoj stranici u gornjem lijevom kutu potrebno je odabrati opciju za kreiranje računa. Kreiranje samog računa je besplatno.

Zatim je potrebno upisati podatke kao što su email adresa, lozinka, ime, prezime i broj telefona.

Nakon toga radi veće zaštite našeg računa potrebno je potvrditi broj telefona koji smo unijeli.

Zatim je potrebno unijeti PIN koji smo dobili u sms poruci.

Time je registracija završena. Sada možemo pronaći stvar koju želimo kupiti. Nakon što smo pronašli stvar koji želimo kupiti potrebno je pritisnuti gumb „Buy It Now“. Naravno prije toga je poželjno pročitati informacije o dostavi, samom proizvodu i provjeriti feedback-ove ostalih korisnika za prodavača od kojeg planiramo naručiti proizvod.

Pošto je ovo prva kupnja potrebno je unijeti adresu na koju želimo da nam se dostavi naručeni proizvod (ubuduće će nam adresa ostati zapamćena, pa neće biti potrebe za ponovnim upisom). Naravno adresa na koju želimo da nam se dostavi naručeni proizvod se prilikom svake kupnje može promijeniti.

Postoje dvije opcije plaćanja. Prva opcija je plaćanje putem PayPal-a, a druga opcija je plaćanje kreditnom ili debitnom karticom.

Ako se odabere opcija plaćanje putem PayPal-a potrebno je samo upisati email i password našeg PayPal računa, nakon čega će se automatski izvršiti plaćanje.

Ako se odabere plaćanje putem kreditne ili debitne kartice potrebno je upisati broj kartice, datum isteka roka trajanja kartice i CSC troznamenkasti kontrolni broj krtice. Možemo zaključiti da je plaćanje putem PayPal-a znatno jednostavnije i sigurnije od plaćanja izravno putem kreditne ili debitne kartice.

Izvor

Savjeti za povećanje sigurnosti internet plaćanja

Ovi savjeti odnose se na računala s kojih se vrši internet plaćanje/kupovina.

• Koristiti antivirusne programe uz uključeni vatrozid

• Izbjegavati nelicencirane operacijske sustave

• Izbjegavati računala s administratorskim privilegijama

• Uvijek koristiti lozinke koje sadržavaju slova, brojeve i specifične znakove dužine minimalno 10 znakova

• Računalo kod privremenog nekorištenja (iako i na nekoliko minuta) treba uvijek zaključati

• Koristiti najpopularnije internet preglednike (Google Chrome, Mozilla Firefox , Internet Explorer, Safari, Opera) i uključiti opciju automatskog ažuriranja istih

• Izbjegavati nepotrebne i sumnjive dodatke internet preglednika

• Na preuzimati i ne pokretati izvršne datoteke s neprovjerenih lokacija

• Ne otvarati e-mail poruke sumnjivog sadržaja kao ni poveznice i privitke iz istih

• Izbjegavati korištenje CD medija i USB stickova nepoznatog porijekla jer oni mogu biti izvor zaraze zloćudnim softverom

Izvor

Smjernice EBA (European Banking Authority)

Ove smjernice pokazuju EBA-ino stajalište prema nadzornim praksama unutar Europskog sustava financijskog nadzora ili kako bi se pravo Europske unije trebalo primjenjivati u određenom području. Nadležna tijela (na koje se primjenjuju smjernice) bi trebala uvoditi ove smjernice u nadzorne prakse. One definiraju minimalne zahtjeve u području internetskih odnosno online plaćanja. Smjernice:

1. Upravljanje – Pružatelji platnih usluga trebali bi imati implementiranu politiku sigurnosti. Ona se odnosi na određivanje uloga i odgovornosti, upravljanje rizicima s izravnom linijom izvješćivanja uprave kao i linije izvješćivanja za pružene usluge internet plaćanja.
2. Procjena rizika – Prije i za vrijeme provođenja usluga, pružatelji bi trebali provoditi i temeljito dokumentirati procijene rizika u pogledu internetskih plaćanja i povezanih usluga. Također bi trebali uzeti i rizike korištenih tehnologija( tehnološke platforme, aplikacijsku arhitekturu, tehnike programiranja itd.) te poduzeti prijevremene privremene mjere kako bi se minimizirali sigurnosni incidenti i prijevare. Trebali bi poduzeti i potrebne izmjene sigurnosnih mjera, upotrebljenih tehnologija i ponuđenih usluga.
3. Nadziranje i izvješćivanje o incidentima – Trebali bi osigurati dosljedno i cjelovito nadziranje, rješavanje i naknadno praćenje sigurnosnih incidenata, uvažavati prigovore klijenata koji su povezani uz sigurnost. Uspostaviti postupak za izvješćivanje rukovodstva o sigurnosnim incidentima kao i postupak za suradnju s nadležnim tijelima odgovornim za provođenje zakona na polju sigurnosnih incidenata vezanima uz plaćanje i povredu sigurnosti podataka.
4. Kontrola i ovladavanje rizikom – Sigurnosne mjere kod pružatelja platnih usluga trebale bi biti implementirane u skladu s politikom sigurnosti. Takve mjere, obuhvaćaju više razina sigurnosnih zaštita. One se koriste da se neučinkovitost jedne razine zaštite, nadoknadi sljedećom razinom.
5. Sljedljivost - Oni trebaju osigurati sigurnosne mehanizme uz pomoć kojih se detaljno bilježe sve transakcije i podaci o e-ovlaštenjima. Potrebno je također implementirati izradu datoteka koje sadrže sve zapise o dodavanjima, izmjenama i brisanjima podataka o transakcijama i e-ovlaštenjima.
6. Početna identifikacija klijenata, informacija - Svi klijenti se trebaju identificirati u skladu s europskim zakonodavstvom o sprečavanju pranja novca. Pružatelji trebaju klijentu dati odgovarajuće „prethodne“, „redovne“ ili „ad hoc“ informacije o prethodnim zahtjevima koji su neophodni za provedbu sigurnih transakcija.
7. Pouzdana autentifikacija klijenata – Svi pružatelji platnih usluga trebali bi imati strogi postupak autentifikacije klijenata.
8. Prijava i osiguravanje alata za autentifikaciju i/ili softver koji se dostavlja klijentu-Potrebno je klijentu osigurati da se njegova prijava i početno stavljanje na raspolaganje alata za autentifikaciju, koji su uostalom potrebni za uporabu internetskog plaćanja i/ili dostavu softvera za plaćanje odvijaju na siguran način.
9. Pokušaji prijave na sustav, vremensko ograničenje sesije i valjanost autentifikacije – Potrebno je odrediti maksimalan broj pokušaja autentifikacije. Nakon toga broja neuspjelih prijava, nakon čega se pristup blokira. Osigurati vrijeme valjanosti zaporke na strogo nužan minimum. Odrediti maksimalno razdoblje nakon kojeg neaktivne usluge internetskog plaćanja automatski završavaju.
10. Praćenje transakcija – Takvi mehanizmi trebaju biti osmišljeni za sprečavanje, otkrivanje i blokiranje lažnih platnih transakcija, a trebali bi biti aktivni prije konačne autorizacije od strane pružatelja platnih transakcija. Ako se utvrdi da su neke transakcije sumnjive ili visokorizične, trebaju biti podvrgnute posebnom postupku ispitivanja i procijene.
11. Zaštita osjetljivih podataka o plaćanjima – Podaci trebaju biti zaštićeni prilikom pohrane, obrade ili prijenosa. Kod razmjene osjetljivih podataka plaćanja, potrebno je primijeniti sigurno šifriranje cjelokupnog prijenosnog puta (engl. end-to-end) kod dvije strane koje komuniciraju. Pružatelji platnih usluga trebali bi poticati svoje e-trgovce da ne pohranjuju osjetljive podatke o plaćanjima. Ako e-trgovci to ipak rade, pružatelji bi ugovorno trebali zahtijevati od e-trgovaca implementiranje mjera za zaštitu podataka. Kada se te mjere ne bi implementirale, tada oni imaju pravo tražiti raskid ugovora.
12. Edukacija klijenata i komunikacija – Pružatelji bi trebali osigurati edukaciju i savjete klijentima po pitanju sigurne uporabe internetskih plaćanja i ostalih usluga. Također, oni bi trebali uvažavati žalbe i savjete kupaca.
13. Obavijesti, određivanje limita - Pružatelji platnih usluga moraju odrediti limite internetskog plaćanja. Ako žele, mogu svojim klijentima omogućiti kreiranje limita(maksimalan iznos svakog pojedinog plaćanja, ukupan iznos u određenom razdoblju itd.) kao mogućnosti upravljanja profilima korisnika.
14. Pristup klijenta informacijama o statusu iniciranja i izvršenja plaćanja – Pružatelji bi morali svojim klijentima potvrditi iniciranje plaćanja te im dostaviti na vrijeme informacije kod provjere je li transakcija ispravno obavljanja i izvršena.

Izvor

SSL(Security Sockets Layer)

SSL je standarda sigurnosna tehnologija za uspostavu sigurne veze između servera i klijenta (najčešće se radi o web serveru i pregledniku ili email serveru i email klijentu). Radi se o tehnologiji enkripcije podataka. Sve web adrese koje započinju s izrazom https koriste SSL, a ne s http. SSL protokol omogućuje veću razinu privatnosti i sigurnosti od nekriptirane internetske veze. Smanjuje mogućnost da treća strana presretne podatke koji putuju između servera i klijenta. SSL osigurava podatke nekoliko milijuna ljudi na internetu svakog dana, posebice prilikom online transakcija. Iako se SSL tehnički nalazi u aplikacijskom sloju, ali ako ga gledamo iz perspektive programera, radi se o transportnom protokolu koji pruža TCP usluge sigurnosti.

Glavne zadaće SSL protokola su: detektirati promjene (napadač ne smije biti u mogućnosti jednostavno promijeniti podatke), osigurati povjerljivost podataka (tj. treća strana ne smije biti u mogućnosti vidjeti razmijenjene podatke), autentifikacija servera i autentifikacija klijenta. Protokol počinje s fazom provjere spremnosti za prijenos. U toj se fazi dogovara algoritam šifriranja (npr. DES itd.) i ključevi, kao i klijentu autentificiranje servera. Također postoji mogućnost da se i klijent autentificira serveru. Nakon što se klijent i server sinkroniziraju i počne prijenos podataka aplikacije, svi podaci se šifriraju uz pomoć ključeva koji su dogovoreni za vrijeme sinkronizacije. SSL se može smatrati kao sloj između aplikacijskog i transportnog sloja. Na predajnoj strani, on prima podatke, šifrira ih i takve šifrirane podatke predaje na TCP socket. Kod prijemne strane, on čita šifrirane podatke s TCP socketa, dešifrira ih i usmjerava u aplikaciju.

SSL autentifikacija servera – dozvoljava korisniku potvrđivanje identiteta servera. Pretraživač s dopuštenim SSL-om održava listu certificiranih tijela (CA) zajedno sa javnim ključevima. Kod komunikacije klijenta s web serverom na kojem je uključen SSL, klijent od servera dobije certifikat koji sadrži serverov javni ključ. Certifikat digitalno potpisuje CA koji se nalazi na klijentskoj listi CA-ova od povjerenja. To omogućuje pretraživaču da autentificira server prije nego korisnik unese broj kartice za plaćanje.

SSL autentifikacija klijenta – dozvoljava serveru potvrđivanje identiteta korisnika. Isto kao i kod autentifikacije servera, autentifikacija klijenta koristi klijentove certifikate, koji se također izdani od strane CA. Ovakav tip autentifikacije je važan ako npr. banka želi poslati neke važne informacije klijentu pa se želi uvjeriti u identitet primatelja. Implementacija je opcionalna.

Izvor1 Izvor2

Kako prepoznati da stranica koristi SSL?

Najbolji i najjednostavniji način provjere da li stranica koristi SSL je korištenje https:// na početku adrese, kao i prikaz ikone lokota.

Brojne web lokacije koriste SSL samo na nekim određenim stranicama kod kojih se unose osjetljivi podaci (zaporke ili kreditne kartice). Na donjoj slici može se vidjeti primjer kod stranice za trgovanje eBay. SSL se pojavljuje tek kod logiranja u sustav.

SSL zapis

Zapis se sastoji od jednog polja za tip, za verziju, za dužinu, za podatke i za MAC. Tip označava 1 bajt. Postoje 4 tipa: change_cipher_spec, alert, handshake i application_data. Verzija označava verziju SSL protokola (veličine: 2 B). Na primateljevoj strani, SSL koristi polje dužine za uzimanje SSL zapisa iz pristiglog TCP toka bajtova (2 B).

Možemo vidjeti da zapis ima ukupno 5 B u header te nakon toga slijedi do 16kB podataka. Nad podacima se vrši simetrična enkripcija i provjera integriteta podataka. Kada su zapisi već poslani, primatelj i pošiljatelj već znaju koji algoritam trenutno primjenjuju, kao i koje ključeve. Ovaj dogovor je dogovoren u handshake protokolu.

Izvor

Handshake protokol

Njegov je cilj razmjena odabranog algoritma i ključeva koji će se koristiti za zapise. Svaka Handshake poruka počinje s 4 bajtnim zaglavljem (1 bajt označuje tip poruke i 3 bajta za veličinu poruke).

Poruke:

• ClientHello – poruka koju šalje klijent. Unutar koje navodi listu sigurnosnih parametara koje podržava i želi koristiti za uspostavu sigurne komunikacije. Poruka sadrži maksimalnu verziju protokola koju klijent želi podržavati, „the client random“(32 bita, od koji 28 je generirano uz pomoć kriptografskog generatora jakih brojeva), ID sesije, liste „cipher suites“, liste algoritama kompresije za koje klijent zna te ostalih opcionalnih dodataka.

• ServerHello – poruka koju šalje server, specificira sigurnosne servise koji će se koristiti komunikaciji. Sastoji se od verzije protokola koju će koristiti server i klijent kod komunikacije, the „server random“, session ID za tu konekciju, cipher suite koji će se koristiti, algoritam kompresije koji će se koristiti i ostalih opcionalnih dodataka.

• Certificate – poruka koja sadrži digitalni certifikat servera (sadrži njegov javni ključ).

• ServerKeyExchange - poruka od servera koja sadrži kriptografske ključeve za sigurnu komunikaciju
• CertificateRequest - server šalje zahtjev klijentu da mu klijent pošalje svoj certifikat.
• ServerHelloDone – poruku šalje server. Poruka koja klijentu označava da je server završio sa zahtjevima za uspostavu sigurne komunikacije.

• Certificate – Poruka u kojoj klijent šalje svoje certifikate, ako ih server zahtjeva.
• ClientKeyExchange - poruka klijenta koja sadrži njegove ključeve

Ako je sve zadovoljeno, klijent šalje poruku ChangeCipherSpec. Ona nema neku posebnu svrhu. Samo se označava početak korištenja sigurne komunikacije s prije dogovorenim parametrima. Sadrži vrijednost jednog bajta i zapisana je vrijednost 1. Poruku šalje i server.

Izvor1 Izvor2 Izvor3

Alert

Alert poruke su poruke koje označavaju grešku ili upozorenje drugoj strani u komunikaciji. Postoji važna alert poruka: „close_notify“. Radi se o poruci koju šalje klijent ili server kada želi završiti konekciju. Također suprotna strana mora odgovoriti i tek se tada završava konekcija i spajanje. Alert poruke su osigurane s enkripcijom i MAC.

Izvor

Literatura

[1] https://www.rba.hr/documents/10279/1629529/Upute+za+sigurnost+internetskih+placanja

[2] http://old.hnb.hr/propisi/propisi_eu-rh/smjernice/h-smjernice-sigurnost-internet-placanja_12-2014.pdf

[3] https://upload.wikimedia.org/wikipedia/commons/d/d2/EBA_logo.png

[4] https://www.paypal.com/

[5] http://hrcak.srce.hr/file/111604

[6] http://1.bp.blogspot.com/-25U6GbQb-uI/UFrT23PL-tI/AAAAAAACk_c/afRANbQ0nB8/s400/ssl_twoway.gif

[7] http://security.stackexchange.com/questions/20803/how-does-ssl-tls-work

[8] http://ftn.mrdnise.com/fajlovi/18-Umrezavanje_racunara_III_izdanje915.pdf

[9] https://bpd.amres.ac.rs/doku.php?id=amres_cbp_wiki:bpd_106_dodatakb_ssl

[10] http://www.ebay.com/