Obsah článku
Provozovat weby na zabezpečeném HTTPS se pomalu stává standardem. E-maily ale vesele posíláme nezabezpečené. Jak to změnit?
O přechodu na HTTPS se mluví všude a i já jsem přispěl svojí troškou do mlýna. O tom, že podobné nebezpečí jako na nezabezpečených webech číhá v e-mailech, se ale moc nemluví.
E-mail je jako pohlednice
Většina laických uživatelů e-mailu se patrně domnívá, že když se k němu hlásí heslem, je to bezpečný způsob komunikace. Opak je pravdou. Je to podobné, jako byste si mysleli, že když máte zamčenou tužku v šuplíku, je bezpečná pohlednice, kterou s ní napíšete. Váš e-mail si stejně jako pohlednici přečte kdokoliv, okolo koho e-mail zrovna letí. A že je na cestě od vás k adresátovi takových lidí potenciálně dost, na to vemte jed – správce vašeho poštovního serveru, správce poštovního serveru adresáta a několik serverů na cestě, po kterých e-mail putuje.
A této „pohlednici“ lidé bez jakýchkoliv problémů svěřují smlouvy, hesla, interní firemní dokumenty, osobní údaje atd. Vsadím se, že se najde spousta lidí, kterým nedělá problém poslat si mailem přístupy do banky.
Jak ochránit citlivé informace posílané e-mailem
Podepisujte e-maily svým certifikátem
Podpis vaším certifikátem vám nepomůže před nechtěnými šmíráky. I nadále může podepsanou poštu někdo cestou přečíst, ale podpis vás chrání před tím, aby někdo e-mail cestou změnil nebo aby se někdo vydával za vás.
Kdokoliv vám může poslat e-mail z mé adresy a tvrdit, že je Tomáš Krause. Stejně tak může kdokoliv chytit e-mail pro vašeho obchodního partnera, změnit v něm třeba cenu zakázky a nechat ho doručit. Adresát nic nepozná.
Šifrujte
Pokud posíláte e-mailem cokoliv, co byste nenapsali na pohlednici, zašifrujte to. Máte tak jistotu, že obsah přečte pouze adresát a nikdo jiný. E-mail v tomto případě putuje internetem jako shluk nesmyslných znaků a teprve v počítači adresáta se rozšifruje na čitelný text.
Jak šifrovat e-maily zdarma
Ano, čtete dobře, používat e-mail bezpečně vás nemusí stát ani korunu. Poskytovatelů certifikátů pro e-mail zdarma je určitě více. Já mám po faktickém konci StartSSL čerstvou zkušenost s certifikáty Comodo a musím říct, že jednodušší získání certifikátu už asi být nemůže. Na uvedeném URL kliknete na získání certifikátu, vyplníte svůj e-mail a na něj vám obratem přijde odkaz, ze kterého se certifikát stáhne.
UPDATE 12. 9. 2019: zdá se, že Comodo předalo certifikáty jiné firmě a ta je už nenabízí zdarma 🙁
V prostředí MAC OSX pak stačí kliknout na certifikát, potvrdit, že se má vložit do klíčenky a to je vše. Pak už jen v mailovém klientu kliknete na podepsat nebo šifrovat.
V prostředí Windows to bude podobné, ale protože ho neznám, odkazuji na nápovědu Comodo pro Outlook a Thunderbird.
Jak šifrovat na freemailech (Seznam, Gmail)
Ani na freemailech není problém certifikát používat, pokud máte mailového klienta a přistupujete k poště přes IMAP ši POP3 – v takovém případě není rozdíl mezi freemailem a jiným poštovním serverem. Pokud nechcete používat klienta a přistupovat k poště chcete jen přes webové rozhraní, budete mít problém u Seznamu, který s certifikáty podle mně dostupných informací pracovat neumí. Lépe je na tom Gmail, který přes webové rozhraní umí pracovat i s certifikáty, pokud si doinstalujete rozšíření do prohlížeče – stačí vyhledat na Googlu gmail s/mime extension váš_prohlížeč.
Certifikáty pro firemní použití
Stejně jako u HTTPS existují samozřejmě i placené emailové certifikáty pro firemní použití, ale nic vám nebrání používat certifikáty pro osobní použití i ve firmě. Na funkčnost certifikátu nemá cena vliv. Nicméně pokud jste banka nebo velká korporace, asi sáhnete po „značkovém“ certifikátu, který například obsahuje i název firmy.
Používání certifikátu
Já osobně automaticky podepisuji všechny e-maily, čímž má každý možnost získat můj veřejný klíč a tím pádem mi následně e-maily i šifrovat. Abyste si s někým mohli komunikaci šifrovat, musíte si nejprve vyměnit jen podepsané e-maily.
Nevýhody šifrování
Výhody jsou jasné – nikdo se nemůže vydávat za vás a nikdo nemůže číst vaší poštu.
Nevýhody ale existují (je ale třeba zdůraznit, že pravděpodobně nebudete šifrovat vše a nešifrovaných a pouze podepsaných e-mailů se níže uvedené netýká):
- pokud mail šifrujete v klientu a k poště přistupujete někdy i přes web, šifrovanou zprávu tam nepřečtete (pokud to není Gmail a nemáte rozšíření, viz výše)
- stejně tak můžete mít problém v mobilu – pokud certifikát nedostanete i do něj, opět v něm v klientu zašifrovanou zprávu neuvidíte. Obecně: v každém zařízení, které používáte pro přístup k poště, musíte mít certifikát, abyste ji rozšifrovali.
- certifikáty se obnovují obvykle po roce, ale ty staré nesmíte smazat, pokud se chcete dostat ke starší zašifrované poště. Jakmile nemáte certifikát, kterým byla zpráva zašifrována, máte smůlu.
Závěr
Podepisování a šifrování e-mailů je tak trochu známá pohádka o vejci a slepici. Lidé nevyžadují certifikáty a šifrovanou komunikaci. A ti, co certifikáty mají, nemají s kým šifrovat, protože to lidé nevyžadují a při požadavku na certifikát pro bezpečné poslání smlouvy na vás koukají tak trochu jako na blázna.
Nicméně stejně jako web dospěl k https, dospěje jednou e-mail k zabezpečené komunikaci. Posílat si všechno na „pohlednici“ je dlouhodobě neudržitelné.