Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF3 - WRZESIEŃ 2015


PYTANIE NR 39.
Automatyczna weryfikacja właściciela strony udostępnianej przez protokół HTTPS jest możliwa dzięki
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
W HTTPS przeglądarka automatycznie uwierzytelnia serwer na podstawie certyfikatu przedstawionego w trakcie negocjacji połączenia. Certyfikat jest weryfikowany przez łańcuch zaufania do urzędu certyfikacji i powiązany z nazwą domeny. Klucz prywatny, WHOIS ani dane kontaktowe nie dają takiej automatycznej weryfikacji.

Pełne wyjaśnienie:

Automatyczna weryfikacja właściciela/strony w praktyce oznacza, że klient (np. przeglądarka) potrafi uwierzytelnić serwer, z którym zestawia połączenie HTTPS. Dzieje się to w warstwie TLS: serwer przedstawia certyfikat (potocznie nazywany "SSL", choć współcześnie chodzi o TLS), zawierający m.in. nazwę domeny oraz podpis wystawcy (urzędu certyfikacji).

Przeglądarka wykonuje dwie kluczowe kontrole:

  • Walidacja zaufania: czy certyfikat jest ważny i czy można zbudować łańcuch do zaufanego urzędu certyfikacji (CA).
  • Dopasowanie nazwy: czy domena odwiedzana przez użytkownika pasuje do pól certyfikatu (np. CN/SAN).

Dlatego odpowiedź "certyfikatowi SSL" jest poprawna w sensie egzaminacyjnym: to właśnie certyfikat umożliwia przeglądarce automatycznie sprawdzić, że serwer jest tym, za kogo się podaje (dla danej domeny) i że klucz użyty do zestawienia szyfrowania jest powiązany z tym serwerem.

Pozostałe odpowiedzi nie spełniają warunku "automatycznej weryfikacji":

  • "kluczom prywatnym" – klucz prywatny jest tajny i służy do kryptograficznego udowodnienia posiadania klucza podczas handshake’u, ale sam w sobie nie jest dla klienta "metryką tożsamości". To certyfikat (podpisany przez CA) wiąże klucz publiczny z domeną/tożsamością.
  • "danym kontaktowym na stronie" – są elementem treści WWW i mogą być łatwo sfałszowane; przeglądarka nie ma standardowego mechanizmu automatycznego potwierdzania ich prawdziwości.
  • "danym whois" – WHOIS dotyczy rejestracji domeny, bywa niepełny/ukryty i nie jest integralną częścią mechanizmu HTTPS/TLS. Przeglądarka nie używa WHOIS do oceny, czy połączenie jest bezpieczne.

Wskazówka egzaminacyjna: jeśli w pytaniu pojawia się HTTPS i "weryfikacja" po stronie klienta, najczęściej chodzi o certyfikat serwera i PKI, a nie o informacje publikowane na stronie lub w rejestrach.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co w HTTPS jest sprawdzane, żeby potwierdzić tożsamość strony?
Sprawdzany jest certyfikat serwera: jego ważność, łańcuch do zaufanego urzędu certyfikacji oraz dopasowanie nazwy domeny do pól certyfikatu. Dzięki temu przeglądarka może automatycznie uwierzytelnić serwer dla danej domeny.
Jaką rolę pełni certyfikat w połączeniu HTTPS?
Certyfikat wiąże klucz publiczny z domeną/tożsamością serwera i jest podpisany przez zaufany urząd certyfikacji. To umożliwia klientowi ocenę, czy łączy się z właściwym serwerem oraz bezpieczne zestawienie szyfrowania w TLS.
Dlaczego dane WHOIS nie wystarczają do weryfikacji strony w przeglądarce?
WHOIS opisuje rejestrację domeny, ale nie jest częścią mechanizmu TLS i nie jest automatycznie używany przez przeglądarkę do oceny bezpieczeństwa. Dane WHOIS mogą być ukryte lub nieaktualne, więc nie dają pewnego uwierzytelnienia w trakcie połączenia.
Czy klucz prywatny serwera potwierdza właściciela strony?
Klucz prywatny pozwala serwerowi kryptograficznie udowodnić, że kontroluje klucz powiązany z certyfikatem, ale sam nie "opisuje" właściciela dla klienta. To certyfikat (z podpisem CA) stanowi podstawę automatycznej weryfikacji tożsamości.
Jak przeglądarka sprawdza, czy certyfikat pasuje do domeny?
Przeglądarka porównuje domenę z adresu URL z nazwami zapisanymi w certyfikacie (np. w polu SAN). Jeśli nie ma dopasowania, pojawia się ostrzeżenie. To chroni przed sytuacją, gdy certyfikat jest poprawny, ale wystawiony dla innej domeny.
Co oznacza ostrzeżenie o nieprawidłowym certyfikacie HTTPS?
Zwykle oznacza problem z zaufaniem: certyfikat wygasł, jest wystawiony dla innej domeny, brakuje poprawnego łańcucha do zaufanego CA albo jest unieważniony. W praktyce może to też wskazywać na atak typu MITM lub błędną konfigurację serwera.
Czy certyfikat HTTPS zawsze oznacza, że strona jest bezpieczna?
Certyfikat potwierdza głównie tożsamość serwera dla domeny i umożliwia szyfrowanie transmisji. Nie gwarantuje, że treść strony jest uczciwa (np. phishing może działać przez HTTPS). Dlatego trzeba oceniać też domenę i kontekst usługi.
Jakie są najczęstsze błędy uczniów w pytaniach o HTTPS i certyfikaty?
Częste są pomyłki między szyfrowaniem a uwierzytelnianiem: wybieranie "klucza prywatnego" zamiast certyfikatu. Inny błąd to traktowanie WHOIS lub danych kontaktowych jako mechanizmu przeglądarki, choć to tylko informacje poboczne, poza TLS.
Kiedy mówi się o "certyfikacie SSL", a kiedy o TLS?
W praktyce wiele osób mówi "SSL" historycznie, ale współczesne przeglądarki i serwery używają protokołu TLS. Na egzaminach termin "SSL" bywa skrótem myślowym dla certyfikatu używanego w HTTPS, czyli certyfikatu w ekosystemie TLS/PKI.
Jak przygotować się do zadań egzaminacyjnych o certyfikatach HTTPS?
Warto przećwiczyć: podgląd certyfikatu w przeglądarce, rozpoznanie błędów (wygasły, zła domena, brak zaufania), zrozumienie pojęć CA/łańcuch zaufania oraz różnicę: certyfikat identyfikuje serwer, a szyfrowanie chroni transmisję.
info

Statystycznie 65% uczniów zna prawidłową odpowiedź. średnie

W praktyce zawodowej kluczowe jest to, że w HTTPS przeglądarka automatycznie uwierzytelnia serwer na podstawie certyfikatu przedstawionego w trakcie negocjacji połączenia.

Źródła:

  • RFC 2818: HTTP Over TLS, Section "Server Identity" (2000) - https://www.rfc-editor.org/rfc/rfc2818 (dostęp 2026-02-28)
  • RFC 5280: Internet X.509 Public Key Infrastructure Certificate and CRL Profile (2008) - https://www.rfc-editor.org/rfc/rfc5280 (dostęp 2026-02-28)
  • RFC 8446: The Transport Layer Security (TLS) Protocol Version 1.3 (2018) - https://www.rfc-editor.org/rfc/rfc8446 (dostęp 2026-02-28)

Materiały:

  • Dokumentacja przeglądarek: opis walidacji certyfikatów (sekcja pomocy/bezpieczeństwo)
  • RFC dotyczące HTTPS i certyfikatów X.509 (materiał źródłowy do definicji mechanizmu)
  • Materiały edukacyjne o PKI i łańcuchu zaufania (kursy podstaw administracji sieci)
Zobacz też:

Aktualizacja pytania: 31.03.2026

Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego