- •Терминология ssl
- •Что такое ssl
- •Использование ssl
- •Протокол ssl - что это такое?
- •Как узнать, поддерживает ли web-браузер защищенный обмен данными?
- •Как выглядит ssl сертификат?
- •Как установить ssl сессию защищенного обмена данными?
- •Открытый и секретный ключи
- •Когда желательно применять ssl сертификаты?
- •Какую роль играет центр сертификации thawte?
- •Значимость аутентификации web-сервера
- •Безопасность http и покупок в Интернете на пальцах
- •Принцип работы ssl Как работает ssl
- •Многослойная среда ssl
- •Уровень подтверждения подключения состоит из трех подпротоколов:
- •Установление подлинности участников
- •Шифрование данных
- •Хэширование
- •Уровень записи
- •Использование ssl
- •Защита с гарантией в 1 млн. Долларов
- •Виды ssl сертификатов в зависимости от уровня доверия ssl сертификаты бывают:
- •По поддержке количества доменов и поддоменов, ssl сертификаты бывают:
- •В зависимости от владельца, ssl сертификаты бывают
- •1. Используется групповой (WildCard)сертификат, поддомен которого направлен на другой сайт
- •2. Используется стандартный сертификат и разные пути директорий.
- •3. Используется сертификат, интегрированный с электронным магазином
- •5. Панель управления хостингом поддерживает использование сертификата, установленного на сервере.
- •Сертификаты удостоверяющих центров (уц)
- •Создание самоподписного ssl-сертификата и настройка хоста Apache 2 для работы по https
Использование ssl
Чаще всего, этот протокол используется в составе любого Интернет-ресурса, осуществляющего манипуляции с личными или финансовыми данными посещающих его пользователей Интернета. Чаще всего, это банки, Интернет-магазины или любые другие виртуальные места, в которых приходящие по своим делам пользователи, вынуждены передавать свои личные, и зачастую секретные, данные. Этого может потребовать и простая регистрация, и процедура оплаты какого-либо товара, или любая другая процедура, при которой пользователи вынуждены честно выдавать свои паспортные данные, PIN-ы и пароли. Если бы все жители земного шара являлись бы порядочными и честными людьми, необходимость бы в использовании SSL, отпала бы сама собой, за не надобностью, ведь защищать информацию было бы просто не от кого. Но, поскольку в реалии мы имеем несколько другое положение вещей, то приходится думать о том, как защитить передаваемую пользователем информацию от посягательств со стороны третьих лиц. Используя обычный HTTP протокол, мы передаем и получаем информацию в чистом, не зашифрованном виде. Таким образом, передаваемая нами информация, может быть легко перехвачена, и использована совершенно посторонним человеком.
Помимо этого, существует и другая, на первый взгляд просто смешная угроза. Представьте, ваш банк расположен по адресу http://MyHomeBank.com. Теперь представьте, что некий злоумышленник, регистрирует другой адрес, скажем http://MyH0meBank.com, и создает на нем сайт, внешне похожий на сайт вашего банка. Эти адреса так похожи, что рано или поздно, вы наверняка ошибетесь, и случайно попадете не в банк, а на сайт злоумышленника. Ну а далее, схема примерно ясна - ваша персональная информация становится известна третьему лицу. Таким образом, появляются два довольно веских довода, первый, передаваемую информацию надо шифровать, и второй, мы должны быть уверены, что передаем информацию именно туда, куда нужно. Именно для решения этих двух вопросов и используется SSL. Теперь, рассмотрим принцип действия этого протокола не много подробнее.
HTTP и HTTPS
Попытки разработать универсальный сетевой протокол, способный обеспечить надлежащий уровень безопасности при работе в Интернет, предпринимались достаточно давно, и достаточно большим количеством различных фирм и организаций. HTTP протокол предлагал достаточно простой, парольный способ идентификации того или иного пользователя. В момент соединения с сервером, пользователь вводил пароль, пароль передавался серверу в открытом, не зашифрованном виде, и далее, проверив соответствие пароля и имени пользователя, сервер открывал или не открывал затребованное соединение. Далее, по мере развития Интернета, было создано несколько различных безопасных протоколов. Официальный протокол, разработку которого спонсировала IETF, назывался Secure HTTP (SHTTP),(http://www.faqs.org/rfcs/rfc2660.shtml).
Протокол ssl - что это такое?
Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Этот протокол интегрирован в большинство браузеров и веб серверов и использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA.
Для осуществления SSL соединения необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Цифровой сертификат - это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой третьей стороны выступают центры сертификации, в частности, компания thawte. Компания thawte является наиболее известным в мире центром сертификации.
Протокол SSL обеспечивает защищенный обмен данными за счет сочетания двух следующих элементов:
Аутентификация Цифровой сертификат привязан к конкретному домену сети Интернет, а центр сертификации проводит проверки, подтверждающие подлинность организации, а уже затем создает и подписывает цифровой сертификат для этой организации. Такой сертификат может быть установлен только на тот домен web-сервера, доля которого он прошел аутентификацию, что и дает пользователям сети Интернет необходимые гарантии.
Шифрование Шифрование - это процесс преобразования информации в нечитаемый для всех вид, кроме конкретного получателя. Оно основывается на необходимых для электронной коммерции гарантиях конфиденциальности передачи информации и невозможности ее фальсификации.