1. Введение
2. Что такое протокол SSL?
3. Как узнать поддерживает ли Web-браузер защищенный обмен данными.
4. Как выглядит SSL сертификат?
5. Предупреждения системы безопасности Web-браузера.
6. Как установить SSL сессию защищенного обмена данными?
7. Открытый и секретный ключи.
8. Когда желательно применять SSL сертификаты?
9. Какую роль играет центр сертификации thawte?
10. Значимость аутентификации Web-сервера.
11. Глоссарий терминов.

Компания thawte является наиболее известным в мире центром сертификации. Применение SSL сертификата обеспечивает защищенный обмен данными между веб-сервером Вашей компании и пользователями, что создает у клиентов ощущение безопасности при проведении Интернет транзакций и в конечном итоге способствует развитию и укреплению Вашего бизнеса.

Цель данного руководства дать вводную базовую информацию об SSL протоколе и механизме его работы. Также обсуждаются различные варианты применения SSL сертификатов и ситуации, когда оно желательно. Детально обсуждается, как можно протестировать SSL сертификат на вашем веб-сервере.

Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Этот протокол интегрирован в большинство браузеров и веб серверов и использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA.

Для осуществления SSL соединения, необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Цифровой сертификат это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой третьей стороны выступают центры сертификации, в частности компания thawte.

Протокол SSL обеспечивает защищенный обмен данными за счет сочетания двух следующих элементов:

• Аутентификация –
  Цифровой сертификат привязан к конкретному домену сети Интернет, а центр сертификации проводит проверки, подтверждающие подлинность организации, а затем уже создает и подписывает цифровой сертификат для этой организации. Такой сертификат может быть установлен только на тот домен веб сервера, доля которого он прошел аутентификацию, что и дает пользователям сети Интернет необходимые гарантии.
• Шифрование –
  Шифрование это процесс преобразования информации в нечитаемый для всех вид кроме конкретного получателя. Оно основывается на необходимых для электронной коммерции гарантиях конфиденциальности передачи информации и невозможности ее фальсификации.

Один из признаков того, имеет ли веб сайт SSL сертификат, вы найдете в строке состояния (status bar) браузера. Обратите внимание на значок в виде замочка. Если Интернет страница не имеет сертификата, в строке состояния браузера Internet Explorer (IE) замочка не будет. Если же устанавливается защищенное соединение по SSL протоколу, то в строке состояния появляется замок. В Web-браузере Netscape используются значки как «открытого», так и «закрытого» замка. Соответственно, это означает незащищенное и защищенное соединение с веб сайтом.

Другой признак вы найдете в строке адресов. Если между браузером и веб-сервером устанавливается защищенное соединение, то префикс адреса «http» сменится на «https». Например, «http://cgp.dol.ru» превратится в «https://cgp.dol.ru».

Также возможно получить дополнительную информацию о степени защищенности конкретного SSL сеанса. В браузере IE просто наведите курсор мыши на замочек, и Вы увидите битность (длину) ключа шифрования.

В браузере Netscape двойной щелчок по значку замка покажет вам SSL сертификат. Битность ключа шифрования Вы найдете на первой закладке сертификата.

Чтобы увидеть детали SSL сертификата Web-сайта, сделайте двойной щелчок мыши по закрытому замочку, который появляется внизу страницы в строке состояния.

Так выглядит цифровой сертификат для браузера IE 6.0:

SSL сертификат Web-сервера позволяет посетителям Вашего сайта видеть следующую информацию (детальная информация о сертификате представлена на закладке «Состав»):

• Домен сети Интернет, для которого выпущен этот сертификат. Эта информация позволяет убедиться в том, что данный SSL сертификат Web-сервера был выпущен именно для вашего хоста и домена (www.mydomain.com).
• Владелец сертификата. Эта информация является дополнительной гарантией. Ведь посетитель может увидеть имя того, с кем ведет бизнес.
• Город, где зарегистрирована компания-владелец сертификата. Эта информация еще раз убеждает посетителя, что он имеет дело с реальной организацией.
• Срок действия сертификата. Эта информация особенно важна, поскольку показывает пользователю, что ваш цифровой сертификат действующий.

Ваш Web-браузер имеет встроенную систему безопасности. Если вы пытаетесь зайти на Web-сайт, который имеет проблемы с сертификатом, эта система безопасности может выдать, например, такое предупреждение.

В данном примере, предупреждение гласит о том, что сайт, на который Вы зашли, действительно использует защищенный протокол, однако никакая третья сторона не гарантирует Вам того, что Вы работаете на веб-сервере именно той компании, с которой хотите иметь дело и что Ваша информация не будет получена кем-то другим.

При посещении же Web-сайта с действующим сертификатом пользователь будет проинформирован о том, что данный сайт имеет цифровой сертификат от центра сертификации, такого как компания thawte, и все данные, которые пользователь предоставляет данному сайту, будут зашифрованы. Проверяя сертификат, клиент может убедиться в том, что Web-сайт принадлежит реальной зарегистрированной компании, а также что он обращается к доменному имени, которым владеет именно эта компания.

Когда вы устанавливаете сетевое соединение с защищенным Web-сервером, таким как https://cgp.dol.ru, сервер должен вначале сам аутентифицировать клиентский Web-браузер, что осуществляется с помощью цифрового сертификата, после чего устанавливается защищенное соединение.

Следующая диаграмма показывает шаги, необходимые для установки защищенной сессии по протоколу SSL.

В ходе этой процедуры Web-браузер проверяет, чтобы:

• доменное имя в сертификате соответствовало тому домену, от которого идет запрос на защищенное соединение
• сертификат не был просрочен
• центр сертификации, подписавший сертификат домена, входил в число доверенных вашего Web-браузера

Этапы этой процедуры проходят без пауз, так что пользователь «не чувствует» этой внутренней работы. Сертификат служит электронным документом, независимым образом заверяемым третьей стороной, такой как компания thawte, которая гарантирует, что домен принадлежит именно этой реально существующей компании. Действующий сертификат дает пользователю гарантию конфиденциальности при передаче прошедшему аутентификацию узлу Интернет. Передача информации осуществляется защищенным образом.

Когда Вы запрашиваете сертификат для домена своей компании, то запускаете на своем сервере процесс генерации пары ключей – открытого и секретного. Cекретный ключ устанавливается на сервере и при этом очень важно, чтобы никто кроме Вас не имел доступа к нему. На основе секретного ключа создается цифровая подпись, которая является своеобразной электронной печатью Вашей компании. Если Вы вдруг потеряете секретный ключ, то больше не сможете использовать свой сертификат. Необходимо создавать резервные копии секретного ключа, что является неотъемлемым элементом управления безопасностью информации.

Парный открытый ключ устанавливается на web-сервер и является частью цифрового сертификата. Открытый и секретный ключи связаны математической закономерностью, но не идентичны. Желающий установить с Вами защищенный сеанс (при помощи SSL протокола) клиент обращается к открытому ключу вашего сертификата и с помощью этого ключа шифрует посылаемую Вам информацию. Этот процесс происходит мгновенно и незаметно для пользователя. Расшифровать эту информацию можно только с помощью секретного ключа сервера. Это дает гарантию клиенту, что никакая третья сторона не получит доступ к его информации.

Решение о применении SSL сертификата исходит из важности обеспечения конфиденциальной передачи данных в сети Интернет. Например, при проведении через ваш Web-сайт финансовых транзакций вопрос о применении SSL сертификата самоочевиден. Если вы обрабатываете значимую персональную информацию о клиентах, такую как номер социального страхования или другую подобную информацию, то применение SSL сертификата имеет серьезные основания. Особенно если вопросы конфиденциальности и информационной безопасности ваших клиентов в числе высокоприоритетных.

В сфере бизнеса применение SSL сертификатов гарантирует клиентам, что риск утечки информации при ее передаче через открытые сети исключен. Само по себе это уже дает очевидное преимущество, ведь многие виды коммерческой деятельности строятся на основе доверия к сетевым партнерам. Так что если ваш успех в бизнесе зависит от установления доверительных отношений с клиентами и проведения онлайновых транзакций, то применение SSL сертификата становится жизненно необходимым.

Компания thawte является центром сертификации, который на основе протокола SSL выпускает различные цифровые сертификаты для организаций и отдельных узлов сети Интернет. В зависимости от применяемого ПО компания thawte проводит различные уровни аутентификации.

Цифровые сертификаты от компании thawte используются на большинстве Web-серверов и приняты как доверенные в большинстве браузеров, так что можете быть уверены, что вы приобретаете цифровой сертификат, который дает клиенту уверенность, что он общается именно с Вами и получает от Вас неискаженные данные. Такая уверенность необходима при проведении онлайновых транзакций.

Информация - это основа жизнеобеспечения вашего бизнеса. Чтобы обеспечить цельность (защиту от фальсификации) и конфиденциальность, необходимо идентифицировать тех, с кем вы имеете дело, а также быть уверенными в надежности получаемых данных. Аутентификация поможет вам установить доверие между сторонами при проведении любых видов транзакций. К числу средств обеспечения надежности относится предотвращение следующих явлений:

«Спуфинг» (имитация соединения):

Несанкционированные действия:

Неправомочное разглашение информации:

Фальсификация данных:

Асимметричный алгоритм шифрования

Алгоритм шифрования на основе открытого и связанного с ним секретного ключа. Этот алгоритм применяется для шифрования и дешифрования сообщений. Посылая зашифрованное сообщение, пользователь шифрует информацию открытым ключом получателя. После получения сообщение расшифровывается секретным ключом получателя.

Использование различных ключей для шифрования/дешифрования известно как применение «однонаправленных функций с черным ходом». То есть открытый ключ используется лишь для того, чтобы зашифровать сообщение, но с помощью него то же самое сообщение расшифровать нельзя. При использовании современных методов шифрования, не зная секретный ключ, практически невозможно смоделировать функцию, обратную функции шифрования.

Центр сертификации

Организация (такая как thawte), которая выпускает и контролирует учетные данные пользователей и предоставляемые ими открытые ключи, используемые для шифрования сообщений.

Запрос на подпись сертификата

Так называется открытый ключ, генерируемый Вами на Вашем сервере и несущий достоверную информацию о данном сервере и организации. Этот ключ используется для формирования запроса на получение сертификата от компании thawte.

Секретный ключ

Секретный ключ - это последовательность символов, используемая для дешифрования сообщений, зашифрованных с помощью парного ему открытого ключа. Криптостойкость зависит от надежности хранения секретного ключа.

Открытый ключ

Открытый ключ - это последовательность символов, используемая для шифрования сообщений, посылаемых держателю парного ему секретного ключа. Открытый ключ можно свободно передавать без угрозы раскрытия информации третьим лицам, что увеличивает эффективность и удобство защищенного обмена данными.

Инфраструктура открытого ключа

Алгоритм защищенного обмена данными внутри организаций, отраслей промышленности, в национальном масштабе или даже международном. Он построен на асимметричном криптографическом алгоритме и используется для шифрования идентификаторов, имен, документов и сообщений (также его называют «система шифрования с открытым ключом»). Основными в инфраструктуре открытого ключа являются центры сертификации, такие как компания thawte, которые выпускают и отменяют действие цифровых сертификатов, на основе которых происходит аутентификация отдельных людей и организаций в такой открытой системе, как Интернет.

Симметричный алгоритм шифрования

Криптографический алгоритм, где для шифрования и дешифрования используется один и тот же ключ. Распространению этого метода препятствует риск, связанный с необходимостью защищенного распределения ключей, которые должны быть известны только посылающей и принимающей стороне, но никак не третьим лицам.