Что такое SSL и с чем его кушать. Что такое SSL и зачем он нужен

Некоторые сайты отображают пиктограмму замка возле адреса. Его цвет может быть зеленый, золотой, серый. Иногда такого замка нет или он перечеркнут. В некоторых случаях можно увидеть строку зеленого цвета возле адреса с названием сайта. Наличие замка или такой строки указывает на то, что сайт имеет установленный SSL сертификат, и данные передаются по протоколу с защитой.

SSL сертификат что это простыми словами

SSL – криптографический протокол для безопасной связи, используемой за счет аутентификации ключей обмена с симметричным шифрованием. Это и позволяет оставаться сообщениям скрытыми. Изначально он был разработан для того, чтобы добавить протокол HTTPS в веб-браузер.

Шпионские директивы часто пытаются отвлечь врага и не дать ему прочесть сообщение, которое будет отправлено в другую страну. Поэтому существует специальный шифр, которым пользуются в такой ситуации. Можно рассмотреть на примере произведения Стругацких «Пикник на обочине». Для начала следует поразмыслить над написанием обычного письма, после чего каждое слове заменяется соответствующую цифру.

Тогда 137 будет означать, что расположение слова приходится на первую страницу, третью строку и седьмое слово. Если получателю отправить «137-536-9978», то придется взять книгу Стругацких и начать расшифровывать, но в обратной последовательности. Если есть вероятность перехвата такого письма, то никто не сможет понять, что там написано. Это потому, что перехватчик не в курсе, какую книгу мы берем за основу шифрования.

Принцип работы SSL аналогичен. При написании и отправке сообщения применяется каждый раз такая новая книга. Поэтому очень сложно взломать и прочитать зашифрованное письмо. Поэтому данное шифрование по праву может считаться безопасным.

А что такое SSL сертификат, и что с ним делать – это мы обсудим ниже.

Значение SSL сертификатов

Многие не знают, зачем нужен SSL сертификат сайту. Его наличие принесет огромную выгоду: сохраняя под защитойвводимые личные данные:

• пароль и логин для входа в аккаунт;
• номер карты банка;
• адрес электронной почты;
• контактный телефон.

Его установка будет важна для сайтов крупных компаний, финансовых организаций, систем для проведения платежей, интернет-магазинов, соцсетей, государственных организаций и так далее.

Что дает SSL сертификат? Владельцы различных сайтов заинтересованы в его установке. Это не только повышает уровень безопасности, но и значительно улучшает репутацию сайта. Ведь меры, которые помогают обезопасить личные данные от мошенников, – это лучшая забота о своих пользователях. При наличии SSL протокола нет повода для беспокойства сохранности конфиденциальности. Взломать шифр нереально, так как используется.

Основное назначение SSL сертификата – это гарантировать полную анонимность и зашифрованность переданного сообщения. Благодаря аутентификации ключами и анонимному обмену, способ шифрования является безопасным.

Разобравшись для чего необходим SSL сертификат, поговорим о его видах и особенностях.

Разновидность

Такие сертификаты имеют разную стоимость, что определяет их уровень престижности. Ценообразование зависит от сложности проверки и технических возможностей. Так что выбирая его для установки, определитесь с объемом и направленностью проекта.

Зеленую строку лучше выбирать организациям коммерческого типа.

Для сайта с личным блогом можно выбрать более простую версию. Также может быть защищена лишь одна страница или несколько порталов одновременно.

Разновидности сертификатов

Для физических лиц, имеющих личный проект, блог или форум, оптимальным станет установка SSL сертификата для домена (проверяет доменное имя).

Особенно это подойдет владельцам порталов, на которых пользователи регистрируют свои аккаунты, делают подписки на электронную рассылку, производят оплату курсов или услуг. Для того чтобы его выпустить, не понадобиться документальное подтверждение. Средний строк получения составляет около 15 минут.

Для бизнеса (малый и средний), что развивает корпоративный сайт, интернет-магазин агентство лучше его использовать с организационной проверкой. Это важно, если происходит хранение личных данных, переписки между пользователями, производится покупка товаров или оплата услуг.

Получить такой SSL сертификат для сайта можно после проверки сертификационным центром прав на домен и регистрацию организации. Срок проверки занимает 1-3 дня.

Для большого бизнеса – государственная организация, банки, крупные магазины и центры требуются дополнительные проверки. Особенно, если происходит хранение ценных документов, крупных денег и данные платежных систем. Расширенная проверка занимает около 2 недель.

Несколько доменов. Установка мультидоменного типа нужна для почтовых серверов, холдингов, торговых сетей. Пользуясь одним SSL сертификатом, можно защищать до 100 доменов одновременно.

Что будет если не продлить SSL сертификат? Влияет ли эта ошибка на поведение ваших пользователей?

Что видят пользователи при входе на ресурс, на котором срок действия сертификата безопасности сайта истек?

Они получают довольно пугающее предупреждение:

Вы бы продолжили, если бы увидели такое сообщение при попытке входа?

Но исследование SEO-компании "Hallam Internet", показало, что посещения на сайт почти не изменились и показатели отказов, что логично, тоже.

Но не стоит затягивать с обновлением SSL сертификата, так как, если в течение суток изменения небольшие, то в случае недель и месяцев, могут появиться проблемы с ранжированием.

Выбор зависит от вас. Главное помнить, что установка SSL сертификата на сайт поможет сохранить безопасность каждого клиента.

Все сайты по умолчанию используют протокол HTTP для получения и передачи информации. Он применяется для отображения HTML-страниц, тех самых, что видит каждый пользователь, заходя по адресу сайта. Особенность HTTP в том, что он не хранит никакой информации о том, был ли посетитель на сайте раньше или нет. Это ускоряет загрузку сайта, но при этом нет практически никакой безопасности. В результате появился протокол HTTPS — (Secure HyperText Transfer Protocol).

«Безопасный HTTP» специально разработали для обмена конфиденциальной информацией — паролями, персональными данными, банковскими реквизитами. Такие данные необходимо передавать по безопасному каналу, чтобы третьи лица не могли перехватить их или взломать сайт.

Поскольку HTTP и HTTPS очень схожи между собой, пользователь разницу не чувствует. Но HTTPS обладает дополнительным уровнем защиты, используя специальный протокол для шифрования данных — SSL. HTTPS отвечает за то, чтобы данные были переданы в полном объеме, без потерь. SSL-протокол обрабатывает передаваемую информацию и шифрует ее от злоумышленников. Действуя «сообща», HTTPS и SSL надежно защищают данные от взлома и утечки. Google фиксирует это важное отличие от HTTP и проверяет его при отображении сайта в поиске.

Если сайт не защищен SSL-сертификатом, то в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупреждает пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Что хочет Google?

Google заботится о своих пользователях и хочет, чтобы сайты, по которым попадает клиент из поиска, были надежно защищены и безопасны для использования. Для этого поисковик запрашивает у сайта специальный SSL-сертификат. Получить его можно, обратившись в специальные организации, которые выступают в качестве доверительной стороны между клиентом и сайтом. Наличие сертификата серьезно влияет на выдачу сайта в поиске и получить его нужно даже если компания не занимается обработкой персональных данных пользователей.

Если сайт не защищен SSL-сертификатом, то постепенно он начнет терять свои позиции в поиске Google. Отсутствие HTTPS-протокола говорит пользователям и поисковику, что безопасность данных будет под угрозой, а значит, отображать сайт на первых страницах результатов поиска и переходить на него нельзя. Кроме этого, в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупредит пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Каким типам сайтов нужен SSL?

• интернет-магазинам;
• сайтам с личным кабинетом;
• сайтам, где есть формы связи, собирающие контакты и т.п;
• а если коротко — всем.

Как отсутствие SSL-сертификата повлияет на сайт?

Очень негативно. Фактически, сертификат сайта — его «паспорт» в интернете. Может ли гражданин полноценно существовать без паспорта?

• Google будет серьезно понижать сайты без SSL-сертификата в своей поисковой выдаче. Каким бы крупным не был сайт, отсутствие безопасной связи с посетителями считается поисковым гигантом серьезным недочетом, из-за которого продвигать сайт в ТОПе нельзя. Он уйдет с первых страниц поиска.
• Ваша компания будет считаться ненадежной. Надпись «Не защищено» заставит потенциальных клиентов с подозрением относиться к вашему бизнесу или проекту и негативно воспринимать просьбу отправить персональные данные через формы обратной связи.
• Все крупные и популярные сервисы отказываются работать с сайтами без HTTPS, к примеру, Яндекс Касса.
• Сайт будет выглядеть подозрительно . Отсутствие защищенного канала для передачи данных не дает гарантии, что сообщение не изменилось в процессе доставки, пользователь настоящий, а общение клиента с менеджером конфиденциально.
• Принесет репутационные потери — небезопасный сайт пользователи оценят как недействительный, а компанию — фиктивной или ненадежной. SSL-сертификат подтверждает, что бизнес легальный, компания действительно существует и корректно взаимодействует с клиентами.

Что делать?

Установить SSL-сертификат.

Клиентам компании WebCanape доступна услуга установка SSL-сертификатов, с помощью которых сохранится репутация компании и сайта.

При заказе нового сайта, оплате доменного имени и хостинга через WebCanape — установка и обслуживание SSL-сертификата в течение первого года — бесплатно.

Как это работает?

SSL-сертификат — специальный протокол связи, проверяющий подлинность и шифрующий данные между пользователем и веб-сайтом. Злоумышленники не взломают и не украдут персональную информацию, платежные сведения и другие данные — расшифровать информацию можно только с помощью специального генерируемого ключа, уникального для каждого пользователя.

Существует три типа сертификатов: «начальный», «бизнес» и «расширенного уровня». Какие они?

• DV-сертификаты (DomainSSL) — доступны частным лицам и организациям, подтверждает права на доменное имя. Самые простые и дешевые.
• OV-сертификаты (OrganizationSSL) — подтверждают существование доменного имени и компании, владеющей сайтом.
• EV-сертификаты (ExtendedSSL) — самый престижный тип сертификатов, вызывающий максимальное доверие пользователей. Адресная строка при открытии сайта с таким сертификатом становится зеленой, подписывается название магазина или организации. Это выделяет компанию на фоне конкурентов, не оставляя тени сомнения в надежности бизнеса.

Обратите внимание на дополнительные опции SSL-сертификатов

Кроме сертификата, есть «печать доверия» или «логотип доверия». Это изображение с логотипом центра сертификации, демонстрирующее факт проверки сайта. Ее ставят вместе с сертификатом, чтобы продемонстрировать, что сайт был проверен и надежно защищен. Существует два вида:

• Статическая печать. Для недорогих сертификатов, отображает информацию сертификационного центра. По клику на картинку открывается сайт центра, где компания проходила проверку.
• Динамическая печать . При наведении открывает окошко с подробностями о компании и SSL-сертификате.

Некоторые сертификаты не просто защищают домен сайта. К примеру:

• WC (WildCard) — защищает домен и поддомены, вплоть до третьего уровня (smolensk.shop.test.ru);
• MD (Multidomain, SAN) — защищает до 100 доменов (shop.ru, domain.ru, smolensk.ru);
• IDN (Internationalized Domain Name) — для корректной защиты национальных доменов, в том числе, кириллических адресов (тест.рф);
• SGC (Server Gated Cryptography) — помогает повысить безопасность клиентов, использующих старые браузеры. Это особенно важно, к примеру, для сайтов госструктур.

С первого взгляда выглядит сложно, поэтому расскажем подробнее, что купить, чтобы все было хорошо.

Алгоритм выбора SSL-сертификата для сайта

Шаг 1. Определите особенности сайта

• Если 1 латинский домен и поддомен www, то выбирайте практически любой сертификат
• Если нужна защита поддоменов, то выбирайте сертификат с пометкой Wildcard
• Если у вас много сайтов и хотите защитить всех одним сертификатом, то правильным выбором станут SAN или Multi-Domain сертификаты
• Если у вас кириллистический домен, то берите IDN-сертификат
• В случае кириллического домена с поддоменами — Wildcard+IDN

Шаг 2. Домен оформлен на физическое или юридическое лицо?

• Домен оформлен на физлицо — можно покупать только DV-сертификат (начального уровня)
• Домен оформлен на юридическое лицо — покупайте любой сертификат

Шаг 3. Насколько крупный сайт?

• Если проект небольшой, а сайт информационный, нужно дешево и просто — выбирайте DV-сертификат, подойдет и для поисковиков, и для безопасного соединения
• В случае интернет-магазина, государственного учреждения или корпоративного сайта организации, желательно выбрать SSL-сертификат бизнес-уровня. Он выделит вас среди конкурентов, обезопасит сделки с клиентами и надежно защитит данные
• Крупный интернет-магазин, финансовые организации, корпоративные порталы и десятки конкурентов на рынке? Необходим расширенный SSL-сертификат

Доступные для покупки сертификаты в WebCanape

1. GlobalSign AlphaSSL . Выдается очень быстро, доступен физлицам и организациям, защищает поддомены, но не поддерживает кириллические адреса. Совместим со всеми браузерами и мобильными устройствами, имеет бесплатный значок AlphaSSL. Без технической поддержки. Отличный базовый вариант для простых проектов.
2. GlobalSign DomainSSL . Очень популярный в Интернете SSL-сертификат, подтверждающий права на домен. Кроме тех параметров, что уже перечислены в AplhaSSL, содержит имя домена, значок аутентичности, его установка возможна на бесконечное число серверов.
3. GlobalSign OrganizationSSL . Доступен только юридическим лицам, поддерживает кириллические адреса и подтверждает как домен, так и легальность компании. Название организации отображается на значке и в сертификате.
4. GlobalSign ExtendedSSL. Высочайший класс защиты. При заходе на сайт адресная строка подсвечивается зеленым, отображается название организации. Серьезно повышает доверие клиентов и посетителей сайта, что как следствие — повысит продажи товаров и услуг. Оформляется только на юридическое лицо.
5. Comodo PositiveSSL . Один из самых дешевых SSL-сертификатов на рынке, не требует документов о владении доменом, логотип безопасности бесплатен. Поддерживает кириллицу. Подходит только для базовых проектов.
6. Comodo EssentialSSL. Практически полный аналог Comodo PositiveSSL с длинным ключом шифрования (до 2048 бит) и печатью сертификации Comodo. Подходит только для базовых проектов.

На начальном этапе мы рекомендуем установить сертификат GlobalSign DomainSSL от Reg.ru. Если вы клиент нашего хостинга и покупали доменное имя через WebCanape, то сертификат дается на первый год в подарок, далее его продление будет стоить около 2500 руб. в год. Плюс переустановка на хостинг — 3000 руб. Однако этот сертификат не работает с кириллическими доменами и не защищает домены третьего уровня.

Далеко не каждый пользователь компьютерных систем представляет себе, как работает подключение к сети Интернет. Иногда, конечно, при выдаче сообщения о том, что установлено защищенное SSL-соединение, некоторые начинают вникать в суть вопроса связи. Однако тут стоит рассмотреть конкретизированные вопросы: что такое SSL-соединение, SSL-сертификат, зачем он нужен, как его получить и насколько практичными являются такие действия? Попробуем разобраться с этим вопросом на простейших примерах и, так сказать, показать на пальцах, как это все работает.

Что представляет собой технология соединения SSL?

Исходя из некоторых официальных требований сети Интернет, нужно особо скрупулезно отнестись к В этом смысле одним из ключевых понятий и является SSL-сертификат. Зачем он предусматривается в использовании для некоторых ресурсов?

Да только затем, чтобы подтвердить подлинность какого-то ресурса (заметьте, официального), на который осуществляется вход. Иными словами, это есть электронный непубликуемый документ, который гарантирует безопасность посещения того или иного сайта во Всемирной паутине.

SSL-сертификат: зачем нужен этот документ?

Говоря о принципах, которые заложены в технологии доступа на основе защищенного соединения SSL, тут стоит привести сравнение с доступом вроде HTTPS, которое, по сути, тоже является защищенным (об этом свидетельствует литера «S».

Если посмотреть на SSL-сертификат (зачем нужен такой документ или как его использовать в практических целях), следует отметить что он, грубо говоря, подтверждает не только безопасность соединения или содержимого интернет-ресурса в плане публикуемого контента, но еще и применяемую методику шифрования отправляемых и получаемых данных.

То есть при доступе к какой веб-странице у пользователя не должно возникнуть проблем с личными данными (логинами, паролями, PIN-кодами и т. д.), поскольку данный документ удостоверяет, что система безопасности оградит его от любых вмешательств извне. Как уже понятно, третьим лицам такая пользовательская информация не передается. В этом смысле считается, что при установке защищенного соединения по типу SSL не нужны дополнительные средства безопасности вроде антивируса, файрволла или защитника Windows, появившегося в качестве одного из основных компонентов, начиная с восьмой версии операционной системы.

Принципы взаимодействия с пользователями

Теперь давайте посмотрим, как это все работает. Само собой разумеется, что сегодня для доступа в Интернет используются высокотехнологичные программные продукты, называемые браузерами.

В момент осуществления сеанса связи при попытке открытия какой-то страницы браузер загружает текстовые и мультимедийные данные не сразу. Сначала он их анализирует или, так сказать, приводит в читабельный вид. После этого происходит тестирование содержимого на предмет наличия потенциальных угроз. Не думайте, что в браузерах нет собственных средств защиты. Зачастую они намного превосходят некоторые антивирусные программы. Если все проходит успешно, далее подключается антивирус.

Но вот что интересно: в этом временном промежутке производится инициализация подлинности сайта и его издателя. Тут-то и вступает в действие SSL-сертификат. Зачем нужен такой вариант подтверждения, наверное, уже понятно. Браузер получает отклик о благонадежности ресурса и устанавливает соединение. В противном случае он блокируется. Иногда, правда, бывает и так, что блокировка срабатывает совершенно необоснованно, скажем по причине просрочки сертификата или потому, что сама система или антивирус считают какую-то страницу потенциально небезопасной (это будет рассмотрено чуть позже).

Кто выпускает SSL-сертификаты?

На сегодняшний день существует несколько официальных организацией, занимающихся оформлением электронных документов и подписей такого типа. В данном случае имеется в виду SSL-сертификат. Зачем нужен такой электронный документ, нетрудно понять, если исходить из принципов юриспруденции.

Фактически сертификат работает в двух направлениях: подтверждает безопасность использования ресурса пользователем при входе и налагает ответственность за ущерб, нанесенный юзеру, если он именно с этого ресурса подхватил вирус. С другой стороны, даже наличие сертификата не может выступать гарантом того, что связь будет безопасной (достаточно вспомнить атаки на серверы мировых военных ведомств или тот же недавний оффшорный скандал).

Сегодня же признанными официальными организациями, которые выдают подобного рода документы, принято считать следующие:

• COMODO.
• TTHAWTE.
• GeoTrust.
• RapidSSL.
• Symantec и др.

Примечательно, что в этом списке присутствует корпорация Symantec, которая является чуть ли ни первым разработчиком систем защиты, когда той же «Лаборатории Касперского» и в проекте не было. Судя по отзывам людей, использующих такие сертификаты, именно эта компания предоставляет наиболее широкий спектр услуг.

Что получает пользователь при регистрации?

Теперь посмотрим на преимущества, которые получает обычный владелец сайта. Давайте представим себе, что такое корневой сертификат SSL, и зачем он нужен. Как правило, именно он является основным в списке предоставляемых услуг поддержки, хотя в основном пакете таких сертификатов присутствует как минимум три:

• корневой;
• промежуточный;
• сертификат для отдельных доменов.

Не вдаваясь в подробности каждой технологии, можно отметить только то, что при получении сертификата любого уровня тот же владелец сайта получает некие негласные преимущества перед конкурентами. Во-первых, сертификат SSL удостоверяет надежность ресурса, во-вторых, гарантирует безопасное в-третьих, как ни странно это звучит, повышает рейтинг ресурса на уровне поисковых систем, которые, как известно, изначально ищут результаты запросов на доверенных ресурсах.

Где использовать SSL-сертификаты? Тут сразу же можно применить юридический аспект. Грубо говоря, владелец сайта, получив данное удостоверение, снимает с себя всякую ответственность за безопасность ресурса, поскольку организация, выдавшая такой электронный документ, выступает в качестве гаранта. Конечно, проверки производятся чуть ли не ежедневные. И, естественно, изначально предполагается, что на сертифицированном в плане безопасности сайте не буде размещаться так называемый пиратский контент или автоматически срабатывающие вредоносные коды, которые могу нанести ущерб конечному пользователю при входе на сайт или даже при осуществлении операции перенаправления (редиректа).

Проблемы с шифрованным соединением

Итак, зачем нужен SSL-сертификат, мы немного разобрались. Теперь посмотрим на некоторые проблемы, увы, возникающие довольно часто при установке такого шифрованного соединения.

Считается, что сбои могут наблюдаться в случае вирусного заражения, некорректных настроек браузера, блокирования доступа в Интернет на уровне брэндмауэра и антивируса, а также, что выглядит достаточно странно, в связи с некорректной установкой даты и времени на системном таймере (не в Windows, а в BIOS).

Простейшие методы исправления ситуации

Как следует из вышесказанного, бороться с такими ситуациями проще простого. Отключить тот же файрволл или поменять дату в BIOS труда не составит.

Другое дело - браузеры. Каждый разработчик пытается вложить в них максимум функциональных возможностей, которые зачастую могут вызывать конфликты на системном уровне. Иными словами, надстройки и плагины, устанавливаемые пользователем, не всегда распознаются системой адекватно.

В некоторых случаях и система, и браузер пытаются блокировать тот или иной компонент, считая его потенциально небезопасным. К сожалению, именно тут согласованности нет. Поэтому работоспособность даже своего ресурса рекомендуется проверять исключительно на встроенных браузерах Windows (либо Internet Explorer, либо Edge).

Выгодно ли оформлять SSL-сертификат?

Теперь перейдем к вопросу о целесообразности получения того, что называется SSL-сертификат. Зачем нужен такой документ, думается, немного понятно. Однако те же владельцы сайтов задаются больше вопросом стоимости оформления такого документа. Как оказывается, такая услуга обходится достаточно дешево. К примеру, оформление базового пакета Comodo PositiveSSL Certificate в среднем обойдется в 500-550 рублей, рангом выше - около 4 тысяч, самый ответственный - около 8 тысяч рублей.

При этом стоит учесть и предоставляемые гарантии. Так, например, для сертификатов по порядку возрастания гарантия составляет 10, 50 и 100 тысяч долларов США.

Что в итоге?

Что касается выводов, тут каждый пользователь, вернее, владелец сайта или доменного имени, должен принимать решение о целесообразности приобретения такого документа сам. Если говорить о конечных пользователях, у них проблем с доступом к сертифицированным ресурсам возникнуть не должно, разве что при просрочке сертификата. С другой стороны, засилье поисковых систем тоже может сказаться, ведь они в первую очередь обращаются к безопасным сайтам с подтвержденными сертификатами SSL. Так что тут, как говорится, палка о двух концах.

Бимал Шах, Айя Загуль, IBM

Безопасность данных в открытых информационных сетях, таких как Интернет, всегда будет источником серьезного беспокойства для разработчиков и клиентов. Поэтому для любого используемого продукта крайне важно создать безопасную среду исполнения.

Протокол SSL (Secure Socket Layers - протокол защищенных сокетов), совместно разработанный Netscape Communications и RSA Data Security, позволяет эффективно обеспечить такую безопасность. Протокол SSL обеспечивает безопасность, аутентификацию на базе сертификатов и согласование безопасности по установленному сетевому соединению, поэтому множество компаний и продуктов приняли SSL в качестве коммуникационного протокола.

В этой серии мы сконцентрируемся на двух главных аспектах:

1. подробная информация о схеме работы SSL;
2. детальная информация о поддержке SSL в версиях 5.1 и 6.0.1 среды ISC.

В данной статье исследуется SSL и объясняется, почему его рекомендуется реализовать в среде ISC. Во второй и третьей частях этой серии будет представлена подробная пошаговая инструкция по реализации и подключению SSL к ISC 5.1 и 6.0.1.

Реализация протокола SSL, используемая в WebSphere® Application Server, хранит персональные сертификаты в файле ключей SSL и сертификаты издателя в файле со списком доверенных источников. Файл ключей содержит коллекцию сертификатов, каждый из которых может быть представлен во время установки SSL соединения для подтверждения подлинности. В файле со списком доверенных источников хранится коллекция сертификатов, которые считаются достоверными и с которыми будет сравниваться представленный сертификат во время установки SSL-соединения для проверки подлинности.

Хорошим примером реализации протокола SSL является его поддержка в IBM WebSphere Application Server. Система безопасности этого сервера имеет многоуровневую архитектуру, показанную на рисунке 2.

Уровень сетевой безопасности обеспечивает аутентификацию на транспортном уровне, целостность и шифрование сообщений. Коммуникации между различными серверами WebSphere Application Server могут быть сконфигурированы на использование протоколов SSL и HTTPS. Для дополнительной защиты сообщений также можно использовать протоколы IP Security и VPN (Virtual Private Network - виртуальная частная сеть).

Протокол SSL обеспечивает безопасность на транспортном уровне: аутентификацию, целостность и конфиденциальность для безопасного соединения между клиентом и сервером в WebSphere Application Server. Этот протокол работает поверх TCP/IP и под прикладными протоколами, такими как HTTP, LDAP, IIOP, обеспечивая достоверность и секретность передаваемых данных. В зависимости от конфигурации SSL на клиенте и сервере могут быть установлены различные уровни достоверности, целостности данных и секретности. Понимание основ функционирования протокола SSL очень важно для правильной настройки и достижения требуемого уровня защиты для данных клиента и приложения.

Некоторые функции безопасности, предоставляемые протоколом SSL:

• Шифрование данных с целью предотвратить раскрытие конфиденциальных данных во время передачи.
• Подписывание данных с целью предотвратить несанкционированное изменение данных во время передачи.
• Аутентификация клиента и сервера, позволяющая убедиться, что общение ведется с соответствующим человеком или компьютером.

Протокол SSL может служить эффективным средством обеспечения безопасности информационной среды организации.

Протокол SSL используется различными компонентами внутри WebSphere Application Server для обеспечения достоверности и конфиденциальности. К этим компонентам относятся: встроенный HTTP-транспорт, ORB и безопасный LDAP-клиент.

Реализация SSL, используемая в WebSphere Application Server, - это либо расширение для Java - IBM Java™ Secure Sockets Extension (IBM JSSE), либо IBM System SSL. Провайдер IBM JSSE содержит эталонную реализацию, поддерживающую протоколы SSL и TLS (Transport Layer Security - безопасность транспортного уровня) и API для интеграции. С провайдером IBM JSSE также поставляется стандартный провайдер, предоставляющий поддержку RSA для функциональности цифровой подписи из библиотеки JCA (Java Cryptography Architecture - Архитектура Шифрования для Java) для платформы Java 2, стандартные наборы шифров для SSL и TLS, менеджеров доверенных источников сертификатов и ключей, использующих технологию X509, и реализацию технологии PKCS12 для хранилища цифровых сертификатов JCA.

Конфигурация провайдера JSSE очень похожа на конфигурацию большинства других реализаций SSL, например GSKit, однако пару отличий следует выделить:

• Провайдер JSSE поддерживает хранение собственного сертификата и сертификатов издателя в файле ключей SSL, но он также поддерживает и отдельный файл, т.н. файл источников сертификатов (trust file). Этот файл может содержать только сертификаты источников. Можно поместить свои собственные сертификаты в файл ключей SSL, а сертификаты издателей - в trust-файл. Это может потребоваться, например, при наличии недорогого аппаратного криптографического устройства, у которого памяти достаточно только для хранения персонального сертификата. В этом случае файл ключей указывает на аппаратное устройство, а trust-файл указывает на файл на диске, содержащий все сертификаты издателей.
• Провайдер JSSE не распознает специальный формат файла ключей SSL, используемый плагином - файлы с расширением.kdb. Провайдер JSSE распознает только стандартные форматы файлов, такие как Java Key Store (JKS - хранилище ключей Java). Совместное использование файлов ключей SSL плагином и сервером приложений невозможно. Более того, для управления ключами сервера приложений и trust-файлами необходимо использовать различные реализации утилиты управления ключами.

SSL и Integrated Solutions Console

Приложение ISC - это единая среда Web-консолей администрирования для развертывания и интеграции консольных модулей, позволяющая заказчикам управлять решениями, а не конкретными продуктами IBM. Эта среда включает в себя контейнер портлетов, Java-компоненты (JMX) для управления приложениями и модули справки Eclipse.

Для реализации конфиденциальности и шифрования можно использовать протокол SSL. С помощью SSL можно защитить взаимодействие между Web-браузером пользователя и сервером ISC. Шифрование важно потому, что в ISC используется аутентификация, основанная на формах; при этом идентификатор и пароль пользователя для входа в систему не шифруются при пересылке по сети. Если консольному модулю требуется доступ к внутренним ресурсам через безопасное соединение, его портлеты могут использовать SSL.

Какие преимущества дает использование SSL?

Почему это так важно? Безопасная и эффективная передача данных по открытым коммуникационным каналам - это критический компонент обеспечения функционирования современной ИТ-системы, и протокол SSL позволяет обеспечить эту безопасность. Однако подключение SSL к среде ISC может оказаться сложной и трудоемкой задачей. В чем сложность этой задачи? Вопрос безопасности данных в среде Web-приложений, подобных среде Integrated Solutions Console, может показаться немного размытым для новичков, потому что безопасность ИТ сама по себе - крайне широкая область, охватывающая много различных аспектов в открытых коммуникационных сетях.

В следующих двух статьях этой серии будет представлена организация безопасности данных на основе SSL в среде, основанной на Integrated Solutions Console. Сначала мы рассмотрим настройку и включение SSL для Integrated Solutions Console 5.1 с использованием пустого, собственного и выпущенного издателем сертификатов, а потом разберем, как выполнить те же действия для Integrated Solutions Console 6.0.1.

SSL (Secure Sockets Layer - уровень защищенных сокетов) представляет собой криптографический протокол, который обеспечивает защищенную передачу информации в Интернете.

Чаще всего протокол SSL используется с самым распространенным протоколом передачи гипертекста – http. О наличии защищенного соединения свидетельствует суффикс «s» – протокол будет называться https. Стандартный порт http – 80, а https – 443.

Протокол SSL используется в тех случаях, если нужно обеспечить должный уровень защиты информации, которую пользователь передает серверу. На некоторые сайты, которые работают с электронными деньгами (банки, Интернет-магазины, биржи контента), передаются секретные данные. Кроме пароля, это может быть номер и серия паспорта, номер кредитной карты, пин-код и др. Такая информация предоставляет большой интерес для злоумышленников, поэтому если вы используете для передачи незащищенный протокол http, то ваши данные вполне можно перехватить и использовать в корыстных целях. Для предотвращения перехвата секретных сведений компанией Netscape Communications был создан протокол SSL.

Протокол Secure Sockets Layer позволяет передавать зашифрованную информацию по незасекреченным каналам, обеспечивая надежный обмен между двумя приложениями, работающими удаленно. Протокол состоит из нескольких слоев. Первый слой – это транспортный протокол TCP, обеспечивающий формирование пакета и непосредственную передачу данных по сети. Второй слой – это защитный SSL Record Protocol. При защищенной передаче данных эти два слоя являются обязательными, формируя некое ядро SSL, на которое в дальнейшем накладываются другие слои. Например, это может быть SSL Handshake Protocol, позволяющий устанавливать соответствие между ключами и алгоритмами шифрования. Для усиления защиты передаваемой информации на SSL могут накладываться другие слои.

Для шифрования данных используются криптографические ключи различной степени сложности – 40-, 56- и 128-битные. Показатель количества бит отражает стойкость применяемого шифра, его надежность. Наименее надежными являются 40-битные ключи, так как методом прямого перебора их можно расшифровать в течение 24 часов. В стандартном браузере Internet Explorer по умолчанию используются 40- и 56-битные ключи. Если же информация, передаваемая пользователями, слишком важна, то используется 128-битное шифрование. 128-битные криптографические ключи предусмотрены только для версий, поставляемых в США и Канаду. Для того, чтобы обеспечить надежную защиту, вам следует загрузить дополнительный пакет безопасности - security pack.

Для передачи данных с помощью SSL на сервере необходимо наличие SSL-сертификата, который содержит сведения о владельце ключа, центре сертификации, данные об открытом ключе (назначение, сфера действия и т. д.). Сервер может требовать от пользователя предоставления клиентского сертификата, если это предусматривает используемый способ авторизации пользователя.

При использовании сертификата SSL сервер и клиент обмениваются приветственными сообщениями инициализации, содержащими сведения о версии протокола, идентификаторе сессии, способе шифрования и сжатия. Далее сервер отсылает клиенту сертификат или ключевое сообщение, при необходимости требует клиентский сертификат. После нескольких операций происходит окончательное уточнение алгоритма и ключей, отправка сервером финального сообщения и, наконец, обмен секретными данными. Такой процесс идентификации может занимать немало времени, поэтому при повторном соединении обычно используется идентификатор сессии предыдущего соединения.

Нельзя не отметить независимость протокола от программ и платформ, на которых используется SSL, так как этот протокол работает по принципу переносимости. В приложениях заключается основная угроза безопасности передаваемых данных. Это наличие уязвимостей в браузерах.

Таким образом, в настоящее время протокол SSL получил широкое распространение в сети Интернет, так как он обеспечивает достаточно высокий уровень защиты передаваемой между приложениями информации.