Какую роль играет центр сертификации thawte?
Компания thawte является центром сертификации, который на основе протокола SSL выпускает различные цифровые сертификаты для организаций и отдельных узлов сети Интернет. В зависимости от применяемого ПО компания thawte проводит различные уровни аутентификации.
Цифровые сертификаты от компании thawte используются на большинстве web-серверов и приняты как доверенные в большинстве браузеров, так что можете быть уверены, что вы приобретаете цифровой сертификат, который дает клиенту уверенность, что он общается именно с Вами и получает от Вас неискаженные данные. Такая уверенность необходима при проведении онлайновых транзакций.
Значимость аутентификации web-сервера
Информация - это основа жизнеобеспечения вашего бизнеса. Чтобы обеспечить цельность (защиту от фальсификации) и конфиденциальность, необходимо идентифицировать тех, с кем вы имеете дело, а также быть уверенными в надежности получаемых данных. Аутентификация поможет вам установить доверие между сторонами при проведении любых видов транзакций. К числу средств обеспечения надежности относится предотвращение следующих явлений:
«Спуфинг» (имитация соединения):
Относительно дешевые услуги web-дизайнеров и легкость, с которой могут быть скопированы уже существующие страницы, позволяют создавать нелегальные web-сайты, которые выглядят «официально» и с виду представляют организацию. Реально же это ловушка, чтобы незаконно получить, скажем, номера кредитных карт.
Несанкционированные действия:
Конкурент или обиженный пользователь могут изменить ваш web-сайт так, чтобы он давал ложную информацию или отказывался обслуживать потенциальных клиентов.
Неправомочное разглашение информации:
Когда транзакции осуществляются «открытым текстом», хакер может их перехватывать, чтобы получить информацию, важную для ваших клиентов.
Фальсификация данных:
Содержание транзакции может быть перехвачено и злонамеренно либо случайно в процессе передачи изменено. Имена пользователей, номера кредитных карт и финансовая информация, передаваемая «открытым текстом» слишком уязвима для вмешательства со стороны.
Безопасность http и покупок в Интернете на пальцах
Вы идете на вебсайт и браузер сообщает, что он «secure», то есть безопасный. И правда, адресная строка начинается с https:// и никто не кричит вам в лицо, что сертификат истек, неправильный или выпущен неизвестно кем... Так что, вы можете купить что хотели и ни о чем не волноваться? Вообще-то это не совсем так...
Как же устроена http-безопасность? SSL/TLS призвано решить две проблемы: во-первых, подслушивания в Интернете, а во-вторых, подтверждения личности сторон (или хотя бы одной стороны – продавца).
Начнем с прослушивания. Вся модель SSL/TLS/HTTPS основана на идее, что соединяются две машины, которым мы доверяем, причем они соединены через сеть, которой мы абсолютно не доверяем. К сожалению, эта модель не совсем соответствует истине. Доверяем мы сети или нет – это отдельный вопрос, но машины, которые соединены, заселены вирусами, троянами, рекламным софтом под завязку, так что доверять конечным машинам ничуть не легче чем сети между ними. Иногда даже сложнее, поскольку троян регистрирующий содержимое ваших запросов через веб до того, как они зашифрованы – это слишком просто. Проблема скорее в том чтобы поставить этот троян на вашу машину, а потом считать данные без следов, что – учитывая распространненость оных – тоже не такая уж великая задача. Так что хотя шифрование работает достаточно хорошо, само по себе это – увы! – совсем недостаточная защита.
Дальше – интереснее. Вторая функция SSL/TLS/HTTPS состоит в том, чтобы вы могли убедиться, что продавец это тот – за кого он себя выдает. Скажем, идете вы на сайт ozon.ru или bolero.ru – вы хотите быть уверены, что это действительно ozon.ru или bolero.ru, а не Вася Пупкин, притворяющийся оными и собирающий вашу платежную иноформацию. Все бы хорошо, но давайте посмотрим, как это работает.
Итак, Маша приходит на сайт Пети. Она не знает Петю, поэтому ему не доверяет. Но (!) Маша знает Федю. Федя выдает Пете сертификат, что он – Петя. Когда Маша приходит на сайт к Пете, он использует сертификат, чтобы подтвердить, что он Петя, таким образом Маша знает, что он действительно Петя. В чем проблемы с такой схемой?
Прежде всего, Федя на самом деле не очень-то доверяет Пете. Да, certificate authorities – компании, выпускающие сертификаты – проверяют личность, но это все, что они проверяют. Это просто бизнес, с должным подтверждением личности и оплатой услуг, сертификат выдается кому угодно. Что эта личность делает и хранит ли она свой сертификат в секрете, это выпускающую фирму не касается.
Вообще-то, если честно, Маша и сама не очень-то доверяет Феде. Вы верите фирме Verisign?
Дальше – лучше. Как только сертификат Феди установлен на Машином компьютере, он (Машин компьютер) доверят Пете автоматически и безоговорочно, без различия кто такой Петя и что же Петя хочет. Это как если бы Маша при первой же встрече была бы готова остаться на век с Петей, положившись на его обещание жениться, только на основании того, что Федя его представил. Сертификат ведь не гарантирует, что Петя (продавец) не использует вашу кредитную карточку совсем иначе, нежели вы ожидаете.
Причем, обратите внимание, даже в идеальном случае все, что может сделать сертификат – это подтвердить, что Петя – это Петя. Взамен, Маша (то есть средний пользователь) вдруг начинает «доверять» Пете. Почему? Потому что сигналы от браузера, между прочим от любого браузера, говорят пользователю, что сайт «безопасный», не углубляясь в детали, что эта «безопасность» означает. То есть, если пользователь придет на сайт badguys.com, который получил сертификат у «Феди», то ваш браузер будет как ни в чем ни бывало благодушно взирать, как вы вводите на нем свои данные, безо всяких предупреждений и нервных выкриков.
Наконец, чтобы дополнить картину, «Федей» развелось видимо-невидимо, и вообще, Петя получил оный сертификат не у Феди, а у Степы, поскольку у него дешевле.
И уж напоследок, многие браузеры поступают с предустановленными сертификатами root authorities («Федь»), которым их пользователи начинают автоматически «доверять».
И это при том, что сами производители браузеров им вовсе необязательно доверяют.
Конечно, это еще не повод биться в истерике и не пользоваться Интернетом. Просто эта технология, как и любая другая, не является автоматически безопасной. Как и в случае с обычными магазинами, надо отметить. Надо понимать, где кончаются гарантии технологии, и где начинается ваша собственная ответственность.
Например, сам я использую несколько простых мер, которые делают игру значительно более безопасной:
Из всех имеющихся у меня кредиток, я использую только одну на Интернете. Остальные – никогда. Эта одна карточка специально заведена исключительно для покупок на Интернете.
Эту карточку я выбрал с учетом того, для чего я ее буду использовать. В частности, банк ее выпустивший, обещает мою нулевую ответственность в случае Интернет мошенничеств с ней.
Я ее проверяю чаще и слежу, чтобы на ней не появлялось подозрительных транзакций.
Когда можно, я использую системы вроде PayPal, при которых продавец не получает данных моей кредитки вообще. В России эквивалентом такой системы являются Webmoney, Яндех-деньги и другие интернет-кошельки, правда, они значительно хуже на мой вкус, чем PayPal. Я уже несколько лет примериваюсь, чтобы завести один из них для рассчетов с российскими магазинами, но все они пока, увы, производят угнетающее впечатление, по крайней мере для клиентов из-за рубежа.
К слову, меры эти действуют вполне неплохо.
SSL FAQ
Протокол HTTP -- ( основной протокол для передачи страниц WWW ) не обеспечивают практически никакой защиты информации на пути от сервера к клиенту и обратно. Злоумышленники довольно легко могут перехватывать информационные пакеты, искажать содержащиеся в них данные и даже перенаправить весь информационный обмен с клиентом на поддельный сервер, имитирующий работу сервера Вашей компании. В результате частная информация клиента может стать достоянием постороннего, а сделки, совершенные с участием подставного сервера -- предметом политических и финансовых споров. Учитывая это, многие опытные пользователи, просто отказывается от работы с сайтом, не обеспечивающим необходимого уровня защиты при проведении платежей или предоставлении частной информации серверу. В реальном мире, мы привыкли к системам безопасности при проведении переговоров, защите от прослушивания помещений и телефонных переговоров. Коммерциализация и популяризация интернет привела к необходимости соблюдения основных правил безопасности при работе в интернет. Это относится к шифрованию информации которой Вы обмениваетесь с сервером, шифрованию почтовых сообщений, подтверждения неизменности исходного почтового сообщения, идентефикация подлинности автора письма, подтвержденияе принадлежности сервера указанному владельцу и т.п.
Сертификаты гарантируют:
Подлинность (аутентичности) сайта: просматриваемая пользователем страница получена именно с указанного адреса, а сам сайт действительно принадлежит компании, на имя которой выдан сертификат;
Целостность информации: за время передачи данных через Интернет они не могут быть изменены или испорчены;
Конфиденциальность информации: за счет использования шифрования данных, передаваемых между клиентом и сервером, их содержание недоступно посторонним.
Пользователи Web могут распознать узел, который поддерживает SSL, по тому, что адрес Web-страницы начинается с https. Буква s, добавленная к знакомому HTTP — Hypertext Transfer Protocol, означает secure, то есть «защищенный».
Например
Пользователям не нужно предпринимать никаких специальных действий, чтобы переключиться на SSL-соединение. Клиентская программа SSL встроена в браузер; большинство узлов просто требуют пароля или регистрационного номера для того, чтобы проверить подлинность пользователя.
При этом процесс аутентификации полностью «прозрачен» для пользователя, т.е. не требует от него специальных знаний или каких-либо действий, отличающихся от обычной работы с интернет-браузером. Протокол SSL в настоящее время поддерживается большинством браузеров, включая Microsoft Internet Explorer и Netscape Navigator. О работе через безопасное соединение с использованием цифрового сертификата в этих программах говорит специальный индикатор в строке статуса.
SSL (secure socket layer) это стандартный протокол для криптования информации передаваемой от посетителя сайта к серверу. Информация переданная при SSL соединении защищена от раскодирования и изменения
Как SSL обеспечивает защищенное соединение
Защищенные соединения имеют критически важное значение для электронной коммерции, обеспечения защищенных интерактивных банковских операций, другого электронного бизнеса и всех транзакций, которые требуют определенного уровня безопасности.
Запрос
на сеанс SSL
Пользователь
посещает Web-узел, чей адрес начинается
с https. Буква s показывает, что сервер для
работы требует использования SSL.
Программная
установка соединения
1.Браузер
пользователя и сервер Web-узла начинают
процесс обмена информацией, известный
как handshake.
2. Сервер
предоставляет браузеру свой открытый
ключ, который был сертифицирован
доверенным уполномоченным, таким фирмам
как VeriSign, GeoTrust, Comodo, Thawte. Браузер проверяет
сертификат сервера.
3. Сервер
сообщает браузеру, сколько разрядов
будет использоваться для шифрования
или кодирования данных. Рекомендуется
применять 128 разрядов.
Защищенное
соединение
Обмен
данными осуществляется через защищенный
канал, который не позволяет злоумышленнику
узнать или исказить информацию. Проверка
целостности данных гарантирует, что
данные не менялись в процессе пересылки
от браузера к серверу или обратно. Как
только данные появляются в браузере
или на сервере, их защита больше не
гарантируется.
Как происходит установка сертификата на сервер?
1)Сгенерируйте private key, сгенерируйте CSR ( Certificate Signing Request ) 2)Подтвердите согласие с Subscriber Agreement, подтвердите домен и Вашу организацию Сертификационному центру 3)Получите сертификат 4)Установите сертификат на сервер
Пример CSR file -----BEGIN NEW CERTIFICATE REQUEST---- MIIBCTCBtAIBADBPMQswCQYDVQQGEwJVUzEQMA4GA1UECBMHRmxvcmlkYTEYMBYG A1UEChMPRXllcyBvbiBUaGUgV2ViMRQwEgYDVQQDFAt3d3cuZXR3Lm5ldDBcMA0G CSqGSIb3DQEBAQUAA0sAMEgCQQCeojtjnHqg0GTxp+XZ56RaSe1iZWpumXjU6Sx7 v1FdXzsY1oLOQa090Jtnu1WsQRHh0yDS+45oncjKm1zCG/IZAgMBAAGgADANBgkq hkiG9w0BAQQFAANBAFBj9g+NiUh8YWPrFGntgf4miUd/wqUshptjJy4PjdsD3ugy 5avvuh3G//PpGh2aYXIjHpJXTUBQyzxSEIINYtc= -----END NEW CERTIFICATE REQUEST-----
Какая информация должна быть отправлена в Центр Сертификации для проверки? Proof of Organization ( любое из следующих )
DUNS number ( Dun and Bradstreet )
Articles of Incorporation o Business License
Doing Business As ( DBA ) registration o Partnership documentation
Sole Proprietorship documentation
для успешной сертификации необходимо соблюсти следующее
Регистрант является владельцем домена согласно записям в InterNIC/WHOIS
The Organization appearing in your "Proof of Organization" documents or DUNS number
The Organization entered into the CSR ( Certificate Signing Request )
Что делать если моя компания не является владельцем домена? Для получения сертификаты необходимо чтобы Вы были указаны как владелец домена в InterNIC/WHOIS или у Вас есть нотариально заверенное разрешение владельца использовать этот домен или субдомен
Сколько времени необходимо для получения сертификата? Обычно 2-3 дня
Как я узнаю о состоянии заявки на получение сертификата? Вы получите ответ после окончания проверки. Если заявка одобрена, Вы получите Ваш сертификат тем или иным способом в зависимости от поставщика
Что делать если заявка отклонена? Если Ваша заявка отклонена, Вам необходимо обратиться в группу поддержки чтобы найти наилучший путь для устранения причин отказа. Вот причины, по котрым Вы можете получить отказ в получении сертификата
Доменное имя в CSR is not registered to the authorizing business/organization.
CSR is неправильно сгенерировано
Что такое Сертификат сайта? Подтверждение посетителям Вашего сервера при помощи авторитетной третьей стороны истинности того что это именно Ваш сервер
Зачем мне нужен Сертификат сайта? Сейчас в мире более 30 млн. сайтов и более 1 млрд. страниц. True Site позволяет однозначно определить истинного владельца рессурса. Фирма имеющая Сертификат сайта использует online для подтверждения истинности
Владелец авторизован и ассоциируется с этим сайтом
Посетителям сервера подтверждают что Ваша фирма легальная
Посетителям сервера подтверждают что Ваш сервер истиный "Smart icon" имеет название компании, отметку периода и времени, которые нельзя подделать
Сертификат сайта способствует
увеличению посетителей сайта
увеличению времени нахождения посетителя на Вашем сайте
увеличению вероятности сделки
Как работает Сертификат сайта? Сертификат сайта поддерживает на странице "smart icon" удостоверяющее авторитетной третьей стороной подлинность сервера. Сертификат сайта использует запатентованную технологию для отображения на странице "smart icon" которая отождествляет владельца и сервер. Когда посетитель нажимает иконку "smart icon" происходит проверка соответствия доменного имени и владельца и выдается результат соответствия
Как установить Сертификат сайта? Когда Вы получили авторизацию, Вам достаточно установить на нужных страницах небольшой JavaScipt который отобразит "smart icon"
Какова длительность работы Сертификата сайта? Сертификат сайта обычно поставляется на срок от 1 года с неограниченным числом использования