- •Терминология ssl
- •Что такое ssl
- •Использование ssl
- •Протокол ssl - что это такое?
- •Как узнать, поддерживает ли web-браузер защищенный обмен данными?
- •Как выглядит ssl сертификат?
- •Как установить ssl сессию защищенного обмена данными?
- •Открытый и секретный ключи
- •Когда желательно применять ssl сертификаты?
- •Какую роль играет центр сертификации thawte?
- •Значимость аутентификации web-сервера
- •Безопасность http и покупок в Интернете на пальцах
- •Принцип работы ssl Как работает ssl
- •Многослойная среда ssl
- •Уровень подтверждения подключения состоит из трех подпротоколов:
- •Установление подлинности участников
- •Шифрование данных
- •Хэширование
- •Уровень записи
- •Использование ssl
- •Защита с гарантией в 1 млн. Долларов
- •Виды ssl сертификатов в зависимости от уровня доверия ssl сертификаты бывают:
- •По поддержке количества доменов и поддоменов, ssl сертификаты бывают:
- •В зависимости от владельца, ssl сертификаты бывают
- •1. Используется групповой (WildCard)сертификат, поддомен которого направлен на другой сайт
- •2. Используется стандартный сертификат и разные пути директорий.
- •3. Используется сертификат, интегрированный с электронным магазином
- •5. Панель управления хостингом поддерживает использование сертификата, установленного на сервере.
- •Сертификаты удостоверяющих центров (уц)
- •Создание самоподписного ssl-сертификата и настройка хоста Apache 2 для работы по https
Сертификаты удостоверяющих центров (уц)
Эти сертификаты выпускаются для субъектов, являющихся удостоверяющими центрами, и образуют узлы пути сертификации. Открытые ключи в этих сертификатах используются для верификации цифровых подписей на сертификатах других субъектов или списках САС. Сертификаты должны предоставлять пользователям информацию, достаточную для построения путей сертификации и локальных списков САС. Субъектом сертификата может быть УЦ внутри данной корпоративной PKI, УЦ внешней корпоративной PKI и мостовой УЦ. Рекомендуемые профили сертификатов варьируются в зависимости от типа субъекта.
Сертификаты удостоверяющих центров корпоративной PKI
Сертификаты удостоверяющих центров корпоративной PKI распространяют простые отношения доверия. Информация о политике применения сертификатов содержится в некритичном дополнении, чтобы позволить легальным субъектам свободно принимать сертификаты друг друга. Соответствие политик устанавливать не обязательно, так как удостоверяющие центры издателя и субъекта находятся в одной и той же организации. Поскольку отношения доверия практически не ограничиваются, в этих сертификатах не задаются ограничения на политики и имена. В содержании сертификата УЦ корпоративной PKI рекомендуется:
1. использовать в качестве имени субъекта отличительное имя (отличительное имя стандарта X.500 или DNS-имя); имя субъекта должно быть образовано только из рекомендуемых атрибутов имен каталогов, а любая часть имени субъекта, совпадающая с именем издателя, должна быть задана тем же типом строки; 2. устанавливать срок действия, начинающийся с момента выпуска сертификата и заканчивающийся тогда, когда истекает срок действия всех сертификатов, цифровые подписи которых могут быть проверены при помощи ключа в данном сертификате. Нежелательно устанавливать срок действия свыше 5 лет; 3. не использовать открытые ключи, связанные с алгоритмами Диффи-Хэллмана, эллиптических кривых Диффи-Хэллмана и обмена ключами; если используется RSA-ключ, то в качестве его назначения не должна указываться транспортировка ключей; 4. задавать дополнение Basic Constraints (основные ограничения) как критичное; устанавливать параметр cA в значение TRUE; если корпоративная PKI является иерархической, то указывать значение длины пути; 5. задавать дополнение Key Usage (назначение ключа) как критичное, указывать значения: подписание сертификата открытого ключа и подписание САС; 6. задавать дополнение Certificate Policies (политики применения сертификатов) как некритичное; в нем должны быть перечислены все политики, которые УЦ субъекта может включать в подчиненные сертификаты; перечисленные политики не должны содержать никаких спецификаторов; 7. задавать дополнение Subject Key Identifier (идентификатор ключа субъекта) как некритичное; его значение должно сравниваться со значением дополнения Authority Key Identifier(идентификатор ключа УЦ) в сертификатах, изданных УЦ субъекта; 8. задавать дополнение Subject Information Access (доступ к информации о субъекте) как некритичное и указывать репозиторий, который содержит сертификаты, изданные субъектом.
В соответствии с требованиями конкретной локальной среды сертификат может содержать и другие дополнения, они должны быть помечены как некритичные.
Сертификаты удостоверяющих центров в среде нескольких корпоративных PKI
Более сложные отношения доверия отражают сертификаты удостоверяющих центров, которые участвуют во взаимодействии между разными корпоративными PKI. Информация о политике применения сертификатов содержится в некритичном дополнении, чтобы легальные инфраструктуры могли свободно принимать сертификаты друг друга. Для согласования политик разных корпоративных PKI необходимо указывать информацию о соответствии политик. Для защиты пространства имен используются ограничения на имена.
К содержанию сертификата УЦ, используемого в среде нескольких корпоративных PKI, предъявляются практически те же требования, что и к содержанию сертификата УЦ корпоративной PKI, за исключением двух пунктов, касающихся соответствия политик и ограничений на имена. В сертификате УЦ, который участвует во взаимодействии между разными корпоративными PKI, необходимо:
1. задавать дополнение Policy Mappings (соответствие политик) как некритичное и устанавливать в нем только соответствие политик издателя, которые указаны в дополнении Certificate Policies; 2. задавать дополнение Name constraints (ограничения на имена) как критичное. Исключать поддеревья в иерархии отличительных имен, соответствующие локальному пространству имен каждой PKI. Это позволяет субъекту одной PKI не принимать сертификаты другой PKI, которые содержат локальные имена.
В соответствии с требованиями конкретной локальной среды в сертификате могут указываться и другие дополнения, они должны быть помечены как некритичные.
Сертификаты мостовых удостоверяющих центров
К содержанию сертификатов мостовых удостоверяющих центров применимо большинство требований, характерных для сертификатов удостоверяющих центров, используемых при взаимодействии разных PKI. Но поскольку пространства имен, поддерживаемые мостовым УЦ, не прогнозируемы, в дополнении "ограничения на имена" не должны указываться разрешенные поддеревья иерархии имен, а в дополнении Basic Constraints (основные ограничения) значение длины пути не должно задаваться до тех пор, пока не будет спрогнозирована длина пути сертификации.