Серверы сертификатов, или общение без страха. Сертификат сервера истек что делать

Все сайты по умолчанию используют протокол HTTP для получения и передачи информации. Он применяется для отображения HTML-страниц, тех самых, что видит каждый пользователь, заходя по адресу сайта. Особенность HTTP в том, что он не хранит никакой информации о том, был ли посетитель на сайте раньше или нет. Это ускоряет загрузку сайта, но при этом нет практически никакой безопасности. В результате появился протокол HTTPS — (Secure HyperText Transfer Protocol).

«Безопасный HTTP» специально разработали для обмена конфиденциальной информацией — паролями, персональными данными, банковскими реквизитами. Такие данные необходимо передавать по безопасному каналу, чтобы третьи лица не могли перехватить их или взломать сайт.

Поскольку HTTP и HTTPS очень схожи между собой, пользователь разницу не чувствует. Но HTTPS обладает дополнительным уровнем защиты, используя специальный протокол для шифрования данных — SSL. HTTPS отвечает за то, чтобы данные были переданы в полном объеме, без потерь. SSL-протокол обрабатывает передаваемую информацию и шифрует ее от злоумышленников. Действуя «сообща», HTTPS и SSL надежно защищают данные от взлома и утечки. Google фиксирует это важное отличие от HTTP и проверяет его при отображении сайта в поиске.

Если сайт не защищен SSL-сертификатом, то в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупреждает пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Что хочет Google?

Google заботится о своих пользователях и хочет, чтобы сайты, по которым попадает клиент из поиска, были надежно защищены и безопасны для использования. Для этого поисковик запрашивает у сайта специальный SSL-сертификат. Получить его можно, обратившись в специальные организации, которые выступают в качестве доверительной стороны между клиентом и сайтом. Наличие сертификата серьезно влияет на выдачу сайта в поиске и получить его нужно даже если компания не занимается обработкой персональных данных пользователей.

Если сайт не защищен SSL-сертификатом, то постепенно он начнет терять свои позиции в поиске Google. Отсутствие HTTPS-протокола говорит пользователям и поисковику, что безопасность данных будет под угрозой, а значит, отображать сайт на первых страницах результатов поиска и переходить на него нельзя. Кроме этого, в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупредит пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Каким типам сайтов нужен SSL?

• интернет-магазинам;
• сайтам с личным кабинетом;
• сайтам, где есть формы связи, собирающие контакты и т.п;
• а если коротко — всем.

Как отсутствие SSL-сертификата повлияет на сайт?

Очень негативно. Фактически, сертификат сайта — его «паспорт» в интернете. Может ли гражданин полноценно существовать без паспорта?

• Google будет серьезно понижать сайты без SSL-сертификата в своей поисковой выдаче. Каким бы крупным не был сайт, отсутствие безопасной связи с посетителями считается поисковым гигантом серьезным недочетом, из-за которого продвигать сайт в ТОПе нельзя. Он уйдет с первых страниц поиска.
• Ваша компания будет считаться ненадежной. Надпись «Не защищено» заставит потенциальных клиентов с подозрением относиться к вашему бизнесу или проекту и негативно воспринимать просьбу отправить персональные данные через формы обратной связи.
• Все крупные и популярные сервисы отказываются работать с сайтами без HTTPS, к примеру, Яндекс Касса.
• Сайт будет выглядеть подозрительно . Отсутствие защищенного канала для передачи данных не дает гарантии, что сообщение не изменилось в процессе доставки, пользователь настоящий, а общение клиента с менеджером конфиденциально.
• Принесет репутационные потери — небезопасный сайт пользователи оценят как недействительный, а компанию — фиктивной или ненадежной. SSL-сертификат подтверждает, что бизнес легальный, компания действительно существует и корректно взаимодействует с клиентами.

Что делать?

Установить SSL-сертификат.

Клиентам компании WebCanape доступна услуга установка SSL-сертификатов, с помощью которых сохранится репутация компании и сайта.

При заказе нового сайта, оплате доменного имени и хостинга через WebCanape — установка и обслуживание SSL-сертификата в течение первого года — бесплатно.

Как это работает?

SSL-сертификат — специальный протокол связи, проверяющий подлинность и шифрующий данные между пользователем и веб-сайтом. Злоумышленники не взломают и не украдут персональную информацию, платежные сведения и другие данные — расшифровать информацию можно только с помощью специального генерируемого ключа, уникального для каждого пользователя.

Существует три типа сертификатов: «начальный», «бизнес» и «расширенного уровня». Какие они?

• DV-сертификаты (DomainSSL) — доступны частным лицам и организациям, подтверждает права на доменное имя. Самые простые и дешевые.
• OV-сертификаты (OrganizationSSL) — подтверждают существование доменного имени и компании, владеющей сайтом.
• EV-сертификаты (ExtendedSSL) — самый престижный тип сертификатов, вызывающий максимальное доверие пользователей. Адресная строка при открытии сайта с таким сертификатом становится зеленой, подписывается название магазина или организации. Это выделяет компанию на фоне конкурентов, не оставляя тени сомнения в надежности бизнеса.

Обратите внимание на дополнительные опции SSL-сертификатов

Кроме сертификата, есть «печать доверия» или «логотип доверия». Это изображение с логотипом центра сертификации, демонстрирующее факт проверки сайта. Ее ставят вместе с сертификатом, чтобы продемонстрировать, что сайт был проверен и надежно защищен. Существует два вида:

• Статическая печать. Для недорогих сертификатов, отображает информацию сертификационного центра. По клику на картинку открывается сайт центра, где компания проходила проверку.
• Динамическая печать . При наведении открывает окошко с подробностями о компании и SSL-сертификате.

Некоторые сертификаты не просто защищают домен сайта. К примеру:

• WC (WildCard) — защищает домен и поддомены, вплоть до третьего уровня (smolensk.shop.test.ru);
• MD (Multidomain, SAN) — защищает до 100 доменов (shop.ru, domain.ru, smolensk.ru);
• IDN (Internationalized Domain Name) — для корректной защиты национальных доменов, в том числе, кириллических адресов (тест.рф);
• SGC (Server Gated Cryptography) — помогает повысить безопасность клиентов, использующих старые браузеры. Это особенно важно, к примеру, для сайтов госструктур.

С первого взгляда выглядит сложно, поэтому расскажем подробнее, что купить, чтобы все было хорошо.

Алгоритм выбора SSL-сертификата для сайта

Шаг 1. Определите особенности сайта

• Если 1 латинский домен и поддомен www, то выбирайте практически любой сертификат
• Если нужна защита поддоменов, то выбирайте сертификат с пометкой Wildcard
• Если у вас много сайтов и хотите защитить всех одним сертификатом, то правильным выбором станут SAN или Multi-Domain сертификаты
• Если у вас кириллистический домен, то берите IDN-сертификат
• В случае кириллического домена с поддоменами — Wildcard+IDN

Шаг 2. Домен оформлен на физическое или юридическое лицо?

• Домен оформлен на физлицо — можно покупать только DV-сертификат (начального уровня)
• Домен оформлен на юридическое лицо — покупайте любой сертификат

Шаг 3. Насколько крупный сайт?

• Если проект небольшой, а сайт информационный, нужно дешево и просто — выбирайте DV-сертификат, подойдет и для поисковиков, и для безопасного соединения
• В случае интернет-магазина, государственного учреждения или корпоративного сайта организации, желательно выбрать SSL-сертификат бизнес-уровня. Он выделит вас среди конкурентов, обезопасит сделки с клиентами и надежно защитит данные
• Крупный интернет-магазин, финансовые организации, корпоративные порталы и десятки конкурентов на рынке? Необходим расширенный SSL-сертификат

Доступные для покупки сертификаты в WebCanape

1. GlobalSign AlphaSSL . Выдается очень быстро, доступен физлицам и организациям, защищает поддомены, но не поддерживает кириллические адреса. Совместим со всеми браузерами и мобильными устройствами, имеет бесплатный значок AlphaSSL. Без технической поддержки. Отличный базовый вариант для простых проектов.
2. GlobalSign DomainSSL . Очень популярный в Интернете SSL-сертификат, подтверждающий права на домен. Кроме тех параметров, что уже перечислены в AplhaSSL, содержит имя домена, значок аутентичности, его установка возможна на бесконечное число серверов.
3. GlobalSign OrganizationSSL . Доступен только юридическим лицам, поддерживает кириллические адреса и подтверждает как домен, так и легальность компании. Название организации отображается на значке и в сертификате.
4. GlobalSign ExtendedSSL. Высочайший класс защиты. При заходе на сайт адресная строка подсвечивается зеленым, отображается название организации. Серьезно повышает доверие клиентов и посетителей сайта, что как следствие — повысит продажи товаров и услуг. Оформляется только на юридическое лицо.
5. Comodo PositiveSSL . Один из самых дешевых SSL-сертификатов на рынке, не требует документов о владении доменом, логотип безопасности бесплатен. Поддерживает кириллицу. Подходит только для базовых проектов.
6. Comodo EssentialSSL. Практически полный аналог Comodo PositiveSSL с длинным ключом шифрования (до 2048 бит) и печатью сертификации Comodo. Подходит только для базовых проектов.

На начальном этапе мы рекомендуем установить сертификат GlobalSign DomainSSL от Reg.ru. Если вы клиент нашего хостинга и покупали доменное имя через WebCanape, то сертификат дается на первый год в подарок, далее его продление будет стоить около 2500 руб. в год. Плюс переустановка на хостинг — 3000 руб. Однако этот сертификат не работает с кириллическими доменами и не защищает домены третьего уровня.

В данном разделе представлены ответы на наиболее популярные вопросы, возникающие у клиентов компании и посетителей сайта.

SSL — что это такое?

Аббревиатура расшифровывается как Secure Sockets Layer, что по-английски означает «уровень защищенных сокетов». В данном случае речь идет о криптографическом протоколе, который был разработан в 1996 году специалистами компании Netscape. Он обеспечивает передачу конфиденциальных сведений, которая осуществляется между клиентом и пользователем по безопасному каналу. В настоящее время SSL-протокол является наиболее востребованным способом защиты данных, передаваемых через Интернет. При использовании этой технологии клиент и сервер еще до начала сеанса связи определяют оптимальный алгоритм шифрования и общие ключи. Она поддерживается всеми современными интернет-обозревателями и операционными системами, относится к числу промышленных стандартов и задействуется миллионами веб-ресурсов для обеспечения безопасной работы пользователей Интернета. Для применения технологии на сервере должен быть установлен соответствующий SSL сертификат.

Что такое SSL сертификат?

Это - цифровой документ, подтверждающий надежность и конфиденциальность данных, передаваемых между сервером и клиентом. Его наличие способствует повышению уровня защиты информации. В свою очередь, это положительно скажется на имидже предприятия.

Сертификат выдается на конкретное доменное имя, включает все необходимые сведения о владельце веб-ресурса и центре сертификации, ответственном за его выдачу. Что касается информационного содержания сертификата, то оно определяется его типом. Всю эту информацию можно просмотреть в информации о сертификате, кликнув на значок замка или сокращение https в адресной строке браузера:

Для чего нужен SSL сертификат?

Исходя из того, что такое , его наличие гарантирует:

• подлинность передаваемой информации. Обмен данными клиент осуществляет именно с тем доменом, который действительно принадлежит указанному предприятию;
• конфиденциальность. Вероятность перехвата информации исключена;
• целостность сведений. Данные передаются в полном объеме, их изменение в процессе передачи невозможно.

Знать, что такое SSL сертификат, и иметь его должны владельцы веб-ресурсов, непосредственно работающие с конфиденциальной информацией. Обычно это - пароли, паспортные данные, пин-коды, номера телефонов и кредитных карт и т. п. Передача подобных данных по незащищенным каналам связи делает их крайне уязвимыми: высока вероятность перехвата таких сведений злоумышленниками, которые используют их для достижения корыстных целей. В связи с этим необходимо обезопасить себя и своих клиентов от подобных рисков. В любом случае веб-ресурс, защищенный SSL сертификатом, вызывает значительно больше доверия у пользователей.

Как правильно выбрать сертификат SSL?

Существует несколько типов SSL сертификатов. Общая классификация представлена на изображении ниже:

Так, продукты, что обеспечивают исключительно шифрование данных (без подтверждения бизнес-статуса), называются (c проверкой домена). Они относятся к начальному уровню, в связи с чем отличаются выгодной ценой и скоростью выпуска. Приобретать их могут частные лица и организации, при этом не требуется представление никаких документов.

Следующий тип сертификатов - (c проверкой организации) - рекомендуется для применения небольшими онлайн-магазинами и прочими коммерческими веб-ресурсами с целью подтверждения того, что информация передается в том виде и объеме, в котором она была отправлена, и обеспечения безопасности совершаемых денежных транзакций. Наличие Organization Validation SSL гарантирует надежность и полную легитимность деятельности компании, при этом подтверждая ее бизнес-статус. Такие сертификаты приобретаются только юридическими лицами после предоставления необходимых сведений о предприятии.

Крупным финансовым структурам рекомендуется приобретать - SSL сертификаты расширенной проверки. Это - самый надежный тип, выдаваемый только юридическим лицам и лишь после углубленной проверки легальности их деятельности. Их особенность заключается в наличии специальных индикаторов - зеленой адресной строки и названия организации в ней.

Для защиты конфиденциальной информации сразу нескольких разделов сайта хорошим вариантом являются SSL - сертификаты с поддержкой поддоменов. С их помощью обеспечивается безопасность требуемого количества субдоменов третьего уровня, они доступны для приобретения частными лицами и организациями.

Обеспечить эффективную защиту сразу нескольких доменных имен и поддоменов можно с помощью Multidomain или - мультидоменных сертификатов. Это избавляет от необходимости приобретения нескольких одиночных продуктов, вместо них можно купить один общий. Это выгодно по деньгам и времени, такие сертификаты доступны частным и юридическим лицам.

Что такое SSL сертификат для IP-адреса и как его получить?

Он был доступен ранее, однако с ноября 2014 года центры сертификации прекратили выпуск сертификатов SSL для IP-адресов.

Каким образом можно получить сертификат SSL для локального домена?

К сожалению, в настоящее время такой возможности нет. С 2014 года центры сертификации прекратили выдачу SSL сертификатов для локальных доменов. Теперь для получения SSL сертификата необходимо перевести Ваше доменное имя в FQDN-домен (например, billing.local теперь должен выглядеть как billing.domain.ru).

Это также касается почтовых серверов.

Что необходимо для получения сертификата SSL ?

Порядок действий зависит от специфики ситуации. Во всех случаях необходимо:

1. выбрать подходящий тип и оформить заказ;
2. сформировать CSR запрос на получение сертификата (подробнее о нем рассказывается ниже) и ввести технические данные домена;

SSL-сертификат (от англ. Secure Sockets Layer — уровень защищённых сокетов) - это протокол для кодировки данных, которые идут от пользователя к серверу и обратно.

Как SSL-сертификат работает?

На сервере есть ключ, с помощью которого шифруются любые данные, которыми он обменивается с пользователем. Браузер пользователя получает уникальный ключ (который известен только ему) и таким образом складывается ситуация, когда расшифровать информацию может только сервер и пользователь. Хакер конечно может перехватить данные, но расшифровать их практически невозможно.

Зачем SSL-сертификат владельцу сайта?

Если ваш сайт подразумевает регистрацию для пользователей, онлайн-покупки и т.д., то SSL-сертификат будет хорошим сигналом для пользователя, что вашему сайту можно доверять. Сегодня многие пользователи не знают об этом, и без раздумий передают данные своих кредиток на различных сайтах. Но в будущем таких людей будет становиться все меньше и меньше, т.к. после первой же пропажи денег с карточки человек сразу задумывается "а что нужно делать, чтобы деньги не пропадали?", "каким сайтам можно доверять?". В итоге о безопасном соединение, говорит наличие протокола https:// в адресе сайта или такой вид адресной строки в браузере.

Как получить SSL-сертификат?

SSL-сертификаты выдают специальные сертификационные центры, наиболее популярными в мире считаются Thawte , Comodo , Symantec . Но все они имеют англоязычный интерфейс, что создает определенные неудобства для отечественных пользователей. Поэтому сейчас появилось очень много компаний, которые являются посредниками и продают SSL-сертификаты. Это же делают и крупные хостинг-компании, и регистраторы доменов. Мы рекомендуем покупать сертификаты именно у качественных хостеров или регистраторов доменов. А еще лучше, покупать их у той компании, у которой вы регистрировали свой домен. Как правило эти компании сотрудничают с сертификационными центрами, и за счет объема имеют существенную скидку. Поэтому итоговая цена для вас скорее всего не будет меняться.

Какие бывают SSL-сертификаты?

Начальный уровень

Как правило такие сертификаты покупают в том случае, если не нужно подтверждать компанию (или компании вовсе нет, а сайт принадлежит частному лицу), а нужно лишь безопасное соединение.

• Самые дешевые
• Срок выдачи: несколько часов
• Подтверждают права на домен, и не подтверждают компанию
• Для юридических, физических и частных лиц
• Не нужны какие-либо документы

Средний уровень

Такие сертификаты уже могут подтвердить компанию владельца домена, что вызывает больше доверия у посетителей сайта. Ведь документы компании проверяет аттестационный центр, что должно вызывать максимальное доверие пользователей. При этом адрес сайта в браузере подсвечивается зеленым цветом.

• Средняя стоимость
• Срок выдачи: в течении недели
• Подтверждают компанию, которая владеет доменом
• Только для юридических лиц
• Требуются документы, подтверждающие вашу компанию и ее адрес

высокий уровень

Данные сертификаты имеют все показатели Среднего уровня, но цена их дороже, за счет маркетинговой игры центров аттестации. Так например вы сможете их использовать не только на основном домене, но и на поддоменах (например forum.mysite.com и т.д.), или пользователи с устаревшими браузерами смогут использовать защищенное соединение. Также от уровня сертификата зависит максимальный срок регистрации сертификата. Как правило он составляет 1-4 года от даты выдачи.

Сколько стоит SSL-сертификат?

Цена находится в рамках от 30 до 1200 долларов США в год. Но есть и бесплатные варианты, в виде бесплатные варианты , хотя их использование не совсем удобно.

Что нужно чтобы получить?

Для сертификатов низкого уровня

• e-mail (обязательно чтобы он принадлежал вашему сайту, например для сайта mysite.com имейл может быть [email protected]
• Имя или организация
• Адрес

Для сертификатов более высокого уровня

Здесь проводиться проверка организации, поэтому к тому, что перечислено выше вам придется добавить:

• Телефон
• Документы подтверждающие организацию (номер регистрации компании или подобные документы). В целом для каждой страны перечень
• документов разный, но будьте готовы к серьезной проверке, в плоть до того, что придется высылать копию договора о предоставлении услуг связи, чтобы подтвердить телефон. Отправка скан-копий документов возможно по факсу и электронной почте.

Также для получения SSL-сертификата у домена должен быть отключен WHOIS-Protect (скрытие данных о домене). На сегодня это правило не действует лишь на домены.ru и.рф. И еще, обязательной является генерация CSR.

Что такое CSR?

CSR (Certificate Signing Request) - это зашифрованный запрос, который нужно приложить к заявке отправляемой в центр сертификации. Этот запрос нужно сгенерировать на сервере, на котором расположен ваш сайт. Процесс генерации CSR зависит от сервера, а точнее от программного обеспечения, которое на нем установлено. Если покупать сертификат через хостинг-компанию у которой расположен ваш сайт, то скорее всего вам будет представлен удобный интерфейс для генерации CSR. Если же его нет, то мы расскажем как это сделать для наиболее распространенного серверного софта (Linux\Apache).

Как генерировать CSR?

1. Подключаетесь к серверу через SSH-соединение

Используем программу PuTTY . В командной строке вводите:

openssl genrsa -out myprivate.key 2048

Тем самым мы генерируем закрытый приватный ключ для CSR. При этом будет задано два вопроса "Enter pass phrase for private.key" и "Verifying - Enter pass phrase for myprivate.key" - это просьба два раза ввести пароль для ключа. Важно чтобы вы его запомнили, т.к. понадобится на следующем шаге. В результате будет сгенерирован файл myprivate.key.

2. Генерируем CSR

Вводим команду:

openssl req -new -key myprivate.key -out domain-name.csr

Только меняйте domain-name на имя вашего домена. Потом в ответ на вопрос "Enter pass phrase for myprivate.key" вводим пароль, который мы задавали на предыдущем шаге.

После этого только английскими буквами заполняем:

Country Name - Код страны в формате ISO-3166 (нам нужен двухбуквенный код, берем его из колонки Alpha-2);
State or Province Name: Область или регион\штат;
Locality Name: Город;
Organization Name: Организация;
Organizational Unit Name: Подразделение (необязательное заполнять);
Common Name: доменное имя;
Email Address: ваш E-mail (необязательное поле);
A challenge password: (не нужно заполнять);
An optional company name: Другое название организации (не нужно заполнять).

Все данные которые вносятся должны быть правдивыми и совпадать с теми, которые вы заполняли при регистрации домена (проверить их можно через WHOIS-сервисы). В результате этих операций, на сервере будет создан файл domain-name.csr. Его нужно сохранить, и потом приложить к заявке на получение SSL-сертификата, которая подается в центр сертификации.

Что делать, после получения SSL-сертификата?

После получения сертификата его нужно установить на сервер. Процесс установки достаточно простой, но очень отличается в зависимости от программного обеспечения сервера. Поэтому поищите инструкцию на сайте хостинг-провайдера, а еще лучше - обратитесь в техническую поддержку, чтобы правильно все настроить.

Что делать если изменились данные организации или поменялся хостинг?

В таких случаях нужно переиздавать SSL-сертификат, но при этом это должно делать бесплатно для вас.

Когда вы открываете браузер, то планируете, что всё будет в обычном режиме. Но что делать, если компьютер не хочет работать как надо? И сообщает, что сертификат сервера недействителен? В этом случае вам необходимо проверить, как всё работает, всё ли правильно выставлено, и нет ли каких-то проблем. Можно увидеть это сообщение на крупных сайтах (недействительный сертификат сервера Google, "ВКонтакте"), которые просто не могут допустить такую оплошность.

Что это значит?

Для начала: зачем используется данное обозначение? Что это значит, когда компьютер сообщает, что представленный сервером сертификат недействителен? Таким образом, компьютер говорит, что электронные документы сайта, которые он предоставил, имеют какую-то неточность, благодаря чему у машины есть основание для сомнений относительно его подлинности или полноценности функционирования. Данная проблема может возникнуть как из-за неполадок со стороны сервера, так и из-за неточностей на ЭОМ пользователя. Если рассматривать первую версию, то тут может быть такое:

1. Неполадка с сайтом центра сертификации. Все эти подтверждения выдают специальные организации. И как любой другой, они не застрахованы от возможных проблем вроде террористов, землетрясения, оползней, повреждения линий передач и многих других проблем. Но это случается крайне редко, и уповать на данный пункт особо не приходится.
2. Проблемы с сайтом вследствие технических неполадок или умышленного вреда. Здесь тоже может пойти что-то не так. Системный администратор что-то не то нажал или злоумышленники ведут атаку сервера, результат один - сертификат сервера недействителен. Но это тоже редко случается.

Основные проблемы данного типа происходят в основном на клиентских компьютерах пользователей. Здесь уже может быть ассортимент причин намного шире, поэтому будут названы основные:

1. Неправильно установленное время.
2. Проблема с программным обеспечением, предназначенным для просмотра Всемирной сети.

И как же устранить данные проблемы? Вот этому вопросу сейчас и будет уделено внимание.

Настройка времени

Самая популярная причина. Если на компьютере стоит неверное время или дата, то когда происходит получение всех файлов, машина видит, что параметры не совпадают, и информирует пользователя, что сертификат сервера недействителен. Это всё делается с целью обезопасить человека, который выходит в интернет, и не допустить потери важных для него данных. Исправить данную проблему очень легко - для этого достаточно всего лишь исправить время на и час, и данной проблемы не будет. На этот случай приходится приблизительно 95% подобных происшествий.

Убираем проверку сертификата

Что делать, если проблема не во времени, а в чем-то другом? И что бы вы ни делали, сертификат сервера недействителен и в таком статусе и остается? И при этом доступ к данным следует получить срочно? Что ж, если нет времени искать истинную причину, то можно поступить просто и эффективно - всего лишь отключить проверку сертификата. Для этого необходимо перейти в настройки своего браузера, затем зайти в раздел безопасности и совершить необходимые действия (более конкретный план напрямую зависит от используемой программы). И компьютер не сможет заблокировать доступ к сайту, потому что сертификат сервера недействителен. Но совершайте данные действия относительно только тех сетевых ресурсов, которым вы доверяете.

Заключение

Почему было рассмотрено так мало причин и способов их устранения? Дело в том, что с их помощью можно решить основную массу проблем, которые возникают, когда сертификат сервера недействителен. Если они не помогли, то вам вряд ли под силу уже устранить неисправности, и тут нужна помощь специалиста.

16.09.1997 Тодд Купи

Все четыре программных продукта, о которых пойдет речь в обзоре, облегчают работу с сертификатами безопасности, но сервер WebСА компании Entrust справляется с этой задачей лучше остальных. WebСА вызывает доверие Sentry

Все четыре программных продукта, о которых пойдет речь в обзоре, облегчают работу с сертификатами безопасности, но сервер WebСА компании Entrust справляется с этой задачей лучше остальных.

Вряд ли кто-нибудь захочет завести случайные связи в киберпространстве, посылая по Internet конфиденциальную информацию для непроверенного партнера. Разумнее - воспользоваться услугами солидных "бюро знакомств", которые позволят удостовериться, что тот, кто находится на другом конце провода, вполне благонадежен. В компьютерном мире роль бюро знакомств играют специальные программы, называемые серверами сертификатов безопасности (или просто серверами сертификатов).

Серверы WebСА 1.0.1 (Entrust Technologies), Sentry CA Apache Stronghold Release 1.2 (Xcert Software), Certificate Server 1.01 (Netscape Communications) и e-Cert (Frontier Technologies) предназначены для решения именно этой задачи. Все они позволяют создавать и обрабатывать цифровые сертификаты в стандарте Х.509 и, наряду с технологией шифрования, используются для защиты данных, передаваемых между пользователями. По сути дела, сертификаты препятствуют попыткам злоумышленника, применяющего фальшивый шифровальный ключ, выдать себя за другого. С помощью серверов, находящихся в распоряжении службы сертификации (их называют серверами сертификатов), можно создавать, хранить и обрабатывать сертификаты в безопасном режиме (см. ). Если вы уже пришли к выводу, что нуждаетесь в цифровых сертификатах, для вас не составит большого труда установить в частной сети сервер сертификатов с помощью любого из четырех программных продуктов, о которых пойдет речь ниже.

Среди протестированных нами продуктов наивысшей оценки заслуживает пакет WebСА компании Entrust: он быстро устанавливается, обладает удачным интерфейсом, легко настраивается и стоит недорого. Однако конкуренция между программами была очень жесткой. Certificate Server компании Netscape - неплохой вариант для пользователей, вынужденных управлять большим количеством сертификатов и готовых смириться с достаточно неудобной процедурой установки. Серверы Sentry CA компании Xcert и e-Cert компании Frontier Technologies тоже довольно привлекательны; их можно использовать на узлах, работающих под управлением ПО на базе Unix и Microsoft соответственно.

WebСА вызывает доверие

Сервер сертификатов WebСА компании Entrust Technologies появился на рынке одним из первых и явно предназначен для работы на корпоративном уровне. Он оказался очень серьезным продуктом. Благодаря способности осуществлять взаимную аутентификацию WebСА производит аутентификацию сертификатов, хранящихся на других серверах. Стоимость этого пакета невысока (500 дол. за 500 сертификатов), что позволяет создавать у себя службы корпоративного масштаба небольшим и среднего размера компаниям.

Сервер WebСА привлекателен и совместимостью со многими другими программными продуктами. Такие гиганты компьютерного бизнеса, как IBM, Novell и Hewlett-Packard, создают специализированные прикладные программы, в которых используются сертификаты, созданные при помощи WebСА. Даже Netscape, разработавшая конкурирующий сервер сертификатов, выпускает версию своего сервера Communicator 4.0, снабженную совместимым с WebСА браузером.

WebСА работает под управлением Windows NT 3.51 или выше и хорошо совместим с любым Web-сервером, который применяет протокол безопасности SSL (Secure Sockets Layer) и работает под управлением NT, - в том числе с серверами Internet Information Server (IIS) компании Microsoft и Enterprise Server компании Netscape. Мы проверили, как WebСА работает с IIS 3.0, и не обнаружили никаких проблем. Установливая в сети сервер WebСА, администраторы получат настоящее удовольствие - настолько проста эта процедура.

В комплект сервера WebСА входит Entrust/Directory - база данных, совместимая с протоколом LDAP (Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогам). Она используется сервером для хранения и обработки содержащейся в сертификатах информации. Объем базы данных достаточен для того, чтобы держать на одном сервере сведения о 5 тыс. пользователей. Если требуется создать большее число сертификатов, то в WebСА имеются ссылки на более крупные каталоги Х.500.

Вместе с сервером WebСА поставляются образец заявки на выдачу сертификата, сценарии интерфейса общего шлюза и страницы в формате HTML. Все эти элементы настраиваются по вашему желанию. Пользователь способен создавать сертификаты различных типов и в любом количестве в соответствии с определенной для него привилегией доступа. При соответствующей настройке сервер позволит загружать список пользователей из имеющегося каталога или принимать целевые запросы на выдачу сертификатов. Благодаря основанному на браузере и очень простому в работе интерфейсу администраторы добавляют группы новых пользователей, аннулируют их и исключают из списков, изменяют некоторые параметры сертификатов (например, сроки действия), а также добавляют и аннулируют имена других администраторов. Пользователи, нуждающиеся в сертификатах для работы с браузерами, могут связаться с WebСА через Web с помощью специальной страницы, которая позволяет подготовить заявку на выдачу сертификата и направить ее администратору узла.

Большинство серверов сертификатов отвечают на запросы пользователей электронным письмом, содержащим ссылку на Web-страницу, к которой пользователь должен обратиться для получения сертификата. Сервер WebСА дает возможность получать сертификаты из каталога, поддерживающего протокол LDAP.

Единственным минусом WebСА является то, что он не удовлетворяет автоматически некоторые запросы на предоставление сертификата. Поэтому администраторам сервера во всех случаях приходится выдавать соответствующее разрешение вручную. Это может привести к образованию больших очередей на узлах, обслуживающих крупные сообщества пользователей.

Sentry - бдительный часовой

Сервер Sentry CA компании Xcert Software успешно развеивает миф о том, что установка ПО под ОС Unix требует как минимум ученой степени в области программирования и работы с операционными системами. Нам потребовалось менее 15 минут, чтобы разархивировать дистрибутивный файл, запустить установочную программу и настроить сервер для работы на компьютере SPARC 5 компании Sun Microsystems под управлением операционной системы Solaris 2.5.1.

Sentry CA совместим с популярным Web-сервером Apache, если последний снабжен программным модулем Stronghold компании C2 Net, поддерживающим безопасные транзакции. При этом сам сервер Sentry CA комплектуется полным набором программ, входящих в сервер Apache. К сожалению, компания Xcert пока не выпустила сервер Sentry CA в виде расширения для серверов Netscape Enterprise Server и Microsoft IIS.

Набор функций Sentry CA производит очень приятное впечатление. Продукт поддерживает режим взаимной аутентификации со службами сертификации других организаций, работающих с той же локальной сетью, с помощью безопасного протокола LDAP, поэтому можно принимать и обрабатывать их сертификаты. В состав сервера включены также модули списка управления доступом (ACL, Access Control List), которые предоставляют администратору возможность разрешать или запрещать доступ пользователя к ресурсам на основании его сертификата. Мы чрезвычайно легко создали несколько ACL-объектов, ограничивающих доступ к каталогам нашего Web-сервера на основании имени организации, указанного в сертификате.

Если вы намерены пополнить ваш арсенал средств безопасности шифровальными устройствами типа смарт-карт, то для вас окажется очень полезной поддержка сервером Centry CA устройств, совместимых со стандартом PKCS (Public Key Cryptography Standards #11). Благодаря этой поддержке сервер удовлетворяет запросы на сертификаты, отправленные с помощью смарт-карт NetSign компании Litronic и шифровальных модулей Cryptographic Token компании Fischer International. Те и другие представляют собой аппаратные средства распознавания; пользователи вставляют их в специальное считывающее устройство, соединенное с компьютером.

Как и в других аналогичных продуктах, взаимодействие с сервером Sentry CA осуществляется через стандартный Web-браузер. Используя специальные формы, которые входят в комплект сервера, пользователи запрашивают сертификаты, а администраторы удовлетворяют эти запросы, ведя с пользователями диалог по электронной почте. Запросы на выдачу сертификатов могут высылаться автоматически, без вмешательства администратора, что очень удобно, - особенно для узлов, на которых выдавается большое количество сертификатов. Следует отметить: сертификаты нельзя создавать внутри Sentry CA, их приходится приобретать у независимой службы, что неизбежно увеличивает полную стоимость сервера.

Среди достоинств Sentry CA следует отметить развитый интерфейс прикладного программирования Xcert Universal Data API (XUDA). Набор инструментальных программ XUDA обеспечивает большую гибкость в работе с базой данных, предназначенной для хранения сертификатов. Эти программы применимы и для разработки приложений, использующих сертификаты с открытым ключом, SSL-транзакции и безопасный доступ к базам данных.

Certificate Server совсем неплох

Продукт Certificate Server компании Netscape не обладает такими же развитыми возможностями, как Sentry CA, столь же отчетливой ориентацией на корпоративную работу и таким же простым интерфейсом, как WebСА, но все же является вполне достойным. Как и другие серверы, созданные Netscape, Certificate Server работает под управлением ОС Windows NT и целого ряда версий Unix, что упрощает задачу его интеграции с корпоративной сетевой средой. Certificate Server поддерживает до 10 тыс. сертификатов на каждый сервер. Он может быть приобретен в составе комплекта SuiteSpot Professional Edition производства Netscape и прекрасно совместим с другими продуктами этой компании.

Основным достоинством сервера является основанный на Web-браузере пользовательский интерфейс. Он не столь удобен в работе, как интерфейс сервера WebСА, но простые электронные формы, входящие в состав сервера, позволяют настроить большинство функций. С помощью сертификата, предоставившего нам права администратора, мы воспользовались протоколом SSL для регистрации в программе и создали в ней настраиваемые шаблоны, а затем - выдавали, находили и аннулировали выданные сертификаты.

Действуя в качестве пользователя, мы запрашивали сертификаты для сервера и отдельного пользователя. Чтобы получить разрешение, нужно было заполнить соответствующую форму и поставить ее в очередь к администратору сервера. Оба типа полученных нами сертификатов работали с самыми последними версиями браузеров Navigator и Internet Explorer, настроенными на функционирование в безопасной сетевой среде.

Certificate Server поставляется в комплекте с сервером Online Workgroup Server компании Informix Software, который используется для хранения и обработки сертификатов. Специальная база данных учитывает любое изменение в статусе каждого из созданных сертификатов и включает в себя такие сведения, как время создания и аннулирования, имя подписавшего сертификат и т. п. Если ваша сетевая среда поддерживает протокол LDAP, то для вас окажутся полезными прямые ссылки на сервер Directory Server компании Netscape, которые содержатся в Certificate Server. Они позволяют размещать действующие сертификаты и списки аннулированных сертификатов в каталогах LDAP.

В целом благоприятное впечатление от продукта компании Netscape было омрачено лишь неудобной процедурой его установки. Чередование диалоговой программы с вводом команд из командной строки представляло собой странную комбинацию, которая привела нас в некоторое замешательство.

e-Cert - часть системы e-Lock

Сервер e-Cert является одной из трех составных частей системы безопасности e-Lock, разработанной компанией Frontier: для выдачи сертификатов и управления ими используется компонент e-Cert, для создания цифровых подписей под любым файлом или документом - e-Sign, а с помощью e-Mail можно зашифровать и подписать электронное послание, передаваемое по протоколу Secure MIME. Другие рассмотренные нами серверы сертификатов тоже поддерживают продукты, сходные с e-Sign и e-Mail, но только Frontier включила эти программы в комплект своего сервера.

Установка e-Cert 1.1 на ПК класса Pentium под управлением Windows NT Server 4.0 оказалась гораздо более простой, чем в случае с Certificate Server. Нам помогла установочная программа Install Wizard. Процедуру установки сервера облегчают многие заимствования из концепции "мастеров" (wizards), предложенной компанией Microsoft.

Программа e-Cert относится к тем немногим серверам сертификатов, которые используют различные базы данных для хранения сертификатов. Можно выбрать любую систему управления базами данных, совместимую с ODBC (Open Database Connectivity), практически любую коммерческую СУБД на базе SQL или каталог LDAP. В комплект сервера входят несколько удобных демонстрационных программ, одна из которых автоматически выдает пользователю сертификат через Web-браузер.

Сервер сертификатов e-Cert прост в эксплуатации и совместим с такими промышленными стандартами, как PKCS. Однако он лишен некоторых полезных функций, например удобного способа выдачи сертификатов пользователям. Когда пользователь присылает файл с запросом на сертификат (или сертификат, полученный от публичной службы сертификации), приходится вручную переносить его на e-Cert путем загрузки с диска или копирования с другой машины в сети. Затем администратор должен изучить запрос и принять по его поводу какое-либо решение. Еще один потенциальный недостаток e-Cert кроется в отчетливой ориентации пакета на сервер IIS и браузер Internet Explorer. Если ваша сетевая среда ориентирована на операционную систему Unix или продукты компании Netscape, вам следует поискать какой-нибудь другой вариант.

Тодд Купи (Todd Coopee) - помощник руководителя технической службы колледжа Trinity College в г. Хартфорд (шт. Коннектикут). Адрес его электронной почты - [email protected] .

Результаты испытаний серверов сертификатов

Что такое "сертификаты безопасности"

Термин "служба сертификации" (Certificate Authority, CA) берет свое начало в области шифрования с открытым ключом (public key). В этом шифровальном алгоритме шифровальный ключ состоит из двух частей: открытого ключа (он опубликован и доступен всем желающим) и секретного (private key), который известен только его владельцу. Конфиденциальные сообщения шифруются и отсылаются с помощью открытого ключа, но расшифроваются только благодаря секретному ключу, которым располагает адресат сообщения. Открытый и секретный ключи фактически являются инверсными копиями друг друга, однако из-за большого размера шифровального ключа практически невозможно восстановить его неизвестную (секретную) составляющую по известной части.

К сожалению, шифрование решает не все проблемы. Например, каким образом пользователь может проверить, получил ли он открытый ключ своего партнера по диалогу или того, кто маскируется под этого партнера? Как узнать, можно ли доверять вашему собеседнику? Вот здесь-то на помощь и проходят цифровые сертификаты и ПО для работы с ними. Сертификаты лишают злоумышленника возможности использовать фальшивый ключ и выдавать себя за другого; серверы сертификатов выдают, хранят и обрабатывают сертификаты в безопасном режиме.

Универсальное применение сертификатов обеспечивает стандарт Х.509, на котором все они основаны и который поддерживается целым рядом протоколов безопасности. В их числе - стандарт шифрования с открытым ключом (PKCS), протокол связи SSL (Secure Sockets Layer Handshake Protocol) и безопасный протокол передачи гипертекстовых сообщений (Secure HTTP).

Достоинства и недостатки серверов сертификатов