Что делать, если сертификат сервера недействителен? Как это работает? Проблемы с шифрованным соединением

Когда вы открываете браузер, то планируете, что всё будет в обычном режиме. Но что делать, если компьютер не хочет работать как надо? И сообщает, что сертификат сервера недействителен? В этом случае вам необходимо проверить, как всё работает, всё ли правильно выставлено, и нет ли каких-то проблем. Можно увидеть это сообщение на крупных сайтах (недействительный сертификат сервера Google, "ВКонтакте"), которые просто не могут допустить такую оплошность.

Что это значит?

Для начала: зачем используется данное обозначение? Что это значит, когда компьютер сообщает, что представленный сервером сертификат недействителен? Таким образом, компьютер говорит, что электронные документы сайта, которые он предоставил, имеют какую-то неточность, благодаря чему у машины есть основание для сомнений относительно его подлинности или полноценности функционирования. Данная проблема может возникнуть как из-за неполадок со стороны сервера, так и из-за неточностей на ЭОМ пользователя. Если рассматривать первую версию, то тут может быть такое:

1. Неполадка с сайтом центра сертификации. Все эти подтверждения выдают специальные организации. И как любой другой, они не застрахованы от возможных проблем вроде террористов, землетрясения, оползней, повреждения линий передач и многих других проблем. Но это случается крайне редко, и уповать на данный пункт особо не приходится.
2. Проблемы с сайтом вследствие технических неполадок или умышленного вреда. Здесь тоже может пойти что-то не так. Системный администратор что-то не то нажал или злоумышленники ведут атаку сервера, результат один - сертификат сервера недействителен. Но это тоже редко случается.

Основные проблемы данного типа происходят в основном на клиентских компьютерах пользователей. Здесь уже может быть ассортимент причин намного шире, поэтому будут названы основные:

1. Неправильно установленное время.
2. Проблема с программным обеспечением, предназначенным для просмотра Всемирной сети.

И как же устранить данные проблемы? Вот этому вопросу сейчас и будет уделено внимание.

Настройка времени

Самая популярная причина. Если на компьютере стоит неверное время или дата, то когда происходит получение всех файлов, машина видит, что параметры не совпадают, и информирует пользователя, что сертификат сервера недействителен. Это всё делается с целью обезопасить человека, который выходит в интернет, и не допустить потери важных для него данных. Исправить данную проблему очень легко - для этого достаточно всего лишь исправить время на и час, и данной проблемы не будет. На этот случай приходится приблизительно 95% подобных происшествий.

Убираем проверку сертификата

Что делать, если проблема не во времени, а в чем-то другом? И что бы вы ни делали, сертификат сервера недействителен и в таком статусе и остается? И при этом доступ к данным следует получить срочно? Что ж, если нет времени искать истинную причину, то можно поступить просто и эффективно - всего лишь отключить проверку сертификата. Для этого необходимо перейти в настройки своего браузера, затем зайти в раздел безопасности и совершить необходимые действия (более конкретный план напрямую зависит от используемой программы). И компьютер не сможет заблокировать доступ к сайту, потому что сертификат сервера недействителен. Но совершайте данные действия относительно только тех сетевых ресурсов, которым вы доверяете.

Заключение

Почему было рассмотрено так мало причин и способов их устранения? Дело в том, что с их помощью можно решить основную массу проблем, которые возникают, когда сертификат сервера недействителен. Если они не помогли, то вам вряд ли под силу уже устранить неисправности, и тут нужна помощь специалиста.

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Сертификат безопасности сайта – это данные, которыми сайт сообщает, что обмениваться с ним данными безопасно.

Отчасти это можно сравнить с предъявлением документов. Перед тем как пройти куда-либо с человеком, представившимся вам сотрудником полиции, вы можете попросить его показать вам удостоверение. Таким образом вы убедитесь, что этот человек действительно работает в правоохранительных органах и ему можно довериться.

Наличие у сайта сертификата безопасности может показывать, что:

• Вебсайт использует https шифрование.
• Он принадлежит реально зарегистрированной компании.
• Владелец домена подтвердил свои права на него.

Типы сертификатов

Есть три вида удостоверений:

• Начальный – Domain Validated, DV – подтверждающий только доменное имя. Выпускается моментально. Бесплатное подключение удостоверений этого уровня доступно в панели управления провайдера доменных имен. В ходе получения начального сертификата безопасности сайта просто проверяются ваши права на домен. Для получения удостоверения вы должны перейти по ссылке, высылаемой на электронную почту. Важный момент: когда вас попросят ввести почтовый адрес, нужно указать либо тот, что указан в WHOIS, либо тот, что расположен на самом домене. Так произойдет проверка прав.
• Обычный - Organization Validation, OV - подтверждающий домен и его принадлежность организации. Чтобы его получить, вам нужно предъявить гарантийное письмо, удостоверяющие принадлежность домена вашей организации.
• Расширенный – Extended Validation, EV – наиболее дорогой и авторитетный. Именно о наличии этого типа удостоверения свидетельствует зеленая строка с названием организации в адресной строке. Правила получения расширенного удостоверения строго регламентированы. Их нельзя назвать легко выполнимыми: необходимо предоставить множество документов. Каждый год производится проверка правовой, физической и операционной деятельности компании. Процесс выдачи занимает до двух недель.

Что такое https

HTTPS (Hyper Text Transfer Protocol Secure) – усовершенствованный протокол http. Такое соединение подтверждает то, что веб-сайт защищен – протоколом шифрования данных. Это также означает, что вся пересылаемая информация между вами и сайтом зашифрована и подтверждает, что он – подлинный.

Условно говоря, вы сообщаете, кто вы, при помощи логина и пароля. Сервер делает это, предоставляя сертификат безопасности вашему браузеру, а тот, в свою очередь, показывает это вам при помощи значка замка в адресной строке.

Если же описываемого символа на странице нет, это может быть поводом насторожиться. Ваши данные могут попасть в руки мошенников, ведь http соединение не зашифровано. Соответственно, при перехвате информации, например, когда вы пользуетесь публичным WIFI, прочесть ваши личные данные не составит никакого труда. Но если соединение будет защищено, то злоумышленник, если и перехватит сигнал, все равно не сможет расшифровать данные. Поэтому при пользовании публичными WIFI сетями стоит посещать только те страницы, соединение с которыми идет через https.

Как он работает

SSL шифрование подразумевает использование PKI системы, которая также известна как ассиметричная.

Такая система использует два ключа для зашифровки информации. Один из них – публичный, другой – приватный. Все, что шифруется публичным ключом, может быть расшифровано лишь приватным.

Когда вы запрашиваете соединение с страницей, веб-сайт сразу же отсылает SSL сертификат вашему браузеру. Он содержит публичный ключ, необходимый для того, чтобы . Затем происходит то, что называется SSL рукопожатием: происходит обмен данными, необходимыми для дешифрации и установки уникального защищенного соединения между веб-сайтом и пользователем.

Что делать, если возникла проблема с сертификатом безопасности сайта

Если вы увидели перед собой подобную ошибку, не нужно сразу же уходить со страницы. Необходимо проверить детали. Это не займет много времени.
Владелец мог попросту забыть продлить действие SSL-удостоверения.
Также, подобная ошибка может возникнуть из-за несоответствия даты и времени, выставленных на сервере и у вас на компьютере.

Но если же уведомление гласит, что сертификат безопасности сайта был отозван – это существенный повод насторожиться. Вероятнее всего, владелец ресурса пытался использовать его в мошеннических целях и за это был наказан.

Также браузер может уведомить вас о том, что компании, выдавшей документ, нет в списке доверенных. В таком случае необходимо более детально изучать само удостоверение безопасности. Всегда можно ввести название компании в поисковике – если вы не найдете отрицательных отзывов о сайтах, использующих удостоверения безопасности этой компании, повода для недоверия нет.

Как получить сертификат безопасности сайта

Для получения удостоверения безопасности мы можете обратиться к любому известному и проверенному удостоверяющему центру напрямую. Таких много: GoDaddy, Comodo, Norton, GlobalSign

Несмотря на то, что можно купить удостоверения напрямую, многие предпочитают делать это через посредников – своих хостеров/провайдеров/регистраторов. Это удобнее, ведь поддержку на русском языке вы получите только в российской компании.
Купить удостоверение у российского продавца сложно. Российские удостоверяющие центры не входят в число доверенных.

Сертификат безопасности сайта – это краеугольный камень репутации любого ресурса, владельцев которого заботит собственный бренд и доверие клиентов.

Подключение SSL обязательно для владельца любого веб-сайта. Оно оказывает влияние на уровень доверия пользователя.

• Tutorial

SSL (Secure Socket Layer) - протокол шифрования данных, которыми обмениваются клиент и сервер, - стал наиболее распространённым методом защиты в Интернете. Некогда он был разработан компанией Netscape. Безопасный обмен обеспечивается за счёт шифрования и аутентификации цифрового сертификата. Цифровой сертификат - файл, который уникальным образом идентифицирует серверы. Обычно цифровой сертификат подписывается и заверяется специализированными центрами. Их называют центрами сертификации или удостоверяющими центрами.

Что такое SSL-сертификат?

Таким образом, назначение SSL-сертификата - обеспечить безопасное соединение между сервером и браузером пользователя, надёжно защитить данные от перехвата и подмены. Сертификат используется для шифрования данных и идентификации сайта при установлении защищённого соединения HTTPS.

Информация передаётся в зашифрованном виде, и расшифровать её можно только с помощью специального ключа, являющегося частью сертификата. Тем самым гарантируется сохранность данных. Посетители сайта вправе ожидать, что защита их информации, если она важная, будет обеспечена с помощью SSL-сертификата. Они могут покинуть ваш сайт, если видят, что он не защищён. Если сайт имеет SSL-сертификат, то в строке состояния браузера отображается значок в виде замка.

Защита для бизнеса и клиентов

SSL-сертификаты используют не только банки и финансовые организации, платёжные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru, но также интернет-магазины и даже частные лица и индивидуальные предприниматели.

Какую выгоду даёт использование SSL-сертификата бизнесу? Поскольку при использовании сертификатов и протокола SSL принимаемые и отправляемые при посещении сайтов данные шифруются, применяется процедура аутентификации, это даёт пользователям определенную уверенность в том, что вводимые ими персональные данные, такие как номера телефонов и банковских карт, не попадут не в те руки. Благодаря своей уникальности SSL-сертификаты также значительно затрудняют использование кибермошенниками фишинговых схем.

Владелец сайта также может не беспокоиться о том, что данные клиентов утекут на сторону в результате перехвата или атаки типа «человек посередине», и репутация бизнеса и даже дальнейшее существование компании окажется под угрозой.

SSL-сертификат гарантирует защиту всей информации, которой сайт обменивается с браузером пользователя. И тем самым защищает ваш бизнес. Это особенно важно при финансовых операциях, онлайновых транзакциях. Косвенные выгоды - рост доверия к вашему бизнесу, увеличение продаж, защита деловой информации.

В конечном счёте SSL-сертификат помогает завоевать доверие клиентов. Если они знают, что их информация защищена, то с большей вероятностью захотят иметь дело с вашей компанией.

Значок замка и буквы HTTPS в URL вашего сайта говорят о его безопасности. А зелёная адресная строка сайта с сертификатом Extended Validation SSL - ещё более верное свидетельство надёжности ресурса. Посетители будут знать, что зашли именно на тот сайт, и вводимая ими информация останется приватной.

Кроме того, сайты, подтверждённые сертификатами, занимают более высокие позиции в результатах выдачи поисковых систем по сравнению с конкурентами без SSL. В 2014 году компания Google объявила о том, что будет учитывать использование HTTPS (буква S как раз и обозначает применение SSL-сертификата) при ранжировании сайтов. То есть, если у сайта нет SSL-сертификата, он не займёт высокие позиции в результатах поисковой выдачи и не сможет привлечь большого числа посетителей.

Где купить SSL-сертификат?

Как правило, партнёры имеют договоры с разными удостоверяющими центрами, что позволяет подобрать оптимальный по цене (в рублях) и характеристикам сертификат, получить скидки и помощь опытных специалистов при выборе сертификата и установке его на сервер. Для ряда клиентов важен бренд, название компании в сертификате.

Не все SSL-сертификаты платные. Например, при регистрации домена или покупке хостинга, клиенты REG.RU могут получить SSL-сертификат бесплатно. Также приятный бонус доступен при подключении к «Яндекс.Кассе». Стоит отметить, что бесплатный сертификат выдаётся на один год.

По нашим подсчётам, только по доменам второго уровня, в 2015 году в доменной зоне.RU использовалось около 144 тыс. SSL-сертификатов. Лишь 30% из них валидны, то есть проверены УЦ. Все остальные не гарантируют защиту от перехвата пользовательских данных. Объём продаж SSL-сертификатов в России достигает около 6,2 млрд руб. в год. Согласно информации Mozilla, по данным на декабрь 2015 года, в мире на 40% сайтов и при 65% транзакций использовался HTTPS.

Уровни проверки SSL-сертификатов

Следующий уровень - сертификат OV (Organization validation) для организаций, применяемый для проверки связи между доменным именем, хозяином домена и использующей сертификат компанией. То есть такой сертификат удостоверяет не только доменное имя, но и то, что сайт принадлежит действительно существующей организации.

Для более качественной проверки компании и её полномочий на приобретение сертификатов используются так называемые сертификаты с расширенной проверкой - EV (Extended validation). Это самый престижный вид сертификатов. Такие сертификаты вызывают больше всего доверия. Например, DigiCert, один из ведущих удостоверяющих центров, продаёт сертификаты OV и EV. Партнёры GlobalSign предлагают SSL-сертификаты разного уровня, включая самый высокий.

Зелёная адресная строка - индикатор законности вашего бизнеса. Сертификат с расширенной проверкой не только обеспечивает защиту от мошеннических сайтов. Если сертификаты проверки доменов предусматривают только шифрование соединения, то сертификаты высшей категории ещё и дают вашим клиентам уверенность в законности вашей предпринимательской деятельности. При выпуске EV-сертификата проводится очень тщательная проверка организации, включая проверку её деятельности, соответствия официальным документам, а так же прав на использование доменного имени. Поэтому предприятия, применяющие сертификаты с расширенной проверкой, пользуются большим успехом на рынке. Как уже отмечалось, чтобы выяснить, какой сертификат вы используете, клиенту достаточно щёлкнуть мышью на значке замка в строке браузера.

Бывают сертификаты для одного, нескольких доменов (SAN) и сертификаты для всех прямых поддоменов выбранного домена (Wildcard).

SSL-сертификаты в России

REG.RU и один из старейших международных удостоверяющих центров GlobalSign запустили программу популяризации защищённой передачи данных в Интернете. Она рассчитана как на владельцев интернет-ресурсов, так и на рядовых пользователей из России и СНГ.

Вместе с GlobalSign мы намерены сформировать культуру защищённой передачи информации. Ключевой элемент программы - повышение доступности технологий SSL и предоставление владельцам сайтов актуальных инструментов защиты.

На SSL-сертификаты обратили внимание и в руководстве страны. По информации СМИ , в России может быть создан собственный государственный удостоверяющий центр для их выдачи. Как сообщается, такая работа уже идёт. Но для этого придётся обязать производителей браузеров предустанавливать в свои продукты специальный корневой сертификат.

Так в чём ценность HTTPS и SSL? Зачем это нужно, когда посетителям сайта не требуется вводить конфиденциальную информацию или осуществлять платежи? Хотя бы затем, чтобы повыше подняться в результатах поиска. Да и доверие пользователей - фактор, который нельзя сбрасывать со счетов. Технически дополнить сайт SSL несложно, да и финансово это необременительно. SSL-сертификат - простой и экономичный способ защитить ваш сайт и онлайн-транзакции, сделать его более безопасным для пользователей. Сегодня SSL стал одной из самых важных мер обеспечения безопасности сайтов и признанным во всём мире отраслевым стандартом.

Теги:

• SSL
• Secure Socket Layer
• безопасность
• домены

Далеко не каждый пользователь компьютерных систем представляет себе, как работает подключение к сети Интернет. Иногда, конечно, при выдаче сообщения о том, что установлено защищенное SSL-соединение, некоторые начинают вникать в суть вопроса связи. Однако тут стоит рассмотреть конкретизированные вопросы: что такое SSL-соединение, SSL-сертификат, зачем он нужен, как его получить и насколько практичными являются такие действия? Попробуем разобраться с этим вопросом на простейших примерах и, так сказать, показать на пальцах, как это все работает.

Что представляет собой технология соединения SSL?

Исходя из некоторых официальных требований сети Интернет, нужно особо скрупулезно отнестись к В этом смысле одним из ключевых понятий и является SSL-сертификат. Зачем он предусматривается в использовании для некоторых ресурсов?

Да только затем, чтобы подтвердить подлинность какого-то ресурса (заметьте, официального), на который осуществляется вход. Иными словами, это есть электронный непубликуемый документ, который гарантирует безопасность посещения того или иного сайта во Всемирной паутине.

SSL-сертификат: зачем нужен этот документ?

Говоря о принципах, которые заложены в технологии доступа на основе защищенного соединения SSL, тут стоит привести сравнение с доступом вроде HTTPS, которое, по сути, тоже является защищенным (об этом свидетельствует литера «S».

Если посмотреть на SSL-сертификат (зачем нужен такой документ или как его использовать в практических целях), следует отметить что он, грубо говоря, подтверждает не только безопасность соединения или содержимого интернет-ресурса в плане публикуемого контента, но еще и применяемую методику шифрования отправляемых и получаемых данных.

То есть при доступе к какой веб-странице у пользователя не должно возникнуть проблем с личными данными (логинами, паролями, PIN-кодами и т. д.), поскольку данный документ удостоверяет, что система безопасности оградит его от любых вмешательств извне. Как уже понятно, третьим лицам такая пользовательская информация не передается. В этом смысле считается, что при установке защищенного соединения по типу SSL не нужны дополнительные средства безопасности вроде антивируса, файрволла или защитника Windows, появившегося в качестве одного из основных компонентов, начиная с восьмой версии операционной системы.

Принципы взаимодействия с пользователями

Теперь давайте посмотрим, как это все работает. Само собой разумеется, что сегодня для доступа в Интернет используются высокотехнологичные программные продукты, называемые браузерами.

В момент осуществления сеанса связи при попытке открытия какой-то страницы браузер загружает текстовые и мультимедийные данные не сразу. Сначала он их анализирует или, так сказать, приводит в читабельный вид. После этого происходит тестирование содержимого на предмет наличия потенциальных угроз. Не думайте, что в браузерах нет собственных средств защиты. Зачастую они намного превосходят некоторые антивирусные программы. Если все проходит успешно, далее подключается антивирус.

Но вот что интересно: в этом временном промежутке производится инициализация подлинности сайта и его издателя. Тут-то и вступает в действие SSL-сертификат. Зачем нужен такой вариант подтверждения, наверное, уже понятно. Браузер получает отклик о благонадежности ресурса и устанавливает соединение. В противном случае он блокируется. Иногда, правда, бывает и так, что блокировка срабатывает совершенно необоснованно, скажем по причине просрочки сертификата или потому, что сама система или антивирус считают какую-то страницу потенциально небезопасной (это будет рассмотрено чуть позже).

Кто выпускает SSL-сертификаты?

На сегодняшний день существует несколько официальных организацией, занимающихся оформлением электронных документов и подписей такого типа. В данном случае имеется в виду SSL-сертификат. Зачем нужен такой электронный документ, нетрудно понять, если исходить из принципов юриспруденции.

Фактически сертификат работает в двух направлениях: подтверждает безопасность использования ресурса пользователем при входе и налагает ответственность за ущерб, нанесенный юзеру, если он именно с этого ресурса подхватил вирус. С другой стороны, даже наличие сертификата не может выступать гарантом того, что связь будет безопасной (достаточно вспомнить атаки на серверы мировых военных ведомств или тот же недавний оффшорный скандал).

Сегодня же признанными официальными организациями, которые выдают подобного рода документы, принято считать следующие:

• COMODO.
• TTHAWTE.
• GeoTrust.
• RapidSSL.
• Symantec и др.

Примечательно, что в этом списке присутствует корпорация Symantec, которая является чуть ли ни первым разработчиком систем защиты, когда той же «Лаборатории Касперского» и в проекте не было. Судя по отзывам людей, использующих такие сертификаты, именно эта компания предоставляет наиболее широкий спектр услуг.

Что получает пользователь при регистрации?

Теперь посмотрим на преимущества, которые получает обычный владелец сайта. Давайте представим себе, что такое корневой сертификат SSL, и зачем он нужен. Как правило, именно он является основным в списке предоставляемых услуг поддержки, хотя в основном пакете таких сертификатов присутствует как минимум три:

• корневой;
• промежуточный;
• сертификат для отдельных доменов.

Не вдаваясь в подробности каждой технологии, можно отметить только то, что при получении сертификата любого уровня тот же владелец сайта получает некие негласные преимущества перед конкурентами. Во-первых, сертификат SSL удостоверяет надежность ресурса, во-вторых, гарантирует безопасное в-третьих, как ни странно это звучит, повышает рейтинг ресурса на уровне поисковых систем, которые, как известно, изначально ищут результаты запросов на доверенных ресурсах.

Где использовать SSL-сертификаты? Тут сразу же можно применить юридический аспект. Грубо говоря, владелец сайта, получив данное удостоверение, снимает с себя всякую ответственность за безопасность ресурса, поскольку организация, выдавшая такой электронный документ, выступает в качестве гаранта. Конечно, проверки производятся чуть ли не ежедневные. И, естественно, изначально предполагается, что на сертифицированном в плане безопасности сайте не буде размещаться так называемый пиратский контент или автоматически срабатывающие вредоносные коды, которые могу нанести ущерб конечному пользователю при входе на сайт или даже при осуществлении операции перенаправления (редиректа).

Проблемы с шифрованным соединением

Итак, зачем нужен SSL-сертификат, мы немного разобрались. Теперь посмотрим на некоторые проблемы, увы, возникающие довольно часто при установке такого шифрованного соединения.

Считается, что сбои могут наблюдаться в случае вирусного заражения, некорректных настроек браузера, блокирования доступа в Интернет на уровне брэндмауэра и антивируса, а также, что выглядит достаточно странно, в связи с некорректной установкой даты и времени на системном таймере (не в Windows, а в BIOS).

Простейшие методы исправления ситуации

Как следует из вышесказанного, бороться с такими ситуациями проще простого. Отключить тот же файрволл или поменять дату в BIOS труда не составит.

Другое дело - браузеры. Каждый разработчик пытается вложить в них максимум функциональных возможностей, которые зачастую могут вызывать конфликты на системном уровне. Иными словами, надстройки и плагины, устанавливаемые пользователем, не всегда распознаются системой адекватно.

В некоторых случаях и система, и браузер пытаются блокировать тот или иной компонент, считая его потенциально небезопасным. К сожалению, именно тут согласованности нет. Поэтому работоспособность даже своего ресурса рекомендуется проверять исключительно на встроенных браузерах Windows (либо Internet Explorer, либо Edge).

Выгодно ли оформлять SSL-сертификат?

Теперь перейдем к вопросу о целесообразности получения того, что называется SSL-сертификат. Зачем нужен такой документ, думается, немного понятно. Однако те же владельцы сайтов задаются больше вопросом стоимости оформления такого документа. Как оказывается, такая услуга обходится достаточно дешево. К примеру, оформление базового пакета Comodo PositiveSSL Certificate в среднем обойдется в 500-550 рублей, рангом выше - около 4 тысяч, самый ответственный - около 8 тысяч рублей.

При этом стоит учесть и предоставляемые гарантии. Так, например, для сертификатов по порядку возрастания гарантия составляет 10, 50 и 100 тысяч долларов США.

Что в итоге?

Что касается выводов, тут каждый пользователь, вернее, владелец сайта или доменного имени, должен принимать решение о целесообразности приобретения такого документа сам. Если говорить о конечных пользователях, у них проблем с доступом к сертифицированным ресурсам возникнуть не должно, разве что при просрочке сертификата. С другой стороны, засилье поисковых систем тоже может сказаться, ведь они в первую очередь обращаются к безопасным сайтам с подтвержденными сертификатами SSL. Так что тут, как говорится, палка о двух концах.

16.09.1997 Тодд Купи

Все четыре программных продукта, о которых пойдет речь в обзоре, облегчают работу с сертификатами безопасности, но сервер WebСА компании Entrust справляется с этой задачей лучше остальных. WebСА вызывает доверие Sentry

Все четыре программных продукта, о которых пойдет речь в обзоре, облегчают работу с сертификатами безопасности, но сервер WebСА компании Entrust справляется с этой задачей лучше остальных.

Вряд ли кто-нибудь захочет завести случайные связи в киберпространстве, посылая по Internet конфиденциальную информацию для непроверенного партнера. Разумнее - воспользоваться услугами солидных "бюро знакомств", которые позволят удостовериться, что тот, кто находится на другом конце провода, вполне благонадежен. В компьютерном мире роль бюро знакомств играют специальные программы, называемые серверами сертификатов безопасности (или просто серверами сертификатов).

Серверы WebСА 1.0.1 (Entrust Technologies), Sentry CA Apache Stronghold Release 1.2 (Xcert Software), Certificate Server 1.01 (Netscape Communications) и e-Cert (Frontier Technologies) предназначены для решения именно этой задачи. Все они позволяют создавать и обрабатывать цифровые сертификаты в стандарте Х.509 и, наряду с технологией шифрования, используются для защиты данных, передаваемых между пользователями. По сути дела, сертификаты препятствуют попыткам злоумышленника, применяющего фальшивый шифровальный ключ, выдать себя за другого. С помощью серверов, находящихся в распоряжении службы сертификации (их называют серверами сертификатов), можно создавать, хранить и обрабатывать сертификаты в безопасном режиме (см. ). Если вы уже пришли к выводу, что нуждаетесь в цифровых сертификатах, для вас не составит большого труда установить в частной сети сервер сертификатов с помощью любого из четырех программных продуктов, о которых пойдет речь ниже.

Среди протестированных нами продуктов наивысшей оценки заслуживает пакет WebСА компании Entrust: он быстро устанавливается, обладает удачным интерфейсом, легко настраивается и стоит недорого. Однако конкуренция между программами была очень жесткой. Certificate Server компании Netscape - неплохой вариант для пользователей, вынужденных управлять большим количеством сертификатов и готовых смириться с достаточно неудобной процедурой установки. Серверы Sentry CA компании Xcert и e-Cert компании Frontier Technologies тоже довольно привлекательны; их можно использовать на узлах, работающих под управлением ПО на базе Unix и Microsoft соответственно.

WebСА вызывает доверие

Сервер сертификатов WebСА компании Entrust Technologies появился на рынке одним из первых и явно предназначен для работы на корпоративном уровне. Он оказался очень серьезным продуктом. Благодаря способности осуществлять взаимную аутентификацию WebСА производит аутентификацию сертификатов, хранящихся на других серверах. Стоимость этого пакета невысока (500 дол. за 500 сертификатов), что позволяет создавать у себя службы корпоративного масштаба небольшим и среднего размера компаниям.

Сервер WebСА привлекателен и совместимостью со многими другими программными продуктами. Такие гиганты компьютерного бизнеса, как IBM, Novell и Hewlett-Packard, создают специализированные прикладные программы, в которых используются сертификаты, созданные при помощи WebСА. Даже Netscape, разработавшая конкурирующий сервер сертификатов, выпускает версию своего сервера Communicator 4.0, снабженную совместимым с WebСА браузером.

WebСА работает под управлением Windows NT 3.51 или выше и хорошо совместим с любым Web-сервером, который применяет протокол безопасности SSL (Secure Sockets Layer) и работает под управлением NT, - в том числе с серверами Internet Information Server (IIS) компании Microsoft и Enterprise Server компании Netscape. Мы проверили, как WebСА работает с IIS 3.0, и не обнаружили никаких проблем. Установливая в сети сервер WebСА, администраторы получат настоящее удовольствие - настолько проста эта процедура.

В комплект сервера WebСА входит Entrust/Directory - база данных, совместимая с протоколом LDAP (Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогам). Она используется сервером для хранения и обработки содержащейся в сертификатах информации. Объем базы данных достаточен для того, чтобы держать на одном сервере сведения о 5 тыс. пользователей. Если требуется создать большее число сертификатов, то в WebСА имеются ссылки на более крупные каталоги Х.500.

Вместе с сервером WebСА поставляются образец заявки на выдачу сертификата, сценарии интерфейса общего шлюза и страницы в формате HTML. Все эти элементы настраиваются по вашему желанию. Пользователь способен создавать сертификаты различных типов и в любом количестве в соответствии с определенной для него привилегией доступа. При соответствующей настройке сервер позволит загружать список пользователей из имеющегося каталога или принимать целевые запросы на выдачу сертификатов. Благодаря основанному на браузере и очень простому в работе интерфейсу администраторы добавляют группы новых пользователей, аннулируют их и исключают из списков, изменяют некоторые параметры сертификатов (например, сроки действия), а также добавляют и аннулируют имена других администраторов. Пользователи, нуждающиеся в сертификатах для работы с браузерами, могут связаться с WebСА через Web с помощью специальной страницы, которая позволяет подготовить заявку на выдачу сертификата и направить ее администратору узла.

Большинство серверов сертификатов отвечают на запросы пользователей электронным письмом, содержащим ссылку на Web-страницу, к которой пользователь должен обратиться для получения сертификата. Сервер WebСА дает возможность получать сертификаты из каталога, поддерживающего протокол LDAP.

Единственным минусом WebСА является то, что он не удовлетворяет автоматически некоторые запросы на предоставление сертификата. Поэтому администраторам сервера во всех случаях приходится выдавать соответствующее разрешение вручную. Это может привести к образованию больших очередей на узлах, обслуживающих крупные сообщества пользователей.

Sentry - бдительный часовой

Сервер Sentry CA компании Xcert Software успешно развеивает миф о том, что установка ПО под ОС Unix требует как минимум ученой степени в области программирования и работы с операционными системами. Нам потребовалось менее 15 минут, чтобы разархивировать дистрибутивный файл, запустить установочную программу и настроить сервер для работы на компьютере SPARC 5 компании Sun Microsystems под управлением операционной системы Solaris 2.5.1.

Sentry CA совместим с популярным Web-сервером Apache, если последний снабжен программным модулем Stronghold компании C2 Net, поддерживающим безопасные транзакции. При этом сам сервер Sentry CA комплектуется полным набором программ, входящих в сервер Apache. К сожалению, компания Xcert пока не выпустила сервер Sentry CA в виде расширения для серверов Netscape Enterprise Server и Microsoft IIS.

Набор функций Sentry CA производит очень приятное впечатление. Продукт поддерживает режим взаимной аутентификации со службами сертификации других организаций, работающих с той же локальной сетью, с помощью безопасного протокола LDAP, поэтому можно принимать и обрабатывать их сертификаты. В состав сервера включены также модули списка управления доступом (ACL, Access Control List), которые предоставляют администратору возможность разрешать или запрещать доступ пользователя к ресурсам на основании его сертификата. Мы чрезвычайно легко создали несколько ACL-объектов, ограничивающих доступ к каталогам нашего Web-сервера на основании имени организации, указанного в сертификате.

Если вы намерены пополнить ваш арсенал средств безопасности шифровальными устройствами типа смарт-карт, то для вас окажется очень полезной поддержка сервером Centry CA устройств, совместимых со стандартом PKCS (Public Key Cryptography Standards #11). Благодаря этой поддержке сервер удовлетворяет запросы на сертификаты, отправленные с помощью смарт-карт NetSign компании Litronic и шифровальных модулей Cryptographic Token компании Fischer International. Те и другие представляют собой аппаратные средства распознавания; пользователи вставляют их в специальное считывающее устройство, соединенное с компьютером.

Как и в других аналогичных продуктах, взаимодействие с сервером Sentry CA осуществляется через стандартный Web-браузер. Используя специальные формы, которые входят в комплект сервера, пользователи запрашивают сертификаты, а администраторы удовлетворяют эти запросы, ведя с пользователями диалог по электронной почте. Запросы на выдачу сертификатов могут высылаться автоматически, без вмешательства администратора, что очень удобно, - особенно для узлов, на которых выдавается большое количество сертификатов. Следует отметить: сертификаты нельзя создавать внутри Sentry CA, их приходится приобретать у независимой службы, что неизбежно увеличивает полную стоимость сервера.

Среди достоинств Sentry CA следует отметить развитый интерфейс прикладного программирования Xcert Universal Data API (XUDA). Набор инструментальных программ XUDA обеспечивает большую гибкость в работе с базой данных, предназначенной для хранения сертификатов. Эти программы применимы и для разработки приложений, использующих сертификаты с открытым ключом, SSL-транзакции и безопасный доступ к базам данных.

Certificate Server совсем неплох

Продукт Certificate Server компании Netscape не обладает такими же развитыми возможностями, как Sentry CA, столь же отчетливой ориентацией на корпоративную работу и таким же простым интерфейсом, как WebСА, но все же является вполне достойным. Как и другие серверы, созданные Netscape, Certificate Server работает под управлением ОС Windows NT и целого ряда версий Unix, что упрощает задачу его интеграции с корпоративной сетевой средой. Certificate Server поддерживает до 10 тыс. сертификатов на каждый сервер. Он может быть приобретен в составе комплекта SuiteSpot Professional Edition производства Netscape и прекрасно совместим с другими продуктами этой компании.

Основным достоинством сервера является основанный на Web-браузере пользовательский интерфейс. Он не столь удобен в работе, как интерфейс сервера WebСА, но простые электронные формы, входящие в состав сервера, позволяют настроить большинство функций. С помощью сертификата, предоставившего нам права администратора, мы воспользовались протоколом SSL для регистрации в программе и создали в ней настраиваемые шаблоны, а затем - выдавали, находили и аннулировали выданные сертификаты.

Действуя в качестве пользователя, мы запрашивали сертификаты для сервера и отдельного пользователя. Чтобы получить разрешение, нужно было заполнить соответствующую форму и поставить ее в очередь к администратору сервера. Оба типа полученных нами сертификатов работали с самыми последними версиями браузеров Navigator и Internet Explorer, настроенными на функционирование в безопасной сетевой среде.

Certificate Server поставляется в комплекте с сервером Online Workgroup Server компании Informix Software, который используется для хранения и обработки сертификатов. Специальная база данных учитывает любое изменение в статусе каждого из созданных сертификатов и включает в себя такие сведения, как время создания и аннулирования, имя подписавшего сертификат и т. п. Если ваша сетевая среда поддерживает протокол LDAP, то для вас окажутся полезными прямые ссылки на сервер Directory Server компании Netscape, которые содержатся в Certificate Server. Они позволяют размещать действующие сертификаты и списки аннулированных сертификатов в каталогах LDAP.

В целом благоприятное впечатление от продукта компании Netscape было омрачено лишь неудобной процедурой его установки. Чередование диалоговой программы с вводом команд из командной строки представляло собой странную комбинацию, которая привела нас в некоторое замешательство.

e-Cert - часть системы e-Lock

Сервер e-Cert является одной из трех составных частей системы безопасности e-Lock, разработанной компанией Frontier: для выдачи сертификатов и управления ими используется компонент e-Cert, для создания цифровых подписей под любым файлом или документом - e-Sign, а с помощью e-Mail можно зашифровать и подписать электронное послание, передаваемое по протоколу Secure MIME. Другие рассмотренные нами серверы сертификатов тоже поддерживают продукты, сходные с e-Sign и e-Mail, но только Frontier включила эти программы в комплект своего сервера.

Установка e-Cert 1.1 на ПК класса Pentium под управлением Windows NT Server 4.0 оказалась гораздо более простой, чем в случае с Certificate Server. Нам помогла установочная программа Install Wizard. Процедуру установки сервера облегчают многие заимствования из концепции "мастеров" (wizards), предложенной компанией Microsoft.

Программа e-Cert относится к тем немногим серверам сертификатов, которые используют различные базы данных для хранения сертификатов. Можно выбрать любую систему управления базами данных, совместимую с ODBC (Open Database Connectivity), практически любую коммерческую СУБД на базе SQL или каталог LDAP. В комплект сервера входят несколько удобных демонстрационных программ, одна из которых автоматически выдает пользователю сертификат через Web-браузер.

Сервер сертификатов e-Cert прост в эксплуатации и совместим с такими промышленными стандартами, как PKCS. Однако он лишен некоторых полезных функций, например удобного способа выдачи сертификатов пользователям. Когда пользователь присылает файл с запросом на сертификат (или сертификат, полученный от публичной службы сертификации), приходится вручную переносить его на e-Cert путем загрузки с диска или копирования с другой машины в сети. Затем администратор должен изучить запрос и принять по его поводу какое-либо решение. Еще один потенциальный недостаток e-Cert кроется в отчетливой ориентации пакета на сервер IIS и браузер Internet Explorer. Если ваша сетевая среда ориентирована на операционную систему Unix или продукты компании Netscape, вам следует поискать какой-нибудь другой вариант.

Тодд Купи (Todd Coopee) - помощник руководителя технической службы колледжа Trinity College в г. Хартфорд (шт. Коннектикут). Адрес его электронной почты - [email protected] .

Результаты испытаний серверов сертификатов

Что такое "сертификаты безопасности"

Термин "служба сертификации" (Certificate Authority, CA) берет свое начало в области шифрования с открытым ключом (public key). В этом шифровальном алгоритме шифровальный ключ состоит из двух частей: открытого ключа (он опубликован и доступен всем желающим) и секретного (private key), который известен только его владельцу. Конфиденциальные сообщения шифруются и отсылаются с помощью открытого ключа, но расшифроваются только благодаря секретному ключу, которым располагает адресат сообщения. Открытый и секретный ключи фактически являются инверсными копиями друг друга, однако из-за большого размера шифровального ключа практически невозможно восстановить его неизвестную (секретную) составляющую по известной части.

К сожалению, шифрование решает не все проблемы. Например, каким образом пользователь может проверить, получил ли он открытый ключ своего партнера по диалогу или того, кто маскируется под этого партнера? Как узнать, можно ли доверять вашему собеседнику? Вот здесь-то на помощь и проходят цифровые сертификаты и ПО для работы с ними. Сертификаты лишают злоумышленника возможности использовать фальшивый ключ и выдавать себя за другого; серверы сертификатов выдают, хранят и обрабатывают сертификаты в безопасном режиме.

Универсальное применение сертификатов обеспечивает стандарт Х.509, на котором все они основаны и который поддерживается целым рядом протоколов безопасности. В их числе - стандарт шифрования с открытым ключом (PKCS), протокол связи SSL (Secure Sockets Layer Handshake Protocol) и безопасный протокол передачи гипертекстовых сообщений (Secure HTTP).

Достоинства и недостатки серверов сертификатов