SSL: защита на всех уровнях

Постоянно растущий интерес к интернет-технологиям, доступность большинства программ и ресурсов Cети подталкивает многих ее приверженцев к использованию Интернета в коммерческих целях. Любая коммерческая деятельность, как в жизни, так и в Cети, имеет свои нюансы, тонкости и особенности, но помимо всего прочего, предъявляет дополнительные требования к безопасности сделок.

Вопрос сохранения конфиденциальности возник почти сразу с появлением Интернета и, скорее всего, был вызван несовершенством программ и почти полным отсутствием любых форм защиты информации. Особенно остро эта проблема встала в переходную эпоху (переход от использования MS-DOS к World Wide Web), когда появилась возможность не только предоставлять скупую текстовую информацию, а также обеспечить ее визуализацию и гиперактивность. Именно тогда и зародилась идея проведения коммерческих операций в Сети.

Надо сказать, первые передачи данных кредитных карт происходили более-менее нормально (насколько это было возможно в тот далекий компьютерный век). Так шло до тех пор, пока к Сети не присоединились хиппи, панки, анархисты, желающие «пощипать» буржуев и хоть немного заявить о себе. Этим первым хакерам мы и обязаны рождением и развитием нового стандарта безопасности SSL, на сегодняшний день общепринятого стандарта в e-commerce. Везде — начиная приемом номеров кредиток и заканчивая созданием и управлением «электронными кошельками» — безопасность обеспечивается SSL. Широкое развитие эта технология получила благодаря внедрению SSL-протокола в работу большинства популярных браузеров.

Зачем вам SSL?В реальной жизни вы покупаете товар в магазинах, на лотках, у продавцов, которым можете доверять. Но в Интернете, с его миллионами сайтов и web-страничек, нельзя быть до конца уверенным, что за парой сотней килобайт не скрывается мошенник. Но еще хуже, если какой-нибудь хакер перехватит вашу конфиденциальную информацию. Чтобы избежать этих и множества других связанных с сохранностью передаваемых данных проблем, и применяют SSL.

SSL (Secure Socket Layer)— протокол, позволяющий через браузер определить подлинность web-сервера, а также обеспечить надежный «персональный» канал связи между браузером пользователя и сервером, на котором расположен сайт. SSL-протокол работает посредством установки сервером цифрового сертификата для конкретной связи.

Благодаря серверам, поддерживающим этот протокол, сертификатам SSL, юзер, соединяющийся с сайтом, может быть уверен как минимум в трех вещах:

подтверждении подлинности— сайт действительно принадлежит компании, которая установила свидетельство;

сохранении секретности сообщения— используя уникальный «ключ сессии», SSL зашифрует всю информацию обмена между сайтом и его клиентами (например, номер кредитной карточки или персональные регистрационные данные). Это гарантия того, что передаваемые серверу данные не могут быть просмотрены или перехвачены посторонними лицами;

сохранении целостность сообщения— данные, передаваемые посредством этого протокола, не могут быть частично потерянны или заменены.

Для кого предназначены SSL?Если, создавая собственный торговый сайт, вы действительно беспокоитесь о безопасности своих клиентов, то без использования SSL-протокола вам не обойтись. Более того, если у вас есть несколько независимых ресурсов, предлагающих различные товары и услуги, то каждый из них должен иметь собственный сертификат. В конце концов, не надо забывать, что наличие такого сертификата увеличивает доверие к вашему е-бизнесу и может повлиять на окончательное решение о покупке ваших товаров и услуг.

Как узнать, поддерживает ли сайт SSL?Все очень просто: дело в том, что безопасность сессии отражает сам браузер пользователя. Если сайт не поддерживает этого протокола, то в правом углу своего браузера вы увидите значок с открытым замком (рис. 1), в Netscape, Explorer может ничего не отражаться, а если поддерживает, то значок с закрытым замком (рис. 2).

Рис. 1Рис. 2

Другое свидетельство безопасной связи — адресная строка браузера, где адреса обычных страниц начинаются с http://, а защищенных — только с https://. Чтобы проверить, есть ли у сайта защищенный режим связи, можете набрать его адрес, начиная с https. Но помимо этого, ваш браузер имеет специальные настройки, позволяющие отобразить предупреждение, что информация передается в незащищенном режиме. Так это делает Netscape (рис. 3), а вот так Explorer (рис. 3.1).

Рис. 3Рис. 3.1

Что такое SSL-сертификат?Отправляя данные на защищенный сайт, вы должны получить так называемый SSL-сертификат, который подтверждает статус владельца ресурса и предоставляет вам кое-какие данные о его хозяине. Вот как это реализовано в Netscape (рис. 4). Как видите, сертификат содержит следующие данные: какому физическому или юридическом лицу он выдан, физический и электронный адрес компании (или человека), серийный номер сертификата, срок действия сертификата и так называемый «отпечаток» (индивидуальный и неповторимый номер). Процесс получения сертификата достаточно сложен и включает в себя обмен между браузером и сервером «публичным ключом» и «ключом сессии», на основе которых и формируется неповторимый «отпечаток», аналогичный отпечатку пальцев человека.

Процесс формирования сертификата начинается тогда, когда вы со своего браузера запрашиваете web-страницу со специальным отличительным знаком — https. Делая такой запрос, вы формируете специальный «цифровой ключ». Аналогичный индивидуальный ключ, к которому никто не имеет доступа, существует и на сервере, где расположен сайт продавца. Эти ключи между собой математически связаны, но никогда не будут совершенно одинаковыми. На их базе и формируются данные отпечатка, Рис. 4 который индивидуален и независим.

Фактически сертификат служит свидетельством или доказательством того, что независимое доверенное лицо (не участвующее в сделке) подтверждает — сайт действительно принадлежит конкретной компании. Вообще, сертификат можно отнести к категории электронной подписи или электронной печати. Имеющий силу нотариального заверения, он обеспечивает доверие клиентов, гарантируя, что информация попадет к нужному адресату.

Что такое SuperCert?Так исторически сложилось, что основные приоритеты на hi-tech технологии находятся у США. Чтобы обеспечить свое первенство в кибермире, Соединенные Штаты ограничивают распространение наиболее совершенных протоколов и программ за пределы своей страны. Так произошло и с SSL. Дело в том, что на международном уровне ранее использовалось шифрование на основе 40-битного ключа, в то время как в США был разрешен 128-битный ключ. Протокол работы на основе 128-битного ключа и называют SuperCert. Считается, что именно этот протокол на сегодняшний день наиболее совершенный и безопасный. Но хочу вас обрадовать, все браузеры IE, начиная c 5.01 версии, и NN — c 4.7 версии, поддерживают SupertCert SSL-сертификацию. Подробнее о SuperCert можно узнать на http://www.thawte.com/certs/server/128bit/contents.html.

Самым же главным преимуществом SSL остается то, что ни вам, ни вашим покупателям не надо будет устанавливать дополнительного программного обеспечения, обеспечивающего безопасность. Однако если вы захотите обеспечить свой сайт SSL-сертификатом, вам придется обратиться в одну из компаний, предоставляющей подобную услугу частным и корпоративным сайтам. Найти эти фирмы можно на любом поисковике. Удачи!