"RBS BS-klient. Privat klient" v.2.5

Opsætning af adgangskanaler. TLS/SSL-protokoller

Version 2.5.0.0

1. Abstrakt

Dette dokument indeholder oplysninger, der var aktuelle på tidspunktet for dets udarbejdelse. garanterer ikke, at dette dokument vil være fri for fejl. forbeholder sig retten til at foretage ændringer i dokumentet uden forudgående varsel.

Dette dokument er beregnet til systemadministratorer.

Dokumentet indeholder information om at arbejde i et system med TLS/SSL-protokoller designet til at løse traditionelle problemer med at sikre sikkerheden ved klient/server-informationsinteraktion.

1. Abstrakt. 2

2. Driftsprincipper for TLS/SSL-protokollerne. 4

3. Secure Socket Layer (SSL). 6

3.1. Oprettelse af en SSL 7-certifikatanmodning

3.2. Installation af et SSL 14-certifikat

3.3. Opsætning af SSL på en hjemmeside. 17

4. Transport Layer Security (TLS). 18

4.1. To-vejs SSL (TLS) opsætningssekvens 18

4.2. Generering af et certifikat og private nøgler til webserveren. 19

4.3. Installation af et servercertifikat (udføres på webservercomputeren) 22

4.4. Tildeling af et certifikat til en hjemmeside. 31

4.5. Opsætning af to-vejs SSL på et websted. 35

4.6. Konfiguration af BSI - RTS-binding til to-vejs SSL 36

4.7. Generering af klientcertifikat og hemmelige nøgler. 38

4.8. Installation af et klientcertifikat (udføres på klientcomputeren) 39

2. Driftsprincipper for TLS/SSL-protokollerne

For at etablere en forbindelse mellem kunden og banken, tilbyder "Privatkunde"-systemet to kanaler, der har de nødvendige midler til at beskytte information:

· SSL – Secure Socket Layer

· TLS – Transport Layer Security

TLS/SSL-protokollerne er designet til at løse traditionelle problemer med at sikre informationssikkerhed, som i et klient/servermiljø fortolkes som følger:

· Brugeren skal, når han opretter forbindelse til serveren, være sikker på, at han udveksler information ikke med en falsk server, men med den, han har brug for (ellers kan dette føre til sjove, hvis ikke triste, konsekvenser). I mange applikationer er det også nødvendigt, at serveren pålideligt kan identificere klienten, ikke begrænset til adgangskodebeskyttelse;

· efter etablering af en forbindelse mellem serveren og klienten, skal hele informationsstrømmen mellem dem beskyttes mod uautoriseret adgang;

· Ved udveksling af oplysninger skal parterne være sikre på, at der ikke sker utilsigtede eller bevidste forvrængninger under overførslen.

TLS/SSL-protokollerne løser disse problemer som følger:

· Partnernes identitet kan bestemmes ved hjælp af asymmetrisk kryptografi (f.eks. RSA, GOST (ved hjælp af CryptoPro TLS) osv.). Denne godkendelse kan gøres valgfri, men er påkrævet for mindst én af partnerne.

· Forbindelsen er fortrolig. Symmetrisk kryptografi bruges til at kryptere data (f.eks. DES, RC4, GOST (når du bruger CryptoPro TLS) osv.). Krypteringsnøgler genereres uafhængigt for hver forbindelse og er baseret på en hemmelig kode opnået ved hjælp af en anden protokol (såsom TLS-samtaleprotokollen).

· Forbindelsen er pålidelig. Beskedtransmissionsproceduren inkluderer integritetskontrol ved hjælp af MAC-beregning. Hash-funktioner (f.eks. SHA, MD5 osv.) bruges til at beregne >MAC.

Disse protokoller antager, at transportprotokollen er en forbindelsesorienteret protokol (for eksempel TCP) og består af to lag. Det første lag inkluderer applikationsprotokollen og tre såkaldte handshake-protokoller: SSL-sessionsetableringsprotokollen (Handshake Protocol), Change Cipher Spec Protocol og Alert Protocol. Det andet lag er det såkaldte. Record Protocol.

Håndtryksprotokoller er ansvarlige for at etablere eller genoptage sikre sessioner.

Optagelsesprotokol udfører følgende funktioner:

· Opdeler data modtaget fra applikationslaget i blokke og samler indgående blokke til transmission til applikationslaget.

· Komprimerer udgående data og dekomprimerer indgående data.

· Vedhæfter en MAC eller hash til udgående datablokke og bruger den vedhæftede MAC til at verificere integriteten af ​​indgående.

· Krypterer udgående og dekrypterer indgående datablokke.

For at kryptere transmitterede data bruges symmetrisk kryptografi, dvs. den samme nøgle kan bruges til både at kryptere og dekryptere krypterede data.

På hver side er der et sæt af to nøgler (det samme for begge sider), der bruges til at kryptere de modtagne/transmitterede data, og et sæt af to nøgler, der bruges til at generere MAC (HMAC).

Under transmissionen opdeles data i blokke, MAC (eller HMAC i tilfælde af TLS) beregnes for hver blok, den resulterende værdi tilføjes til den transmitterede blok, derefter krypteres hver blok med en sessionsnøgle og transmitteres til den modtagende blok. side.

Ved modtagelse dekrypteres blokken, MAC (eller HMAC i tilfælde af TLS) beregnes ud fra den, og den resulterende værdi sammenlignes med værdien transmitteret med blokken (dataintegritetskontrol).

Når du bruger CryptoPro TLS-software, bliver det muligt at bruge kryptografiske krypteringsalgoritmer i overensstemmelse med GOST, nøgleudveksling ved hjælp af Diffie-Hellman-algoritmen og hashing i overensstemmelse med GOST R 34.11-94.

Standardimplementeringen af ​​SSL/TLS-protokollerne til Windows OS kan kun fungere korrekt med RSA-algoritmen.

Funktioner i TLS

TLS er baseret på SSL 3.0 protokolspecifikationen udgivet af Netscape. Forskellene mellem denne protokol og SSL 3.0 er små, men de er nok til at gøre TLS 1.0 og SSL 3.0 inkompatible (selvom TLS 1.0 har en mekanisme, hvormed applikationer kan understøtte SSL 3.0).

Forbedringer i TLS over SSL:

· I TLS erstattes MAC (Message Authentication Code) algoritmen, der bruges i SSL til at beregne meddelelseshashen, af den mere robuste HMAC (keyed-Hashing for Message Authentication Code) algoritme.

· TLS-protokollen er standardiseret i RFC 2246

· Tilføjet flere alarmbeskeder

· TLS tillader brug af certifikater udstedt af en underordnet (ikke-rod) CA.

· TLS specificerer udfyldningsblokværdier, der bruges med blokkrypteringsalgoritmer.

· Fortezza-algoritmer er ikke inkluderet i TLS RFC, fordi de ikke er åbne for offentlig visning (dette er Internet Engineering Task Force (IETF) politik

· Ikke-grundlæggende forskelle i forskellige meddelelsesfelter.

Fordele og ulemper ved at bruge SSL

Fordele:

Kræver ikke installation af yderligere software på klientens computer.

Mindre brug af systemressourcer, fordi trafikken er sikret ved hjælp af mindre ressourcekrævende symmetriske kryptografiske algoritmer.

Minusser:

Der foregår en udveksling af nøgleoplysninger mellem parterne.

Fordele og ulemper ved at bruge TLS

Fordele:

Mere kraftfulde algoritmer bruges til at kryptere trafik, signere pakker og udveksle nøgleoplysninger end med SSL.

Minusser:

Denne mulighed er kun mulig, når du bruger CryptoPro CSP/TLS-kryptering.

Det er nødvendigt at installere yderligere software på klientens arbejdsstation (CryptoPro).

3. Secure Socket Layer (SSL)

Secure Socket Layer (SSL) er en sikkerhedsprotokol, der blev udviklet i 1996 af Netscape og giver en sikker forbindelse mellem en klientwebbrowser og en webserver. SSL er en integreret del af de fleste webbrowsere og webservere og bruger RSA-kryptering. SSL-protokollen giver sikker datatransmission ved hjælp af to hovedkomponenter:

· Godkendelse;

· Kryptering.

For at oprette en sikker forbindelse ved hjælp af SSL-protokollen skal der installeres et digitalt SSL-certifikat på webserveren. Et digitalt SSL-certifikat er en fil, der entydigt identificerer den server, som forbindelsen oprettes til. Et digitalt certifikat kaldes nogle gange et digitalt pas eller digitalt id.

SSL-certifikatet indeholder følgende detaljerede oplysninger:

· Det domæne, som certifikatet blev udstedt til;

· Certifikat ejer;

· Opsætning af en WWW-server og oprettelse af en ny hjemmeside, hvor internetklienten kan fungere via to-vejs SSL (TLS).

· Opsætning af BSI-modulet.

· Opsætning af RTS-modulet.

· Generering af nøgler og en anmodning om et webservercertifikat.

· Generering af et klientcertifikat.

· Installation af certifikater på passende computere.

· Tildeling af det installerede certifikat til webserveren.

· Konfiguration af to-vejs SSL (TLS) på et websted.

4.2. Generering af et webservercertifikat og private nøgler

Nøgler og en anmodning om et webservercertifikat kan genereres ved hjælp af standard fjernbankværktøjer.

For at gøre dette skal du vælge menupunktet Sikkerhed -> Kryptobeskyttelse -> Manuel certifikatgenerering.

ð En dialog åbnes Generering af en certifikatanmodning og privat nøgle(Figur 4-1).

Ris. 4‑1 Generering af en certifikatanmodning og privat nøgle

https://pandia.ru/text/78/460/images/image023_1.jpg" width="411" height="466 src=">

Ris. 4-3 CryptoPro CSP-egenskabsdialogboks

· Gå til bogmærket "Service" og klik på knappen « Installere Personligt certifikat" .

"Guiden til installation af privat certifikat"(Figur 4-4).

Ris. 4-4 dialogboks « Privat certifikat installationsguide"

· Klik på knappen "Næste".

Certifikatindstillinger (fig. 4-5).

Ris. 4-5 Certifikatinstallationsdialogboks

· Vælg den ønskede certifikatfil, og klik på knappen "Næste".

ð Følgende vindue åbnes for at installere certifikatet (fig. 4-6).

Ris. 4-6 Certifikatinstallationsdialogboks

· Klik på knappen "Næste".

ð Dette åbner følgende dialogboks for certifikatinstallation (fig. 4-7).

Ris. 4-7 Dialogboks for certifikatinstallation

· Når du vælger en nøglebeholder, skal du angive "Computer", og derefter vælge den ønskede beholder. Klik på knappen "Næste".

ð Dette åbner følgende dialogboks til installation af certifikatet (fig. 4-8).

Ris. 4-8 Certifikatinstallationsdialogboks

· Klik på knappen "Gennemse".

ð Dette åbner en dialogboks « VælgCertifikatButik"(Fig. 4-9).

https://pandia.ru/text/78/460/images/image030.jpg" width="502" height="385 src=">

Ris. 4-10 Certifikatinstallationsdialogboks

· Klik på knappen "Udfør".

ð Således vil servercertifikatet ende i den personlige mappe på den lokale computer med et link installeret på OS-niveau med en beholder med hemmelige nøgler.

For at installere et certifikat kan du bruge hovedmenuerne i Windows « Start - >løb" .

ð Dette åbner et vindue « Løb"(Figur 4-11).

Microsoft" href="/text/category/microsoft/" rel="bookmark">Microsoft LedelseKonsol".

· Vælg mmc hovedmenupunktet "Konsol -> Ny", eller tryk på tasterne "Ctrl+N".

ð Dette åbner en dialogboks « Konsol Rod"(Figur 4-12).

https://pandia.ru/text/78/460/images/image033_0.jpg" width="415" height="309 src=">

Ris. 4-13 Tilføj/fjern snap-in-dialogboks

· Klik på knappen "Tilføj".

ð Dette åbner en dialogboks « TilføjeStandaloneSnap-i"(Figur 4-14).

https://pandia.ru/text/78/460/images/image035_0.jpg" width="523" height="195 src=">

Ris. 4-15 certifikater Snap-in dialogboks

· Marker afkrydsningsfeltet "Computerkonto", og klik på knappen "Næste".

ð En dialogboks vises på skærmen « VælgComputer"(Figur 4-16).

https://pandia.ru/text/78/460/images/image037.jpg" width="415" height="292 src=">

Ris. 4-17 Tilføj/fjern snap-in-dialogboks

· Klik på knappen "Ok".

ð Dette åbner et vindue Konsol Rod(Figur 4-18), som indeholder en liste over certifikater LokalComputer.

https://pandia.ru/text/78/460/images/image039.jpg" width="474" height="345 src=">

ð Dette åbner vinduet med indstillingsguiden « CertifikatimportereGuiden".

· Klik på knappen "Næste".

ð Dette åbner følgende dialogboks « CertifikatimportereGuiden"(Figur 4-20).

Ris. 4-20 dialogboks "Guiden Certifikatimport»

· Angiv stien til autorisationscenterets certifikatfil, og klik på knappen "Næste".

ð Dette åbner følgende dialogboks « CertifikatimportereGuiden".

· Marker afkrydsningsfeltet "Opdag automatisk placeringen af ​​certifikatet eller placer det i den angivne mappe" og klik på knappen "Næste".

ð Dette åbner følgende dialogboks « CertifikatimportereGuiden".

· For at fuldføre proceduren og lukke vinduet med indstillingsguiden, skal du klikke på knappen "Udfør".

· Ved lukning Microsoft Ledelse Konsol ( MMC) klik på knappen « Ja" for at gemme dine indstillinger.

4.4. Tildeling af et certifikat til en hjemmeside

Sådan konfigurerer du to-vejs SSL:

· Start Internet Services Manager ("Start -> Indstillinger -> Kontrolpanel -> Administrative værktøjer -> Internet Services Manager").

· Åbn træet "Internet Information Services" i vinduet, der vises til venstre.

ð En gren vil dukke op i træet *<сетевое имя Вашего компьютера>.

· På listen over websteder skal du vælge det websted, som du vil konfigurere to-vejs SSL for, og åbn indstillingerne ("Egenskaber").

Opmærksomhed!

Her beskriver vi kun yderligere konfiguration af webstedet, så det korrekt understøtter driften af ​​en kanal med tovejs SSL-sikkerhedstype. Kun nedenstående parametre er underlagt yderligere konfiguration. Alle andre parametre forbliver uændrede.

· Gå til fanen "Directory Security" (Fig. 4-21).

https://pandia.ru/text/78/460/images/image003_23.jpg" width="503" height="386 src=">

· Klik på knappen "Næste".

ð Dette åbner en dialogboks « IISCertifikatGuiden"(Figur 4-22).

https://pandia.ru/text/78/460/images/image043.jpg" width="503" height="248 src=">

Ris. 4-23 Dialogboks "IIS Certificate Wizard"

· Vælg det installerede certifikat fra listen, og klik på knappen "Næste".

ð Dette åbner følgende dialogboks « IISCertifikatGuiden"(Figur 4-24).

Ris. 4-24 Dialogboks "IIS Certificate Wizard"

· Klik på knappen "Næste".

ð Dette åbner følgende dialogboks « IISCertifikatGuiden"(Figur 4-25).

DIV_ADBLOCK427">

Opmærksomhed!

Webstedet skal oprettes og konfigureres i henhold til dokumentet "System Installation and Configuration Guide".

Her beskriver vi kun yderligere konfiguration af webstedet, så det korrekt understøtter driften af ​​en kanal med tovejs SSL-sikkerhedstype. Kun nedenstående parametre er underlagt yderligere konfiguration. Alle andre parametre forbliver uændrede.

· Gå til fanen "Directory Security".

· I sektionen "Sikker kommunikation" skal du klikke på knappen "Rediger".

· Marker følgende felter i den dialogboks, der åbnes:

▼ Kræv sikker kanal

▼ Kræv klientcertifikater.

4.6. Opsætning af BSI – RTS-binding til to-vejs SSL

Hjælpeprogrammet bruges til at konfigurere BSISET. EXE . Indstillingerne foretages som følger:

· Kør hjælpeprogrammet bsiset. exe (værktøjet er placeret i "%BSSRoot%\EXE"-mappen).

ð Dette åbner en dialogboks « VælgeBSI. DLLBeliggenhed» .

· Angiv stien til bsi-filen i feltet "Library". dll. Hvis BSI-modulets indstillinger er foretaget tidligere, kan stien vælges fra listen nedenfor. For at vælge stien til bsi. dll manuelt ved hjælp af knappen.

· Klik på knappen "Rediger".

ð Dette åbner indstillingsdialogboksen " BSIKonfiguration".

Til den anvendte type klientkanalbeskyttelse – to-vejs SSL ( TLS) konfiguration skal konfigureres RTS .

· Du skal oprette en ny konfiguration for RTS. For at oprette en ny indstilling skal du klikke på knappen Ny i højre side af vinduet på fanen Configs.

ð Dette vil oprette en ny konfiguration med navnet Ny Vare, som kan omdøbes.

ð For at kopiere standardkonfigurationen skal du køre hjælpeprogrammet bsiset. exe. Klik på knappen Rediger. Vælg den ønskede konfiguration og klik på knappen "Ny kopi".

· Placer markøren på linjen "NewItem", og indtast konfigurationsnavnet i feltet "ConfigID".

· Klik derefter på knappen "Konfiguration" med markøren placeret på navnet på den nye indstilling.

ð Indstillingsvinduet vises på skærmen « BSISæt".

· Åbn sektionen "Valgmuligheder", og gå til fanen "Godkendelse".

· Det er nødvendigt at konfigurere klientidentifikationstypen. For at gøre dette skal du markere afkrydsningsfeltet "Identificer ved klientcertifikat (TLS)".

For at konfigurere RTS-parametre skal du finde serverikonet i proceslinjen og højreklikke på det:

ð Dette aktiverer kontekstmenuen.

· Vælg kommandoen "Indstillinger..." i kontekstmenuen

ð Dette åbner en dialogboks "Indstillinger".

· Åbn sektionen "Valgmuligheder", og gå til fanen "Client Identification" (fig. 4-26).

https://pandia.ru/text/78/460/images/image049_0.jpg" width="510" height="368">

Ris. 4-27 Generering af en certifikatanmodning og privat nøgle til klienten

Indtast abonnentens navn, vælg kryptobibliotekstypen – Ms Crypto Api 2.0 og klik på Næste.

ð Følgende vindue til indtastning af certifikatparametre vises på skærmen.

Når du genererer et klientcertifikat, skal du angive følgende parameterværdier i dette vindue:

Certifikatets omfang 1.3.6.1.5.5.7.3.2;

Omfanget af den private nøgle DigitalSignatur;NonRepudiation;KeyEncipherment; DataEncipherment. Typer.

4.8. Installation af et klientcertifikat (udføres på klientcomputeren)

For at installere et klientcertifikat skal du bruge CryptoPro-kontrolpanelet (fig. 4-28).

Brug hovedmenupunkterne Windows Start -> Indstilling -> Kontrolpanel -> CryptoPro CSP.

Ris. 4-28 Kom godt i gang med opsætning af CryptoPro CSP

· Et vindue åbnes Egenskaber: CryptoPro CSP.

· Åbn siden Service og tryk på knappen Installere Personlig Certifikat.

· Et vindue åbnes Guiden til installation af privat certifikat.

· Klik på knappen Næste.

· Vælg den ønskede certifikatfil, og klik på knappen Næste..

· Følgende vindue åbnes for at installere certifikatet.

· Klik på knappen Næste.

Følgende vindue åbnes for at installere certifikatet.

Ris. 4-29 Valg afnger

Når du vælger en nøglebeholder, skal du angive " Bruger", vælg derefter den ønskede beholder. Klik på knappen Næste(Figur 4-29).

· Følgende vindue åbnes for at installere certifikatet.

· Klik på knappen Gennemse.

· Et vindue åbnes Vælg Certifikatbutik.

· Angiv opslagsbog personlig for at installere certifikatet og klik Okay.

Klik derefter på knappen i vinduet for at installere certifikatet Næste.

· Følgende vindue åbnes med muligheder for certifikatinstallation.

· Klik på knappen Afslut.

Dermed ender servercertifikatet i den aktuelle brugers personlige lager.

Opsætning af webadgang

Yderligere webadgangsserverindstillinger

Opsætning af en sikker forbindelse (baseret på Secure Socket Layers, SSL)

Hvis det er nødvendigt, kan du konfigurere forbindelsessikkerhedmed webadgangsserver DIREKTUM : Information transmitteret via kommunikationskanaler vil blive krypteret. For at kunne arbejde med sikre forbindelser skal du gøre følgende:

1. Foretag ændringer i webadgangsserverens konfigurationsfil:

· Trin 1: Kør Web Access Server Configuration Utility C:\Program Files\DIRECTUM Company\WebAccessConfig\DirWebConfigurator.exe.

· Trin 2. Vinduet "Select Web Access Server Web Site". DIREKTUM":

EN) i rullelisten skal du vælge webadgangsserverens websted til DIREKTUM . Som standard kaldes det "Web Access Server". DIREKTUM";

b) klik på knappen Okay ;

· Trin 3. Vinduet "Web Access Server Settings". DIREKTUM ", fanen "Generelt":

EN) i rullelisten "Sikker forbindelse" skal du vælge "For fjernbrugere". Hvis du har brug for at etablere en sikker forbindelse til lokale netværksbrugere, skal du vælge værdien "For remote and local";

b) klik på knappen Okay .

2. Konfigurer IIS til at arbejde med SSL -forbindelser ved at installere et servergodkendelsescertifikat. For at gøre dette genereres et certifikat med formålet "Giver identifikation fra en fjerncomputer" med mulighed for at eksportere til virksomhedens certificeringstjeneste, som et resultat af hvilket det er nødvendigt at opnå *. pfx -privat nøglefil.

3. Hvis du bruger en webcertificeringstjeneste Windows , og gør derefter følgende:

EN) Når du genererer et certifikat, skal du angive muligheden for at eksportere certifikatet. Når certifikatet er installeret på det lokale system, kan det ses vha Internet Explorer – menupunkt "Internetindstillinger", fanebladet "Indhold", knap Certifikater . Brug knappen for at eksportere Eksport , angiv venligst Ja, eksporter privat nøgle, og indtast din adgangskode.

b) Importer certifikatet. For at gøre dette skal du klikke på knappen på fanen "Directory Security" på webstedsegenskabskortet Certifikater og følg instruktionerne på skærmen for at importere certifikatet ved hjælp af den adgangskode, du har angivet i det foregående trin. Efter modtagelse af certifikatet vil den sikre forbindelsesport 443 blive etableret og fungere via SSL bliver muligt.

4. For at understøtte åbne (ubeskyttede) forbindelser skal du indstille indstillingen Tillad understøttelse af åbne HTTP-forbindelser på fanen "Websted" i webstedets egenskaber.

5. For at kunne installere et certifikatmyndighedscertifikat ved hjælp af et link fra login-siden, skal du have den bruger, som applikationsgruppen er startet fra " DIREKTUM ", tillad "Læs" og "Anmod om certifikater" i snap-in "Certificeringsmyndighed" i egenskaberne for den ønskede certificeringsmyndighed på fanen "Sikkerhed".

Se også:

Behagelig nyhed for november 2016 til vores kære kunder og webstedsbrugere. Vores onlinebutik står ikke stille, og opdaterer regelmæssigt ikke kun udvalget af produkttilbud, men udvider også webstedets funktionalitet, dets sikkerhed for brugerne og dets betydning i det globale internetsystem. Så den 26. september 2016 modtog netbutikssiden et SSL-certifikat med udvidet verifikation, og den 1. november 2016, efter at have testet og forbedret driftsalgoritmerne, koblede vi betalingssystemer til siden!

Lad os nu se nærmere på behovet for disse handlinger, og hvilke fordele får vores dyrebare kunder af dette?

Den største visuelle fordel, som enhver kunde kan bemærke, er evnen til at betale ONLINE med et bankkort for enhver ordre fra vores onlinebutik og modtage den på en bekvem adresse. Med hensyn til den interne, skjulte fordel ved sideopdateringer - et SSL-certifikat er en særlig måde at kryptere et websted mellem det globale internet, browseren og brugeren på siden, med andre ord betyder det, at siden nu er beskyttet mod muligheden for angreb og beslaglæggelse af dine betalings- (og endda kontaktoplysninger) af tredjeparter. For at opnå et SSL-certifikat skulle vores websted gennemgå en verifikation af organisationens reelle eksistens, bekræftelse af modtagelse og binding af certifikatet til domænet og integration af det nye sikre webstedssystem i den velkendte onlinebutiksside. Fra nu af kan brugere af vores hjemmeside være helt sikre på sikkerheden ved at bruge vores bekvemme og moderne hjemmeside, foretage køb og ikke være bange for lækage af deres data til tredjepart.

Vi står i øvrigt heller ikke stille med at udvide mulighederne for at modtage vores ordrer, og i efteråret 2016 begyndte vi at tilbyde vores kunder muligheden for at modtage ordrer med nye leveringsmetoder - med SDEK kurerservice og gennem inPost pakketerminaler . Begge tjenester er til stede i mange store byer i Rusland, prisen på deres tjenester er meget overkommelig, og arbejdshastigheden forbløffer nogle gange selv elskere af dyre og højkvalitets kurertjenester! Vi råder dig til at prøve at bruge nye leveringsmetoder, dette vil spare din tid og penge, og give dig en behagelig oplevelse, når du modtager varer.

Vores online butiksside er en moderne, dynamisk udviklende virksomhed, der tilbyder vores kunder de mest moderne og sikre metoder til at betale og modtage vores ordrer. Hold dig opdateret på de opdateringer, der kommer til at blive storslåede og globale, både med at udvide sortimentet og give flere muligheder til vores dyrebare kunder!!

TLS og SSL er blevet nævnt mere og mere på det seneste, brugen af ​​digitale certifikater er blevet mere relevant, og der er dukket endda virksomheder op, der er klar til at levere gratis digitale certifikater til alle for at sikre, at trafikken mellem besøgte websteder og klientens browser er krypteret. Dette er naturligvis nødvendigt af hensyn til sikkerheden, så ingen på netværket kan modtage de data, der sendes fra klienten til serveren og tilbage. Hvordan fungerer det hele, og hvordan bruger man det? For at forstå dette må vi måske starte med teori og så vise det i praksis. Altså SSL og TLS.

Hvad er SSL, og hvad er TLS?

SSL - Secure Socket Layer, et lag af sikre sockets. TLS - Transport Layer Security, transportlagssikkerhed. SSL er et tidligere system, TLS kom senere og er baseret på SSL 3.0-specifikationen udviklet af Netscape Communications. Disse protokoller har dog én opgave - at sikre sikker dataoverførsel mellem to computere på internettet. Denne overførsel bruges til forskellige hjemmesider, til e-mail, til beskeder og meget mere. I princippet kan du overføre enhver information på denne måde; mere om det nedenfor.

Sikker transmission er sikret ved autentificering og kryptering af de transmitterede oplysninger. I det væsentlige fungerer disse protokoller, TLS og SSL, det samme; der er ingen grundlæggende forskelle. TLS kan siges at være efterfølgeren til SSL, selvom de kan bruges samtidigt, selv på samme server. En sådan support er nødvendig for at sikre arbejde med både nye klienter (enheder og browsere) og ældre klienter, der ikke understøtter TLS. Sekvensen for forekomsten af ​​disse protokoller ser sådan ud:

SSL 1.0 - aldrig offentliggjort
SSL 2.0 - februar 1995
SSL 3.0 - 1996
TLS 1.0 - januar 1999
TLS 1.1 - april 2006
TLS 1.2 - august 2008

Sådan fungerer SSL og TLS

Funktionsprincippet for SSL og TLS er som sagt det samme. En krypteret kanal etableres oven på TCP/IP-protokollen, inden for hvilken data overføres via applikationsprotokollen - HTTP, FTP, og så videre. Sådan kan det repræsenteres grafisk:

Applikationsprotokollen er "indpakket" i TLS/SSL, som igen er pakket ind i TCP/IP. I det væsentlige transmitteres applikationsprotokoldata over TCP/IP, men de er krypteret. Og kun den maskine, der etablerede forbindelsen, kan dekryptere de overførte data. For alle andre, der modtager de transmitterede pakker, vil denne information være meningsløs, hvis de ikke kan dekryptere den.

Forbindelsen etableres i flere trin:

1) Klienten etablerer en forbindelse til serveren og anmoder om en sikker forbindelse. Dette kan opnås enten ved at etablere en forbindelse til en port, der oprindeligt er beregnet til at fungere med SSL/TLS, for eksempel 443, eller ved yderligere at anmode klienten om at etablere en sikker forbindelse efter etablering af en almindelig.

2) Ved etablering af en forbindelse giver klienten en liste over krypteringsalgoritmer, som den "kender". Serveren tjekker den modtagne liste med listen over algoritmer, som serveren selv "kender" og vælger den mest pålidelige algoritme, hvorefter den fortæller klienten, hvilken algoritme den skal bruge

3) Serveren sender klienten sit digitale certifikat, underskrevet af certificeringsmyndigheden, og serverens offentlige nøgle.

4) Klienten kan kontakte serveren for den betroede certifikatmyndighed, der underskrev servercertifikatet, og kontrollere, om servercertifikatet er gyldigt. Men måske ikke. Operativsystemet har normalt allerede installeret rodcertifikater fra certificeringsmyndigheder, mod hvilke signaturerne af servercertifikater verificeres, for eksempel af browsere.

5) En sessionsnøgle genereres til en sikker forbindelse. Dette gøres som følger:
— Klienten genererer en tilfældig digital sekvens
— Klienten krypterer det med serverens offentlige nøgle og sender resultatet til serveren
— Serveren dekrypterer den modtagne sekvens ved hjælp af den private nøgle
Da krypteringsalgoritmen er asymmetrisk, er det kun serveren, der kan dekryptere sekvensen. Ved brug af asymmetrisk kryptering bruges to nøgler - private og offentlige. En besked sendt offentligt er krypteret, og en besked sendt privat er dekrypteret. Det er umuligt at dekryptere en besked, hvis du har en offentlig nøgle.

6) Dette etablerer en krypteret forbindelse. Data, der overføres over det, krypteres og dekrypteres, indtil forbindelsen afbrydes.

Rodcertifikat

Lige ovenfor nævnte jeg rodcertifikatet. Dette er et autorisationscentercertifikat, hvis underskrift bekræfter, at det certifikat, der er underskrevet, er det, der tilhører den tilsvarende tjeneste. Selve certifikatet indeholder normalt en række informationsfelter, der indeholder oplysninger om navnet på den server, som certifikatet blev udstedt til, og gyldighedsperioden for dette certifikat. Hvis certifikatet er udløbet, er det ugyldigt.

Signaturanmodning (CSR, Certificate Sign Request)

For at få et signeret servercertifikat skal du generere en signaturanmodning (CSR, Certificate Sign Request) og sende denne anmodning til autorisationscentret, som returnerer et signeret certifikat installeret direkte på serveren. Nedenfor ser vi hvordan du gør dette i praksis. Først genereres en krypteringsnøgle, og derefter, baseret på denne nøgle, genereres en signaturanmodning, en CSR-fil.

Klientcertifikat

Et klientcertifikat kan genereres til både enheds- og brugerbrug. Typisk bruges sådanne certifikater i tovejsverifikation, hvor klienten verificerer, at serveren er den, den siger, den er, og serveren gør det samme til gengæld. Denne interaktion kaldes tovejsgodkendelse eller gensidig godkendelse. Tovejsgodkendelse forbedrer sikkerhedsniveauet sammenlignet med envejsgodkendelse og kan også tjene som erstatning for godkendelse ved hjælp af et login og adgangskode.

Kæde af handlinger til generering af certifikater

Lad os tage et praktisk kig på, hvordan de handlinger, der er forbundet med at generere certifikater, sker helt fra begyndelsen og i praksis.

Den første ting at gøre er at generere et rodcertifikat. Rodcertifikatet er selvsigneret. Og så vil andre certifikater blive underskrevet med dette certifikat.

$ openssl genrsa -out root.key 2048 Genererer RSA privat nøgle, 2048 bit lang modul .......+++ ....... ............... .........+++ e er 65537 (0x10001) $ openssl req -new -key root.key -out root.csr Du er ved at blive bedt om at indtaste oplysninger, der vil blive inkorporeret i din certifikatanmodning . Det, du er ved at indtaste, er det, der kaldes et Distinguished Name eller et DN. Der er en del felter, men du kan lade nogle være tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster ".", vil feltet stå tomt. ----- Landenavn (2 bogstavskode) :RU Stats- eller provinsnavn (fuldt navn) :N/A Lokalitetsnavn (f.eks. by) :Saint-Petersburg Organisationsnavn (f.eks. virksomhed) :Min virksomheds organisationsenhedsnavn (f.eks. sektion): IT-tjenestens almindelige navn (f.eks. server FQDN eller DIT navn) : E-mail-adresse for mit firmarodcertifikat: [e-mailbeskyttet] Indtast venligst følgende "ekstra" attributter, der skal sendes med din certifikatanmodning. En udfordringsadgangskode: Et valgfrit firmanavn: Mit firma $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Signatur ok emne=/C=RU/ST=N/A/L=Saint-Petersburg/O=Min virksomhed/OU=IT-service/CN=Min virksomheds rodcertifikat/ [e-mailbeskyttet] Får privat nøgle

Således genererede vi først en privat nøgle, derefter en signaturanmodning og underskrev derefter vores egen anmodning med vores nøgle og modtog vores eget digitale certifikat, udstedt for 10 år. Du behøver ikke indtaste en udfordringsadgangskode, når du genererer et certifikat.

Den private nøgle SKAL opbevares et sikkert sted; har du den, kan du underskrive ethvert certifikat på dine vegne. Og det resulterende rodcertifikat kan bruges til at identificere, at serverens certifikat for eksempel blev underskrevet af os og ikke af en anden. Det er de handlinger, som autorisationscentre udfører, når de genererer deres egne certifikater. Når du har oprettet rodcertifikatet, kan du begynde at generere servercertifikatet.

Se certifikatoplysninger

Indholdet af certifikatet kan ses som følger:

$ openssl x509 -noout -udsteder -slutdato -in root.pem udsteder= /C=RU/ST=N/A/L=Saint-Petersburg/O=Min virksomhed/OU=IT Service/CN=Min virksomheds rodcertifikat/ [e-mailbeskyttet] notAfter=22. jan 11:49:41 2025 GMT

Vi kan se, hvem der har udstedt dette certifikat, og hvornår dets udløbsdato udløber.

Servercertifikat

For at underskrive et certifikat til serveren skal vi gøre følgende:

1) Generer en nøgle
2) Generer en signaturanmodning
3) Send CSR-filen til autorisationscentret eller underskriv den selv

Et servercertifikat kan omfatte kæden af ​​certifikater, der underskriver servercertifikatet, men det kan også gemmes i en separat fil. I princippet ser alt nogenlunde det samme ud, som når man genererer et rodcertifikat

$ openssl genrsa -out server.key 2048 Genererer privat RSA-nøgle, 2048 bit lang modul ................................ ....... ................................................ . +++ .........................+++ e er 65537 (0x10001) $ openssl req -new -key server.key - out server .csr Du er ved at blive bedt om at indtaste oplysninger, der vil blive inkorporeret i din certifikatanmodning. Det, du er ved at indtaste, er det, der kaldes et Distinguished Name eller et DN. Der er en del felter, men du kan lade nogle være tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster ".", vil feltet stå tomt. ----- Landenavn (2 bogstavskode) :RU Stats- eller provinsnavn (fuldt navn) :N/A Lokalitetsnavn (f.eks. by) :Saint-Petersburg Organisationsnavn (f.eks. virksomhed) :Min virksomheds organisationsenhedsnavn (f.eks. sektion) :IT Service Common Name (f.eks. server FQDN eller DIT navn) :www.mycompany.com E-mail-adresse: [e-mailbeskyttet] Indtast venligst følgende "ekstra" attributter, der skal sendes med din certifikatanmodning. En udfordringsadgangskode: Et valgfrit firmanavn: $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server. pem -dage 365 Signatur ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=Mit firma/OU=IT Service/CN=www.mycompany.com/ [e-mailbeskyttet] Henter CA Private Key $ openssl x509 -noout -udsteder -emne -slutdato -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=Mit firma/OU=IT Service/CN =Mit firma rodcertifikat/ [e-mailbeskyttet] subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=Min virksomhed/OU=IT Service/CN=www.mycompany.com/ [e-mailbeskyttet] notAfter=Jan 25 12:22:32 2016 GMT

På denne måde signeres servercertifikatet, og vi ved, hvilken organisation der har udstedt dette certifikat. Efter signering kan det færdige certifikat bruges til dets tilsigtede formål, for eksempel installeret på en webserver.

Installation af et SSL/TLS-certifikat på en server med nginx

For at installere et SSL/TLS-certifikat på nginx-webserveren skal du følge et par enkle trin:

1) Kopier .key- og .pem-filerne til serveren. På forskellige operativsystemer kan certifikater og nøgler gemmes i forskellige mapper. I Debian, for eksempel, er dette mappen /etc/ssl/certs for certifikater og /etc/ssl/private for nøgler. På CentOS er dette /etc/pki/tls/certs og /etc/pki/tls/private

2) Skriv de nødvendige indstillinger i konfigurationsfilen for værten. Sådan skal det nogenlunde se ud (bare et eksempel):

Server (lyt 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # SSLv3 anbefales ikke!!! # Det er her for eksempel kun ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / ( try_files/ $uri $uri; ))

3) Genstart nginx

4) Gå til serverport 443 med en browser - https://www.mycompany.com og tjek dens funktionalitet.

Installation af et SSL/TLS-certifikat på en server, der kører Apache

Installation af et SSL/TLS-certifikat på Apache ser ens ud.

1) Kopier nøgle- og certifikatfilerne til serveren i de relevante mapper

2) Aktiver ssl-modulet til Apache med kommandoen "a2enmod ssl", hvis det ikke allerede er aktiveret

3) Opret en virtuel vært, der lytter til port 443. Konfigurationen vil se sådan ud:

ServerAdmin [e-mailbeskyttet] DocumentRoot /var/www Indstillinger FølgSymLinks TilladOverride Ingen Indstillinger Indekser FølgSymLinks MultiViews Tillad Tilsidesæt Ingen Bestil tillad, afvis tillad fra alle ScriptAlias ​​​​/cgi-bin/ /usr/lib/cgi-bin/ TilladOverride Ingen Indstillinger +ExecCGI -MultiViews +SymLinksIfOwnerMatch Ordre tillad, nægt Tillad fra alle ErrorLog $(APACHE_LOG_DIR)/error.log LogLevel advarsel CustomLog $(APACHE_LOG_DIR)/ssl_access.log kombineret SSLEngine på SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/This directiveserver add a #private/privateserver fil , der indeholder en liste # over alle certifikater, der signerede servercertifikatet #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions +StdEnvVars SSLOptions +StdEnvVars BrowserMatch "MSIE" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

Samtidig er der noget andet, der skal gøres. Find i filen httpd.conf, eller apache2.conf eller ports.conf, afhængigt af systemet, følgende sektion af config:

Hør 443

Hvis der ikke er en sådan betingelse, skal den tilføjes til konfigurationen. Og en ting mere: Du skal tilføje linjen

NameVirtualHost *:443

Denne linje kan være i filen httpd.conf, apache2.conf eller ports.conf

4) Genstart Apache-webserveren

Oprettelse af et klientcertifikat

Et klientcertifikat oprettes stort set på samme måde som et servercertifikat.

$ openssl genrsa -out client.key 2048 Genererer privat RSA-nøgle, 2048 bit lang modul ........................+++ ..... ........................................+++ e er 65537 (0x10001) $ openssl req -new -key client.key -out client.csr Du er ved at blive bedt om at indtaste oplysninger, der vil blive inkorporeret i din certifikatanmodning. Det, du er ved at indtaste, er det, der kaldes et Distinguished Name eller et DN. Der er en del felter, men du kan lade nogle være tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster ".", vil feltet stå tomt. ----- Landenavn (2 bogstavskode) :RU Stats- eller provinsnavn (fulde navn) :Saint-Petersburg Lokalitetsnavn (f.eks. by) :^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr Du er ved at blive bedt om at indtaste oplysninger, der vil blive inkorporeret i din certifikatanmodning. Det, du er ved at indtaste, er det, der kaldes et Distinguished Name eller et DN. Der er en del felter, men du kan lade nogle være tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster ".", vil feltet stå tomt. ----- Landenavn (2 bogstavskode) :RU Stats- eller provinsnavn (fuldt navn) :N/A Lokalitetsnavn (f.eks. by) :Saint-Petrersburg Organisationsnavn (f.eks. virksomhed) :Min virksomheds organisationsenhedsnavn (f.eks. sektion) :Engineering almindeligt navn (f.eks. server FQDN eller DIT navn) :Ivan Ivanov E-mail-adresse: [e-mailbeskyttet] Indtast venligst følgende "ekstra" attributter, der skal sendes med din certifikatanmodning. En udfordringsadgangskode: Et valgfrit firmanavn: $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client. pem -dage 365 Underskrift ok emne=/C=RU/ST=N/A/L=Saint-Petrersburg/O=Mit firma/OU=Engineering/CN=Ivan Ivanov/ [e-mailbeskyttet] Hent CA Private Key $ openssl x509 -noout -udsteder -emne -slutdato -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=Mit firma/OU=IT Service/CN =Mit firma rodcertifikat/ [e-mailbeskyttet] emne= /C=RU/ST=N/A/L=Saint-Petrersburg/O=Mit firma/OU=Engineering/CN=Ivan Ivanov/ [e-mailbeskyttet] notAfter=Jan 25 13:17:15 2016 GMT

Hvis du har brug for et klientcertifikat i PKCS12-format, skal du oprette det:

$ openssl pkcs12 -eksport -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Indtast Eksportkodeord: Bekræfter - Indtast Eksportkodeord:

Nu kan du bruge klientcertifikatet til at arbejde med vores server.

Konfiguration af nginx til at bruge klientcertifikater

Oftest bruges, som jeg allerede har sagt, envejsgodkendelse, normalt er det kun servercertifikatet, der kontrolleres. Lad os se, hvordan man tvinger nginx-webserveren til at verificere klientcertifikatet. Det er nødvendigt at tilføje indstillinger til serversektionen for at arbejde med klientcertifikater:

# Rodcertifikat(er), som klienten er signeret med ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Mulige muligheder: på | slukket | valgfri | optional_no_ca ssl_verify_client valgfri; # Verifikationsdybde af kæden af ​​certifikater, som klienten er signeret med ssl_verify_depth 2;

Herefter skal du genstarte indstillingerne eller hele serveren, og du kan kontrollere handlingen.

Konfiguration af Apache til at bruge klientcertifikater

Apache kan også konfigureres ved at tilføje yderligere muligheder til den virtuelle værtssektion:

# Katalog indeholdende rodcertifikater til klientbekræftelse SSLCARevocationPath /etc/apache2/ssl.crl/ # eller fil, der indeholder certifikater SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Klientbekræftelsesmulighed. Mulige muligheder: # ingen, valgfri, kræve og optional_no_ca SSLVerifyClient kræver # Se dybden af ​​signaturkæden. Standard 1 SSLVerifyDepth 2

Som du kan se, er mulighederne omtrent de samme som for nginx, da verifikationsprocessen er organiseret ensartet.

Lytte til certifikatoplysninger ved hjælp af openssl

For at teste, hvordan serveren interagerer med klientcertifikater, kan du kontrollere, om forbindelsen er etableret ved hjælp af TLS/SSL.

På serversiden begynder vi at lytte på porten ved hjælp af openssl:

Openssl s_server -accepter 443 -cert server.pem -key server.key -state

På klientsiden får vi adgang til serveren, for eksempel med culr:

Curl -k https://127.0.0.1:443

I konsollen på serversiden kan du observere processen med informationsudveksling mellem serveren og klienten.

Du kan også bruge mulighederne -verify [verification depth] og -Verify [verification depth]. Muligheden for små sager beder klienten om et certifikat, men det er ikke påkrævet at give et. Store bogstaver - Hvis et certifikat ikke leveres, vil der opstå en fejl. Lad os begynde at lytte på serversiden sådan her:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Fra serversiden ser fejlen sådan ud:

140203927217808:fejl:140890C7:SSL-rutiner:SSL3_GET_CLIENT_CERTIFICATE:peer returnerede ikke et certifikat:s3_srvr.c:3287:

Fra klientsiden sådan her:

Curl: (35) fejl:14094410:SSL-rutiner:SSL3_READ_BYTES:sslv3-alarm-håndtryksfejl

Lad os tilføje et certifikat og et domænenavn på klientsiden (du kan indtaste værtsnavnet for adressen 127.0.0.1 i filen /etc/hosts for at kontrollere):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Nu vil forbindelsen være vellykket, og du kan installere servercertifikatet på webserveren, give klientcertifikatet til klienten og arbejde med dem.

Sikkerhed

Ved brug af SSL/TLS er en af ​​hovedmetoderne MITM (Man In The Middle) metoden. Denne metode er afhængig af brugen af ​​et servercertifikat og en nøgle på en eller anden node, der vil lytte til trafikken og dekryptere informationen, der udveksles mellem serveren og klienten. For at organisere lytning kan du f.eks. bruge programmet sslsniff. Derfor er det normalt tilrådeligt at gemme rodcertifikatet og nøglen på en maskine, der ikke er tilsluttet netværket; til signering skal du medbringe signaturanmodninger på et flashdrev, underskrive og tage det væk. Og selvfølgelig lave sikkerhedskopier.

Generelt er det sådan, digitale certifikater og TLS- og SSL-protokollerne bruges. Har du spørgsmål/tilføjelser, så skriv i kommentarfeltet.

Indlægget blev udgivet af forfatteren i kategorien tagget , .

Post navigation

: 29 kommentarer

1. cl-service.com

   Klienten genererer selv CSR'en ved bestilling af et certifikat, hvor klienten også beslutter at gemme den private nøgle, for at udstede et certifikat behøver vi ikke den private nøgle, og klienten giver os den ikke på nogen måde. Hvis dette sker på en almindelig virtuel server, så har administratorer med root-adgang til serveren naturligvis også adgang til de nøgler, der er gemt der.

2. Velbekomme.

   Emnet bryster er ikke dækket, fordi den beskrevne PKI-teknologi ikke har noget at gøre med titlen på emnet. I det mindste med god grund gav jeg links til rfc.
   P.S. Der var en joke om en hund og en loppe.

3. Velbekomme.

   Det var ikke min mening at fornærme dig på nogen måde. Jeg ledte efter information om forskellen mellem SSl og TLS i praksis, og dit link var det første i Google. Jeg var fascineret af titlen på emnet. Alt er fedt, fortsæt!

4. DrAibolit

   Tak for dine indsigtsfulde forklaringer om digital certificering. Jeg er ny i det her =)
   Jeg håber, du kan afklare følgende spørgsmål.
   Da emnet svindel er meget udviklet i internetindustrien, vil jeg gerne lære at bestemme "lusene" på de sider, jeg besøger på egen hånd (især hvor der er kontanter og betalinger, investeringer osv.) og baseret på dette bestemmer graden af ​​min tillid (jeg skal ofte registrere, efterlade personlige oplysninger, foretage køb, transaktioner, investeringer). Hvis jeg forstår det rigtigt, giver det dig mulighed for at foretage en sådan vurdering at have denne certificering. Nå, på den anden side er det ikke et problem at få det, og det er endda gratis.
   Hvordan eller med hvilket program kan du afgøre, om en hjemmeside har et digitalt certifikat? og helst dens kategori, som tildeles, når en særlig myndighed udsteder SSL DV (certifikatet udstedes med verifikation af kun domænet), SSL OV (med verifikation af organisationen), EV (med udvidet verifikation af den juridiske enhed). Svigagtige websteder vil højst sandsynligt ikke bruge den seneste certificeringsmulighed.
   Jeg ville være glad, hvis du fortæller mig flere måder at bestemme pålideligheden af ​​websteder))

   1. mnorin Post forfatter

      Jeg er endnu ikke stødt på noget specifikt program til disse formål, men jeg kan give et par tips om denne sag.
      Du kan for eksempel bruge Chromium eller Google Chrome. Lad os for eksempel tage siden https://www.thawte.com/ – en virksomhed, der rent faktisk beskæftiger sig med digitale certifikater.
      Adresselinjen vil indeholde firmanavnet og en grøn hængelås. Det betyder, at organisationen er verificeret, dette er mindst SSL OV.
      Hvis du klikker på låsen, og i rullemenuen “Detaljer” og derefter “Vis certifikat”, kan du se information om certifikatet. For Thawte er certifikatet underskrevet af følgende certifikat: "thawte Extended Validation SHA256 SSL CA", og certifikatet for click.alfabank.ru er også underskrevet af Thawte, men med et andet certifikat. Dette er "thawte EV SSL CA - G3", det vil sige, at de også bestod Extended Validation.
      Sådan noget.

5. Ruslan

   Afsnit "Sådan fungerer SSL og TLS", "Klienten genererer en tilfældig digital sekvens."

   Jeg var sikker på, at klienten genererer session private og følgelig offentlige nøgler (som du åbenbart kaldte "digital sekvens"). Den offentlige nøgle sendes til serveren, og serveren krypterer pakkerne til klienten med klientens offentlige sessionsnøgle.

   Forklar venligst.

6. Nybegynder

   Artiklen er meget nyttig! Der er endda praktiske eksempler =) Men jeg forstod ikke én ting - hvad er forskellen mellem et rodcertifikat og et servercertifikat? eller er det det samme?

7. Vitaly

   Hej.
   Hosteren tilbød en tjeneste - SSL til virtuelle servere. Vi udnyttede det. Det viste sig, at for tredje niveau, dvs. http://www.site.ru-certifikatet er ugyldigt, kun for site.ru. Desuden skifter besøgende konstant til https-protokollen, uanset om de går til site.ru eller http://www.site.ru. Selvfølgelig begynder browseren i det andet tilfælde at bande hjerteskærende, og den besøgende kommer aldrig til siden.
   Men for dem, der kom til siden, begyndte siden at se skæv ud, en del af menuen forsvandt, og nogle af billederne i søgeresultaterne holdt op med at blive vist af nogle komponenter.

Beskyttelse mod eksterne angreb

opdeler klienten, og, hvis klienten har de nødvendige rettigheder, giver denne adgang til systemet). Hvis en sådan kontrol giver en fejl, afvises anmodningen. Klientnøgleidentifikationen verificeres med hver anmodning, hvilket eliminerer muligheden for at forfalske anmodninger og/eller svar.

Da klienten (internetbrowser) og klient BS-Defender kan fungere fysisk separat (på forskellige computere), giver BS-Defender-indstillingerne mulighed for at begrænse adgangen til den ( "Kun fra denne computer"- Standard,

"Kun gyldige noder fra listen" eller "Ingen begrænsninger"). I en

BS-Defender tillader samtidig arbejde med flere banker eller med én bank, men under forskellige logins (kræver yderligere konfiguration).

Det er muligt at logge (logge) både al trafik og individuelle mislykkede anmodninger.

6.2.2. Autentificering ved arbejde med to-vejs

For at definere en specifik klient skal RTS-applikationsserveren, der betjener under-

Internet klient system, vejledt af klientnøgle-id (kaldet UID). Som regel bruger systemet en af ​​certifikategenskaberne (f.eks. dets serienummer) som et UID. Efter at have modtaget fra Webservere oplysninger om klientcertifikatet indeholdt i overskriften på klientens https-anmodning; RTS bestemmer UID for klienten, der forbinder til systemet. For at gøre dette søger RTS efter et certifikat i systemets klientcertifikatlager og henter UID'et fra det.

For at kunne arbejde med Internet Client-undersystemet er følgende betingelse nødvendig: UID'et skal være registreret i den database, som applikationsserveren arbejder med. Når den modtager en anmodning, bestemmer applikationsserveren, om det modtagne UID er til stede i databasen, og baseret på resultaterne af kontrollen begynder den (eller begynder ikke) at servicere anmodninger fra denne klient. Hvis UID'et ikke findes, vil der blive genereret en fejlmeddelelse for enhver anmodning på vegne af denne klient og sendt til klienten.

En situation med to identiske UID'er er umulig - banken har en begrænsning på umuligheden af ​​at bruge mere end et certifikat (offentlig nøgle) med samme UID. På denne måde opnås personlig identifikation af anmodninger sendt af klienten.

6.2.3. Autentificering ved arbejde med envejs SSL (adgangskode og kryptografisk)

Ved brug af envejs-SSL er forbindelsen til serveren kun beskyttet af bankens personlige nøgler, der kun er registreret på WEB-serveren.

Enhver bruger kan således oprette forbindelse til WEB-serveren, også dem, der ikke har ret til at arbejde med undersystemet Internet Client. For at sikre lovligheden af ​​at logge ind på klientens arbejdsstation i internetklient-undersystemet er godkendelse ved hjælp af en adgangskode obligatorisk. Som en valgfri godkendelsesmetode kan godkendelsestilstanden ved hjælp af CIPF-nøgler ("kryptografisk godkendelse") aktiveres.

Beskyttelse mod eksterne angreb

Når du får adgang til et SSL-sted, vises klienten i statuslinjen i Internet Explorer-vinduet:

slot symbol -. Ved at dobbeltklikke på dette symbol kan du se information om servercertifikatet. Ud over automatisk servergodkendelse ved etablering af en sikker session er visuel servergodkendelse således mulig.

6.2.3.1. Adgangskodegodkendelse

Brug login-adgangskoden for at komme ind i internetklient-undersystemet.

Tildelingen af ​​et login og en adgangskode sker på tidspunktet for generering af distributionssættet til klientens arbejdsstation i internetklient-undersystemet. Når kodeordet er genereret, findes det kun på papir (udskrevet på en specificeret printer; der kan bruges en speciel printer, der udskriver kodeordsværdien inde i en lukket konvolut); kun resultatet af kodeordets Hash-funktion gemmes i bankens database . Således opnås hemmeligholdelsen af ​​den tildelte adgangskode - alle operationer med adgangskoden udføres kun mellem de modtagne resultater af Hash-funktionerne og de lagrede værdier af Hash-funktionerne.

Login er også klient-id'et, på grundlag af hvilket en session åbnes på RTS-serveren.

Når du går ind i internetklient-undersystemet, når du bliver bedt om at indtaste et login og en adgangskode, skal klienten indtaste de værdier, der er modtaget med distributionssættet. Hvis adgangskoden indtastes forkert tre gange (nummeret er angivet), betragtes det som kompromitteret, og kontoen er spærret. For at fjerne blokeringen skal klienten kontakte den bankfilial, der har udstedt distributionssættet til internetklient-undersystemet.

Efter at have logget på undersystemet Internet Client, kan adgangskoden gentildeles (ændres) af brugeren selv. I dette tilfælde gemmes adgangskoden heller ikke i klartekst i bankdatabasen, men resultatet af HASH-funktionen fra den nye adgangskode gemmes.

Der kan stilles yderligere krav til brugeradgangskoder: minimum adgangskodelængde, adgangskodeudløbsdato osv. Brugen af ​​simple adgangskoder kan også være forbudt (se afsnit 4.8.1.2.3.4 "Sikring af identitetsbekræftelse"

kov brugere" dok. Komplet brugervejledning).

For at yde yderligere beskyttelse af systemet mod uautoriseret adgang er det muligt at kontrollereika. De interne og eksterne IP-adresser på netværksinterfacet og/eller MAC-adresserne på netværkskort installeret i brugerarbejdsstationer bruges som brugeridentifikation (se afsnit 4.8.1.2.3.4 "Sikring afika" dok.). Adresser overføres til systemserveren, når en forbindelse er etableret.

6.2.3.2. Kryptografisk autentificering

Til den eksisterende autentificering ved hjælp af "login-password" kan den såkaldte "Authentication using CIPF keys" inkluderes. På tidspunktet for generering af internetklient-distributionssættet, får klienten altid et sæt personlige kryptografiske nøgler for at give juridisk bekræftelse af ægtheden og pålideligheden af ​​elektroniske betalingsdokumenter sendt til banken. Følgelig kan de samme nøgler bruges til godkendelse, når du logger på undersystemet Internet Client.

Beskyttelse mod eksterne angreb

Lad os overveje rækkefølgen af ​​operationer for kryptografisk godkendelse:

1. Efter at have bestået adgangskodegodkendelse genererer serveren en datasekvens, der er specifik og unik for den aktuelle kommunikationssession for en given bruger.

2. Denne sekvens gemmes i sessionscachen på banksiden; der er sat et blokeringsflag, der forbyder åbning af en session, indtil serveren modtager en signatur for denne datablok fra klienten.

3. Sekvensen videregives til klientsiden.

4. Klient fra listen over mulige krypto-profiler (signaturer) vælger og underskriver den valgte sekvens.

5. Underskriften, uden en underskrevet sekvens, overføres til banken.

6. På banksiden gendannes en unik sekvens fra sessionscachen.

7. Den modtagne signatur under den gendannede sekvens kontrolleres.

8. Hvis signaturen er korrekt, fjernes blokeringsflaget, og "In-"-sessionen indtastes. Internetklient."

9. Hvis signaturen ikke er korrekt, genereres en fejlmeddelelse og en tilbagevenden til trin. 4.

6.2.4. Brug af sessionsnøgler, når du arbejder med undersystemet Internet - klient

Ud over at godkende brugere af Internet Client-undersystemet ved hjælp af adgangskoder, er det muligt at bruge brugergodkendelse ved hjælp af sessionsnøgler genereret i RBS BS-Client-systemet eller ved at bruge eToken PASS-hardwareenheden (se afsnit 4.8.2.1.1 "Generering af sæt sessionsnøgler i RBS BS-Client-systemet" dok. Komplet brugervejledning). Ved brug af denne mekanisme får brugeren kun fuld adgang til undersystemet efter at have indtastet den nøgle, som systemet anmoder om. Hvis nøglen ikke er indtastet, får brugeren begrænset adgang til undersystemet, uden mulighed for at udføre kryptografiske operationer på dokumenter.

6.2.5. Brug af sessionsnøgler, når du arbejder med undersystemet Telefon - Klient

For at kunne arbejde med persondata (modtage oplysninger på konti, foretage betalinger mv.), skal klienten gennemgå autorisation i undersystemet Telefon-kunde (TC). Det såkaldte autorisationsdatasæt anvendes.

et "kit" bestående af en pinkode og sæt sessionsnøgler(KSK).

Både PIN-koden og SK er et sæt tal, hvis længde varierer fra 3 til 10 tegn (indstillet af administratoren under generering).

Beskyttelse mod eksterne angreb

PIN-koden er unik i RBS BS-Client-systemet.

SK bruges til at øge sikkerhedsniveauet ved adgang til data gennem telefonklienten.

Et system kan være unikt enten inden for et separat sæt eller i systemet som helhed eller slet ikke unikt. SC kan enten være til engangsbrug eller genanvendelig.

Klienttelefonen har en fleksibel mekanisme til opsætning af sikkerhedspolitikker:

begrænsning af gyldighedsperioden for SC-sættet;

mulighed for en eller flere gange brug af SC;

dybde af PIN-kode og SK;

forskellige typer af unikke forsikringsselskabet;

evnen til at erstatte både "kuverten" som helhed og dens individuelle komponenter (PIN-kode, SK);

generering af dokumenter baseret på personlige skabeloner.

6.3. Filtrering af brugeranmodninger i undersystemet Internet - klient via IP og MAC-

Som et ekstra middel til beskyttelse mod eksterne angreb i internetklient-undersystemet kan filtrering af brugeranmodninger bruges:

på intern og ekstern IP-adresser på netværksgrænsefladen;

MAC-adresser på netværkskort installeret i brugerarbejdsstationer.

For hver delsystembruger kan der angives en liste over tilladte IP- og MAC-adresser, hvorfra der kan oprettes forbindelse til subsystemstedet (se afsnit 4.8.1.2.3.4 "Sikring afika" dok. Komplet brugervejledning).