Безопасный SSL

Вячеслав Белов
viacheslavb@yahoo.com

Постоянно растущий интерес к интернет-технологиям, доступность большинства программ и ресурсов Сети подталкивает многих к использованию интернета в коммерческих целях. Любая коммерческая деятельность как в жизни, так и в Сети, имеет собственные нюансы, тонкости и особенности, но помимо всего прочего, выставляет дополнительные требования к безопасности сделок. 

Надо сказать, первые передачи данных кредитных карт происходили более или менее нормально (насколько это было возможно в тот далекий компьютерный век), пока в Сети не появились хиппи, панки, анархисты и прочая публика, желающая "пощипать" буржуев и хоть немного заявить о себе. Этим первым хакерам мы и должны быть сегодня благодарны за рождение и развитие нового стандарта безопасности SSL.

Сейчас это общепринятый стандарт в e-commerce. Все, от приема номеров кредиток, до создания и управления "электронными кошельками" проходит при обеспечении безопасности SSL. А широкое развитие эта технология получила благодаря внедрению SSL- протокола в работу большинства популярных браузеров.

В реальной жизни вы покупаете товар в магазинах, на лотках, у продавцов и консультантов, которым, в принципе, так или иначе можете довериться (спорный вопрос, прим. ред.). Но в интернете, с его миллионами сайтов и веб-страничек, нельзя быть до конца уверенным, что за парой сотней килобайт данных не скрывается мошенник. Но еще хуже, если какой-нибудь хакер сможет получить вашу конфиденциальную информацию. Чтобы избежать этих и множества других проблем, связанных с сохранностью передаваемых данных, и применяют SSL.

SSL (Secure Socket Layer) - протокол, который позволяет через браузер определить подлинность веб-сервера, а также обеспечить надежный "персональный" канал связи между браузером пользователя и сервером, на котором расположен сайт.

Благодаря серверам, поддерживающим этот протокол, сертификатам SSL, пользователь, загружающий сайт, может быть уверен как минимум в трех вещах:
Установление подлинности: сайт действительно принадлежит компании, которая установила свидетельство.

Секретность сообщения: используя уникальный "ключ сессии", SSL зашифрует всю информацию, которой обмениваются сайт и его клиенты (например, номер кредитной карточки или персональные регистрационные данные). Это гарантирует, что передаваемые серверу данные не могут быть просмотрены или перехвачены посторонними лицами. 

Целостность сообщения: данные, передаваемые посредством этого протокола, не могут быть частично потерянными или замененными.

Если, создавая собственный "торговый" сайт, вы действительно беспокоитесь о безопасности своих клиентов, то без использования SSL-протокола вам не обойтись. Более того, если у вас есть несколько независимых сайтов, предлагающих различные товары и услуги, то каждый из них должен иметь собственный сертификат. В конце концов - наличие такого сертификата повышает доверие к вашему бизнесу.

Безопасность сессии отражает сам браузер пользователя. Если сайт не поддерживает этого протокола, то в правом нижнем углу окна своего браузера (справедливо не для всех браузеров) вы увидите значок с «открытым замком», а если поддерживает, то значок с «закрытым замком».

Другим показателем безопасной связи является адресная строка браузера, где адреса обычных страниц начинаются с http://, а адреса защищенных страниц только с https://. Отправляя данные на защищенный сайт, вы должны получить так называемый SSL-сертификат, который подтверждает статус владельца сайта и предоставляет вам кое-какие данные о нем (владельце).

Загружая страницу в Netscape, можно увидеть, что сертификат содержит данные о физическом или юридическом лице, которому данный сертификат выдан, физический и электронный адрес компании (или человека), серийный номер сертификата, срок действия сертификата и так называемый "отпечаток" (индивидуальный номер). 

Процесс получения сертификата достаточно сложен и включает в себя обмен между браузером и сервером "публичным ключом" и "ключом сессии", на основе которых и формируется неповторимый "отпечаток", аналогичный по уникальности отпечатку пальцев человека. Запрашивая веб-страницу со специальным отличительным знаком - https, вы формируете специальный "цифровой ключ".

Такой же индивидуальный ключ существует и на сервере, на котором расположен сайт. Эти ключи между собой математически связаны, но никогда не будут совершенно одинаковыми. Фактически, сертификат служит свидетельством или доказательством того, что независимое доверенное лицо (не участвующее в сделке), подтверждает, что сайт принадлежит действительно конкретной компании.

Так исторически сложилось, что основные приоритеты hi-tech находятся в США. Чтобы обеспечить свое первенство в кибер-мире, США постоянно ограничивает выход наиболее совершенных протоколов и программ за рамки своей страны. Так произошло и с SSL. Дело в том, что на международном уровне ранее использовалось шифрование на основе ключа в 40 бит, в то время, когда в США был разрешен ключ в 128 бит. Протокол работы на основе 128-битного ключа и называют SuperCert. Считается, что этот протокол наиболее совершенный и безопасный на сегодняшний день. Но, хочу вас обрадовать, все браузеры: IE, начиная c 5.01 версии и NN c 4,7 версии, поддерживают SupertCert SSL-сертификацию. Подробнее о SuperCert можно узнать на www.thawte.com/certs/server/128bit/contents.html.

Самым же главным преимуществом SSL остается то, что при предоставлении достаточно серьезной и надежной защиты, ни вам, ни вашим покупателям не надо устанавливать дополнительного программного обеспечения, гарантирующего безопасность.

Однако если вы захотите обеспечить свой сайт SSL-сертификатом, вам придется обратиться в одну из компаний, занимающуюся таким сертифицированием частных и корпоративных сайтов. Найти такие компании можно, воспользовавшись любой поисковой машиной Сети.