SSL сертификат Бесплатный Шифрование и HTTPS шифрование



Для чего нам нужно шифрование?

Вэб представляет собой уникальный набор проблем, касающихся доверия, на которые любой бизнес должен обратить внимание с самого начала, чтобы минимизировать риск. Потребители предоставляют личную информацию и покупают товары или услуги через Интернет только тогда, когда уверены, что их личные данные, как номера кредитной карточки и финансовые данные находятся в безопасности. Решение для компаний, которое обеспечит уверенность в безопасности электронной коммерции, состоит в том, чтобы обеспечить полную трастовую инфраструктуру электронной коммерции, основанной на технологии шифрования. Давайте подойдем поближе к вопросу о шифровании. Вот определение словаря:

Encrypt Pronunciation Key

  1. помещение в код или шифр.
  2. компьютерная наука: изменение( например, файла) с помощью секретного кода так, чтобы быть непонятным посторонним лицам
  3. манипуляция данными, предотвращающая точную интерпретацию всеми, кроме тех, для кого данные предназначены. Финансовые учреждения используют шифрование для повышения безопасности данных, передаваемых через Интернет.

Итак, шифрование представляет собой процесс преобразования информации с целью сделать ее непонятной для всех несанкционированных сторон, кроме предпологаемого получателя и составляет основу целостности и конфиденциальности данных, которая необходима для электронной коммерции. Основной целью шифрования - убедиться, что информация, которая была зашифрована получена в понятной форме только предпологаемым получателем.

Если вы не аутентифицировали «предполагаемого получателя», откуда вы знаете, кто он есть на самом деле? Ответ «Вы не знаете». Поэтому, было бы справедливо отметить, что из приведенных выше определений, если вы не знаете для кого вы шифруете, то шифрование потенциально бессмысленно.

Центры Сертификации «Высокого подтверждения» выполняют аутентификацию для вас должным образом и ставят на это свое имя, подписывая сертификат. Центры Сертификации с «низким уровнем подтверждения» не делают этого, и сертификаты, которые они выдают вызывают сомнение. Давайте рассмотрим другие правовые, технические и коммерческие вопросы, стоящие перед потребителями и предприятиями, где аутентификатции обьектов не выполняется, более детально.

Должны ли потребители делать ставку 60000000:1 на личные данные и конфиденциальность?

На сегодняшний день, регистрация новых сайтов составляет приблизительно 5 миллионов новых доменов в квартал, что в общей сложности составляет более 60 миллионов. Без ранее сущесвовавших доверительных отношений, у потребителей нет ни одного досткпного способа проверки владельца вэб-сайта и, следовательно, полностью зависит от процесса аутентификации, проводимых Центрами Сертификации. Если же процесс аутентификации не выполняется, это вынуждает потребителей делать на частную жизнь и конфиденциальность.

Authentic SSL Certificate

С помощью «Аутентификации» потребители могут определить, с какой организацией они хотят иметь дело.

SSL with no Entity Authentication

Без «определения обьекта » число n составляет порядка 60000000 с приростом около 55000 в день. Предприятия и компании, которые заставляют пользователей подвергать риску личную и конфиденциальную информацию, проигрывают перед теми, чья идентификация может быть произведена прямо из SSL сертификата.

Давайте теперь в деталях рассмотрим сам SSL.

Что такое SSL?

Созданный компанией Netscape в 1994 году, SSL протокол, на сегодняшний день широко применяется в качестве способа обеспечения конфиденциальности, аутентификации и обеспечения целостности онлайн транзакций. Такие компании, как Comodo поставляют сертификаты высоких гарантий частным лицам и организациям и следят за процессом аутентификации, который включает в себя подтверждение существования предприятия, право организации на пользование доменным именем, включенным в сертификат, и полномочия запрашивающего на получение сертификата от имени организации.

Изначально концепт Netscape говорил следующее:

"Центры Сертификации третьей стороны являются очень важными для некоторых приложений. Например, банк, который желает установить Интернет-сервер для онлайн банкинга не может просто выписывать свой собственный сертификат для данного сервера и заверять клиентов в том, что этот сервер действительно принадлежит банку. Вместо этого, банк покупает сертификат у Центра Сертификации третьей стороны. Центр Сертификации третьей стороны берет на себя ответственность за проведение экспертизы и проверяет тот факт, что компания, которая запрашивает сертификат, действительно является той, за которую себя выдает, перед выдачей сертификата. "

Использование сертификата высокого подтверждения вляется критически важным фактором для безопасной электронной коммерции и одним из самых распространенных применений инфраструктуры открытого ключа(PKI). SSL сертификаты являются сертификатами высокого подтверждения, если они обеспечивают следующее:конфиденциальность, аутентификацию и целостность. Они дают пользователю возможность:

  • безопасно подключаться к вэб-сайту (HTTPS)- информация, которую потом предоставляет пользователь, не может быть перехвачен во время передачи(конфиденциальность) или изменен (целостность)
  • проверяет, принадлежит ли действительно сайт данной компании, а не является подделкой(аутентификация)

Например, SSL сертификат с именем организации «ABC Software Inc» на сайте www.abcsoftware.com проводит утверждение, что данный вэб-сайт действительно принадлежит компании «ABC Software Inc»(а не является поддельным и создан другим лицом для того, чтобы обманывать ничего не подозревающих вэб-серферов и вести с ними бизнес, делая вид, что является ABC Software Inc).

Почему это важно? URL доменного имени равен номеру телефона. Он выдается платящему клиенту(организации или частному лицу) на период времени, на который он был зарегестрирован.

Cистема доменного имни была разработана для поддержки информационных потоков открытых систем. Если существуют ограничения на некоторые типы доменов(например, .mil для единиц армии США, .fr-запрещено для организаций физически расположенных на территории Франции), то ограничений не существует для .com, .org, .net и др. Для того, чтобы зарегестрировать один из таких доменов, частному лицу или организации необходимо только делать годовой взнос. Регистраторам не требуется проверять точность предоставленной информации.

Web browsers

Имеется множество браузеров для доступа к Интернету и поэтому важность обеспечения согласованного механизма утверждения для населения Интернета, составляющего более миллиарда человек является первостепенной. Архитектура лидирующих браузеров от компаний Microsoft, Mozilla Foundation, Opera и других была первоначально построена таким образом, чтобы обеспечить уверенность с помощью простых иконок (в форме замков и ключей).

Тем не менее, изменения на рынке SSL сертификатов составили значительный риск безопасности с огромной потенциальной угрозой доверия потребителя в безопасности интернет-коммерции.

Secured SSL IE Internet Explorer

Comodo Signed SSL Firefox

Internet Explorer не различает между сертификатами высокого и низкого подтверждения. Даже более поздние версии браузеров, таких как Firefox, отображая подпись, все еще требуют глубокого анализа сертификата самим пользователем.

В связи с работой все еще существующих Центров Сертификации низкого уровня подтверждения, замок больше не может считаться символом доверия.

Провайдеры браузеров выявили следующее. Последняя версия браузера Opera(8.0) имеет возможность отображать информацию об организации напрямую из сертификата вэб-сайта.

SSL Certificate with Entity

Информация об организации доступна из SSL сертификата

SSL Certificate without Entity

Аутентификация организации

Провайдеры SSL сертификатов низкого уровня подтверждения не проводят всю необходимую проверку, выбрав при этом модель быстрого выполнения вместо предложения сниженной цены. Это находится в прямом противоречии с общепринятой отраслевой практикой и служит источником недоверия, растерянности и страха для пользователей Интернетом. Если в прошлом приходилось полагаться лишь на символ замка, пользователи без инструментов, таких как Opera теперь должны изучать и понять содержимое SSL сертификата, для того, чтобы различать уровни подтверждения В некоторых случаях пользователям возможно будет необходимо обратиться к CPS(заявление о практике сертификации) для того, чтобы понять уровень предоставляемого подтверждения. Индустриальные стандарты для регистрации подписчика требуют, чтобы Центр Сертификации проводил контроль для предоставления подтверждения, которое:

  • обеспечит правильность идентификации и аутентификации подписчика
  • обеспечит правильность заполнения запроса, его аккуратность и полноту.

Код  практики сертификационного органа подробно изложен в CPS(заявление о практике сертификации) или раскрыт в опубликованной политике центра сертификации(CP).  Существует три основных этапа верификации, необходимые для выдачи сертификата для организации:

  • владение доменом: имеет ли организация или частное лицо право использовать домен, зарегистрированный в сертификате?
  • подтверждение легального статуса: является ли организация юридически законной
  • подтверждение авторизации подписчика: авторизовано ли лицо запрашивающее сертификат организацией для данного запроса?

Важность шагов  утверждения указана в таблице риска, данная ниже. В целом, пользователь Интернетом подвергает себя большему риску, если не следует всем вышеуказанным шагам. В каждом примере показано, к чему может привести невыполнение вышеуказанных требований:

  • ничего не подозревающие пользователи Интернета несут финансовые потери, связанные с мошенничеством
  • организации несут финансовые потери, связанные с мошенничеством или подвергают себя неоправданному риску в бизнесе, снижению производительности, теряют связь с общественностью и подвергают себя судебному иску.
  • орган сертификации подвергает себя неоправданному риску в бизнесе, потерей связи с общественностью или судебному иску.
ПримерРиск или угроза
  • Отсутствие аутентификации организации органом сертификации
  • Или

  • Отсутствие проверки подписчика на право использовать доменное имя
Физическое лицо, управляющее поддельным вэб-сайтом, притворяется существующей организацией и тем самым обманывает пользователей и заставляет их поверить что его сайт работает под эгидой существующей организации, чье имя включено в сертификат SSL. Это создает ложный уровень доверия между преступниками и законными организациями.
  • Отсутствие проверки существования организации органом сертификации
Преступник может выдать себя за организацию, даже если такой организации не существует(например, юридические документы не были зарегистрированы с государственными органами)
  • Отсутствие проверки органом сертификации личности или его право на запрос на получения сертификата для организации.
Преступник, который не авторизован организацией может получить сертификат, носящий название организации, позволяющий ему подделывать организацию

SSLv2 против SSLv3/TLSv1 и уровень подтверждения

На сегодняшний день известно, что SSLv2 является ненадежным. Критической точкой  провала работы стала его восприимчивость к т.н. атакам Man-in-the-Middle. При наличии SSLv2 было невозможно гарантировать безопасную коммуникацию с владельцем закрытого ключа.

Имея SSLv3 и эквивалент TLSv1, вы можете быть уверены, что только владелец закрытого ключа сервера может расшифровать любую переданную информацию. Однако, как мы уже установили, там , где используется SSL низкого уровня подтверждения, не происходит аутентификации клиента и, поэтому, невозможно узнать, кто является владельцем закрытого ключа. SSLv3 остается уязвим к атакам Man-in-the-Middle

SSL Without Entity Authentication

Без аутентификации клиента пользователи не знают, могут ли они быть подвергнуты атакам Man-in-the-Middle

Правовые последствия использования сертификата низкого уровня подтверждения

Задачей органа сертификации  заключается в сертификации подающего заявку и того, что он является законным правовым лицом. Потребители получают большую защиту с сертификатами высокого подтверждения.

Сертификаты низкого уровня подтверждения не предоставляют никакой юридической защиты и потребители остаются незащищены.  Фактические последствия для пользователя, который полагается на предприятие или компанию, которая покупает сертификат с низким уровнем подтверждения, не сможет обратиться в суд.

Какая разница между низким и высоким уровнем подтверждения?

Как говорилось выше,  высокое подтверждение значит сертификация клиента и поэтому  так же означает аутентификацию получателя.

Процессы низкого уровня подтверждения не могут аутентифицировать  получателя как говорилось ранее  в определении “шифрование”. Единственный плюс сертификатов этого уровня – проверяемое управление доменами. Но сами домены подвержены опасности.

Отравление кэша DNS(системы доменного имени) является техникой, которая подрывает работу DNS, внедряя фальшивую информцию в систему для того, чтобы будущие запросы были отвлечены от их предпологаемого назначения. В отравляющей атаке DNS это возможно для локализованных доменов с одноименным названием и, поэтому, существует возможность создания второго мошеннического сертификата низкого уровня подтверждения. Так как не проводилось других проверок, атакующий может получить сертификат для любого доменного имени, кторое может быть повреждено очередной отравляющей атакой DNS. Сертификаты низкого уровня подтверждения поддаются атакам кэша DNS.

Сертификаты SSL низкого уровня подтверждения и соответствие международным стандартам

SSL сертификаты должны соответствовать международным стандартам для повсеместной работы и поэтому соответствуют стандарту X.509. Структура данных внутри x.509 ведет за собой соответствие со стандартом x.520:

Организационые типы атрибутов

Эти типы атрибутов связанны с организацией и могутбыть использованы для описания обьектов внутри организации, с которыми они связаны.

Название организации

Название организации определяет саму организацию. При использовании названия в директории, оно определяет организацию, с которым связано имя обьекта.

Значение атрибута для названия организации является строка выбранной организации(например О=Scottish Telecommunications plc). Любые варианты должны быть связаны с названием организации, как отдельные и альтернативные значения атрибутов.

organizationName ATTRIBUTE ::= {
SUBTYPE OF name
WITH SYNTAX DirectoryString {ub-organization-name}
ID id-at-organizationName }

Собирательное  название организации, как тип атрибута, указывает на имя организации для сбора данных.

collectiveOrganizationName ATTRIBUTE ::= {
SUBTYPE OF organizationName
COLLECTIVE TRUE
ID id-at-collectiveOrganizationName }

International Telecommunication Union X.509
Информационная технология -  связь с открытыми системами - Директория: Открытый ключ и структура атрибута сертификата
X.520
Информационная технология -  связь с открытыми системами - Директория:  выбранные типы атрибутов

Better Business Bureau Certificate

Здесь “O”- строка организации не включает “Better Business Bureau” и, поэтому, потребители не могут проверить, действительно ли сертификат принадлежит данной организации.

Далее: существует ли такое понятие, как 100% защита?

   

Наши клиенты


Бесплатный сертификат SSL