Архивы: по дате | по разделам | по авторам

SSL: техника безопасного Web'а

Архив
автор : Максим Отставнов   27.04.1998

Научитесь исключить возможность перехвата передаваемых данных, а также подмены или подделки этих данных.

Спецификации SSL

SSL (Secure Socket Layer) - это набор протоколов, работающий поверх транспортного протокола (такого, как TCP) и позволяющий защитить данные, передаваемые между клиентом и сервером по протоколам высокого уровня (таким, как http и ftp).

"Защита" понимается как исключение возможности перехвата передаваемых данных, а также подмены или подделки этих данных. Обычное использование SSL - защищенная передача пароля для доступа к частным ресурсам WWW, шифрование финансовых или персональных данных, передаваемых посредством заполняемых html-форм.

SSL включает два уровня протоколов. Нижний, называемый "слоем записей" (SSL Record Layer) служит для инкапсуляции сжатых, зашифрованных и/или аутентифицируемых данных протоколов, лежащих выше. Протокол начального приветствия (SSL Handshake Protocol) отрабатывается перед началом защищенной коммуникации и служит для совместной генерации временного секретного ключа. SSL "прозрачен" для протоколов высокого уровня, таких, как http и ftp: они используют его так же, как Socket Library при незащищенном соединении.

В качестве асимметричных криптоалгоритмов используются Diffie-Hellman, RSA и FORTEZZA; набор симметричных алгоритмов включает RC2, RC4, DES и тройной DES, набор стойких хэш-функций, используемых для идентификации - MD5 и SHA-1. Набор алгоритмов SSL v3 является расширяемым.

Разработка SSL инициирована корпорацией Netscape, а затем поддержана рядом ведущих производителей программного обеспечения. В результате SSL практически вытеснил конкурирующие спецификации (такие, как S-HTTP компаний Enterprise Integration Technologies и Terisa Systems) и стал de facto стандартом защиты в WWW.

Спецификации SSL v2 и v3 были в свое время предложены в качестве Internet drafts, но не получили статуса проектов стандартов по формальным обстоятельствам. Не исключено, что SSL v3 все же начнет продвигаться по ступеням формального принятия IETF в качестве стандарта, но более вероятно, что он станет отраслевым стандартом, развиваемым и продвигаемым вне иерархии технических координирующих институций Internet.

Спецификации SSL версий 2 и 3 можно получить на www.netscape.com/newsref/std/SSL_old.html и www.netscape.com/newsref/std/SSL.html, соответственно.

Клиентская часть SSL реализована в обоих ведущих браузерах WWW, а серверная - в большинстве как коммерческих, так и распространяемых на некоммерческих условиях WWW-серверов.

В этой статье я постараюсь на примере Netscape Communicator показать, как осмысленно пользоваться возможностями защищенной коммуникации, предоставляемыми SSL. Но вначале - одна важная оговорка: прежде чем полагаться на защиту SSL, пользователям за пределами США и Канады необходимо "укрепить" свой браузер.

Укрепи свой браузер

Стойкость криптографической защиты любого программного обеспечения, легально экспортированного из США, ограничена длиной ключевого пространства в 40 бит. Это относится, разумеется, и к криптографическим модулям клиентских программ, таких, как WWW-браузеры. Оба самых популярных на сегодня браузера - Netscape Communicator и MS Internet Explorer - разработаны в Америке, поэтому эта проблема касается практически всех неамериканских пользователей Internet.

(Если быть более точным, последние "экспортные" релизы Netscape Communicator и IE все же поддерживают ряд алгоритмов с достаточной длиной ключа, но - с особыми ограничениями. Так, "экспортная" версия Netscape Communicator 4 содержит исполняемый код алгоритмов RC4 (128 бит) и тройного DES (168 бит). Однако он задействуется только при особых условиях. "Экспортный" Netscape установит соединение, защищенное стойкой криптографией, только с серверами, входящими в определенный список, поддерживаемый сертификатором VeriSign, Inc. За пределами США VeriSign предоставляет такие права только серверам лицензированных банков.

Подобные ограничения содержит и "экспортный" Internet Explorer: он позволяет использовать 128-битную криптографию лишь при соединении с серверами, подпадающими под действие схемы Server Gated Cryptography. В политике предоставления прав в соответствии с этой схемой мне разобраться не удалось, однако установить полноценно защищенное соединение с сервером за пределами Штатов с помощью IE оказалось невозможным.)

При использовании браузера для передачи конфиденциальных данных (например, при получении финансовых услуг) нет никаких причин принимать на себя дополнительные риски, связанные с недостаточностью защиты. Полноценную (с длиной ключа 128-168 бит) защиту можно получить двумя путями.

Во-первых, можно найти американскую ("не для экспорта за пределы США и Канады") версию браузера. Хотя сайты Netscape или Microsoft не позволят вам скачать "американский релиз" (если вы не имеете возможность использовать ip-адрес подсети, зарегистрированной как американская), его можно получить на каком-либо неамериканском сервере (например, ftp.replay.com). По всей видимости, в этом не будет ничего незаконного даже в отношении американских ограничений на экспорт, так как они запрещают именно экспорт, а не использование стойкой криптографии - в любом случае, правила нарушены оригинальным "экспортером", а не вами.

Кому-то последнее рассуждение может показаться неубедительным. Кроме того, могут возникнуть вопросы относительно целостности программы, полученной из "левого" источника. Что же, существует другой, более "политически корректный" способ: использование криптографических модулей от стороннего поставщика.

В этой главе я расскажу об одном из таких продуктов - программе Fortify, разработанной австралийцем Фаррелом МакКейем (Farrell McKay) и распространяемой бесплатно с www.fortify.net. Попутно я начну демонстрацию того, как исследовать и устанавливать параметры клиентской части реализации SSL, на примере криптомодулей Netscape Communicator. Выбор Communicator в качестве примера обусловлен тем, что, во-первых, этот браузер реализован на большом количестве платформ, а во-вторых - тем, что новая политика компании Netscape Communications предусматривает публикацию исходного кода программы, что делает ее перспективным кандидатом на роль платформы для защищенных приложений.

Видимо, Fortify на сегодня является наиболее популярным средством доведения стойкости криптомодулей браузеров до приемлемого уровня, однако он - не единственный продукт этого класса. Клиентская часть SSL для http реализована многими фирмами, в том числе российской компанией АО "Сигнал-КОМ". Генеральный директор "Сигнал-КОМ" Владимир Смирнов рассказал на заседании секции Второго российского Интернет-форума, посвященной вопросам безопасности, о своем коммерческом продукте, включающем поддержку отечественного криптостандарта в SSL, однако я пока не видел этой программы даже в демонстрационной версии.

МакКей же планировал поддержку обоих популярных браузеров, но в текущей версии (1.2.1) ограничился Netscape Navigator и Netscape Communicator:

  • Navigator Standard версий 3.01, 3.02, 3.03, 3.04;
  • Navigator Gold версий 3.01, 3.02, 3.03, 3.04;
  • Navigator Lite (standalone) версий 4.02, 4.03, 4.04;
  • Communicator версий 4.01, 4.01a, 4.02, 4.03, 4.04.

Fortify поддерживает эти версии для следующих платформ:

  • Alpha DEC-OSF (Dec UNIX);
  • Mips SGI-Irix 5.x и 6.x;
  • Sparc Sun-Solaris 2.4 и 2.5.1;
  • Sparc Sun-SunOS 4.1.3_U1;
  • x86 BSD, FreeBSD, BSDI (для BSD только версии v3.01, v3.03-gold, v3.04 и v4.04);
  • x86 Linux-Elf;
  • x86 Microsoft Win95 и WinNT.

(Все дальнейшее обсуждение в этой и следующей главе демонстрируется на версии Netscape Communicator 4.04 для 32-разрядных Wintel.)

Что делает Fortify for Netscape? Просто доводит функциональность "экспортного" варианта до функциональности "домашнего" издания!

  • Для всех версий Netscape он модифицирует исполняемый код таким образом, что становится возможной генерация и/или использование полноценных сеансовых ключей, если сервер предоставляет такую возможность.

    Для Netscape версий 4.x (поддерживающих полный SSL v3) Fortify делает возможными также:

  • генерацию и использование 1024-битных ключей RSA ("экспортная" версия ограничивает длину асимметричных ключей 512 битами, что примерно соответствует 56-битной стойкости симметричных алгоритмов);
  • использование стойкой криптографии (тройной DES (168 бит), RC2 (128 бит), RC2 (64 бит) и DES (56 бит)) для шифрования электронной почты по соглашению S/MIME.

    Прежде всего, убедитесь, что вы действительно используете "экспортную" версию Netscape. Для этого вызовите страничку "About Communicator…" из меню Help. Проскроллируйте ее чуть ниже логотипа RSA, и вы увидите выделенный жирным шрифтом абзац, содержащий информацию о стойкости: "This version supports International security with RSA Key Cryptography, MD2, MD5, RC2-CBC, RC4". (Если у вас каким-то образом оказалась "домашняя" американская версия Netscape, или копия, уже "укрепленная" Fortify, он будет гласить: "… US Security …").

    Более наглядным способом исследовать стойкость криптомодулей является непосредственный просмотр их характеристик. Для этого откройте окно "Security", нажав кнопку Security на панели инструментов Netscape. В меню слева выберите "Navigator", а затем поочередно зайдите в окна конфигурации SSL версий 2 и 3, нажимая соответствующую кнопку ("Configure SSL v2" и "Configure SSL v3") в окне "Security".

    "Экспортная" версия показывает для SSL v2 только 40-битные алгоритмы, а для SSL v3 описание двух стойких шифров сопровождается примечанием "when permitted" ("когда дозволено").

    Убедившись в том, что имеющаяся у вас версия Netscape нуждается в "укреплении", скачайте Fortify с одного из серверов, указанных на www.fortify.net. Fortify 1.2.1 для Windows поставляется в виде zip-архива Fortify-1.2.1-win32.zip объемом 354 695 байт.

    Распакуйте архив с сохранением структуры папок. В поставку входят:

    • исполняемый модуль (Fortify.exe);
    • документация (README.html);
    • индекс файлов с хэш-суммами (index);
    • иллюстрации к документации (папка images);
    • платформно-независимые исходные тексты (папка src);
    • исходные тексты, специфические для Wintel (папка win32);
    • дополнительная документация (папка doc).

    Затем закройте Netscape, если он запущен, и запустите Fortify.exe из командной строки, указав в качестве параметра полное (с путем) имя исполняемого модуля Netscape. Скорее всего, это будет выглядеть так:

    cd Fortify-1_2_1-win32

    Fortify.exe "C:\Program Files\Netscape\Program\netscape.exe"

    Fortify определит версию Netscape:

    "C:\Program Files\Netscape\Communicator\Program\ netscape.exe" is ........ Netscape Communicator Pro/Complete 4.04 for x86win32 (Export grade)

    Затем Fortify спросит

    Do you wish to fortify "C:\Program Files\Netscape\Communicator\Program\ netscape.exe" [yes|no|quit] ?

    (Хотите ли вы "укрепить" "C:\Program Files\Netscape\Communicator\Program\ netscape.exe" ?)

    Ответьте "Y". Fortify задаст следующий вопрос:

    Do you wish to keep a backup copy of "C:\Program Files\Netscape\Communicator\Program\ netscape.exe" [yes|no|quit] ?

    (Хотите ли вы сохранить резервную копию "C:\Program Files\Netscape\Communicator\Program\ netscape.exe" ?)

    Ответьте "Y". Fortify должен выдать следующие сообщения:

    Writing backup copy to "C:\Program Files\Netscape\Communicator\Program\ netscape.sav" ....... done

    (Сохраняю резервную копию … выполнено) и

    Congratulations. "C:\Program Files\Netscape\Communicator\Program\ netscape.exe" has been successfully fortified.

    (Поздравляю. Файл успешно "укреплен").

    Запустите Netscape. Следующим шагом может быть очистка кэша (что позволит избежать путаницы с информацией о защите ранее сохраненных в кэше страниц), но это необязательно.

    Если вы теперь заглянете на страницу "About", вы увидите, что Fortify изменил текст.

    Соответственно, заглянув в конфигурацию SSL v2 и v3, можно увидеть, что:

    • репертуар криптоалгоритмов SSL v2 расширился, и включает теперь "неурезанные" 128-битные версии RC2 и RC4, а также DES и тройной DES;
    • репертуар криптоалгоритмов SSL v3 дополнился DES, а оговорка "when permitted" рядом с другими стойкими алгоритмами исчезла.

    Теперь ваша копия Netscape обладает той же функциональностью, что и американский релиз.

    Проверить функциональность можно, обратившись к защищенному серверу WWW, допускающему использование лишь длинных ключей, например, https://www.fortify.net. О том, как Netscape индицирует класс используемого криптоалгоритма, см. ниже.

    Если во время "укрепления" браузера вы ответили на вопрос о сохранении резервной копии утвердительно, вы в любой момент можете восстановить оригинальное состояние Netscape, повторив процедуру запуска Fortify.

    Как уже сообщалось, в Netscape Communications приняли решение о публикации исходных текстов Netscape, начиная с пятой версии. Вполне возможно, что неамериканские релизы следующих версии программы будут собираться за пределами США и с самого начала обладать полноценными криптографическими функциями. Пока этого не произошло, приходится выполнять процедуры, подобные описанной в этой главе.

    Управление безопасностью в Netscape Communicator (v4.04)

    В предыдущей главе уже было показано, как исследовать наборы алгоритмов SSL, используемые Netscape. Эта программа предоставляет широкие возможности для управления режимами безопасности. Вот что интересно: неформальный опрос моих знакомых показал, что более половины пользователей Netscape (а также MS IE) в принципе знают, что браузер содержит криптофункции, однако представления о том, как они работают и как ими управлять, как правило, отсутствуют.

    Вопросы начинают задавать в тот момент, когда защита становится действительно значимой: при передаче через Сеть финансовой информации или персональных данных, выходящих за пределы минимального набора ("имя-адрес"). Много вопросов, связанных с реализацией SSL в браузерах, с длиной ключей и т.п. поступило после выхода "Компьюномики" # 2, посвященной трейдингу в Internet. Сегодняшняя пара статей о коммерческой доверенной сертификации и об SSL - попытка дать ответы хотя бы в первом приближении.

    Что мы можем узнать о защищенном режиме? Если щелкнуть на кнопке "Security" на панели инструментов при открытой защищенной странице, в первом окне появится информация о защите этой страницы. В нашем случае говорится, что ресурс https://www.verisign.com, во-первых, получен нами в зашифрованном виде ("The page was encrypted"), а во-вторых, может быть верифицирован. Мы можем далее узнать подробности о способе шифрования (кнопка Open Page Info) и взглянуть на сертификат ключа, которым подписана страница (View Certificate).

    Открываем информацию о странице. В нижней ее половине мы видим, что страница была зашифрована с использованием "экспортного" ключа (40 секретных бит) - тоже мне уполномоченный сертификатор VeriSign! Еще ниже приведена информация о сертификате: он выдан сертификатором серверов фирмы RSA Security, Inc. сайту www.verisign.com, действителен до 8 августа 1998 г. Также приведен "отпечаток" (fingerprint) ключа.

    В этом месте должен возникнуть вопрос: откуда программе известно, что сертификат действителен? Ответ на него очень прост: в поставку Communicator включены ключи крупнейших коммерческих сертификаторов, подписавшие договоры с Netscape Communications. Соответственно, получаемые с сервера сертификаты как самих сертификаторов, так и других серверов, подписанные этими ключами, вопросов не вызывают (далее мы увидим, что степенью "доверчивости" программы в этом плане можно управлять).

    Что же происходит при получении от сервера сертификата, подпись на котором неизвестна программе? Запускается "Помощник нового сертификата сервера" ("New Site Certificate Assistant"). Покажем это на примере сервера www.replay.com - одного из наиболее серьезных мест, где собрана информация по криптографии.

    Обратившись к серверу в защищенном режиме (https) в первый раз, Communicator не сможет распознать подпись на его сертификате: Replay.com не входит в известные ему иерархии сертификаторов. Он выдаст запрос следующего вида. Текст гласит: "Сервер www.replay.com использует шифрование для защиты передаваемой информации. Однако Netscape не может распознать сертификатор, подписавший его сертификат. Хотя сертификатор неизвестен браузеру, вы можете тем не менее принять его, чтобы выполнить соединение и обмениваться информацией с сервером. Этот помощник позволит вам решить, следует ли принимать сертификат и на каких условиях. Отменить/Продолжить". Нажмем Next ("продолжить").

    В следующем окне Помощник отображает общую информацию о сертификате: кому он принадлежит ("Certificate for:"), кем выдан ("Signed by:") и тип используемого шифрования.

    Щелкнув на кнопке "Подробности…" ("More Info…"), можно получить более подробную информацию, включающую порядковый номер сертификата в реестре сертификатора ("Serial Number"), срок действия сертификата ("…valid from … to …") и, что самое важное, "отпечаток" сертифицированного ключа ("Certificate Fingerprint"). Если ключ сервера не сертифицирован ни одним из сертификаторов, известных вашему браузеру, то проверить отпечаток - эту маловразумительную последовательность шестнадцатеричных цифр - единственный способ удостовериться в его действительности.

    Если владелец сайта по какой-то причине не захотел войти ни в одну из популярных иерархий коммерческой сертификации, следует ожидать, что он опубликует отпечаток ключа сервера где-нибудь, кроме Internet: в печатном справочнике, рекламе в журнале и т.п.

    После предоставления вам возможности проверить отпечаток, Помощник предлагает выбрать одну из возможностей:

    • принять сертификат для осуществления одного сеанса ("Accept this certificate for this session");
    • отвергнуть сертификат и не осуществлять соединения по https ("Do not accept this certificate and do not connect");
    • принять сертификат на постоянной основе до истечения срока его действия ("Accept this certificate forever (until it expires)").

    В последнем случае сертификат сервера будет включен в базу данных известных вашему браузеру сертификатов.

    Communicator также предоставляет достаточно широкие возможности по конфигурации политики работы с уже имеющимися сертификатами. Управление этой политикой осуществляется из окна "Безопасность", доступ к которому можно получить, щелкнув на соответствующей кнопке панели инструментов (Security).

    Окно безопасности содержит десять страниц, а выбор страницы осуществляется щелчком по ссылке из списка в левой части окна.

    Страница "Информация о безопасности" ("Security Info") содержит информацию о шифровании и аутентификации для открытой страницы WWW (см. выше).

    Страница "Пароли" ("Passwords") позволяет защитить паролем имеющийся сертификат. Эта защита не имеет никакого отношения к передаче информации, она служит только для ограничения доступа к сертификатам других пользователям вашего компьютера.

    Страница "Навигатор" ("Navigator") позволяет задать условия, при которых вам выдается предупреждение о смене текущего режима защиты.

    В секции "Выдавать предупреждение при…" ("Show a warning before") можно отметить одно или несколько полей из списка событий:

    • "Вход на защищенный сайт" ("Entering an encrypted site");
    • "Выход с защищенного сайта" ("Leaving an encrypted site");
    • "Просмотр страницы в смешанном режиме" ("Viewing a page with an encrypted/unencrypted mix");
    • "Отправление незашифрованной информации на сайт" ("Sending unencrypted information to a Site").

    В секции "Предъявление вашего сертификата сайту" ("Certificate to identify you to a web site") можно выбрать значения "Запрашивать подтверждение каждый раз" ("Ask every time") или "Предъявлять автоматически" ("Select automatically").

    В секции "Настройка SSL" ("Advanced Security (SSL) Configuration") можно для каждого из протоколов SSL v2 и 3 выбрать допустимые алгоритмы. Например, можно запретить использовать для шифрования откровенно слабые (40-битные) ключи.

    На странице "Почтовая программа" ("Messenger") настраивается конфигурация S/MIME для шифрования и аутентификации отправляемой Netscape электронной почты. Обсуждение использования S/MIME выходит за рамки этой статьи.

    На странице "Java/Java Scripts" вы видите список поставщиков программного обеспечения, сертификаты которых у вас имеются. Для каждого из них вы можете установить параметр "доверяю"/"не доверяю"/"запрашивать дополнительно".

    На странице "Ваши сертификаты" ("Certificates/Yours") представлен список ваших персональных сертификатов, используемых для предъявления сайту, а также для шифрования и подписи электронной почты в формате S/MIME. Изначально этот список пуст. Для того, чтобы получить персональный сертификат, следует обратиться к страницам одного из коммерческих сертификаторов и изучить правила его выдачи.

    Некоторые сертификаторы (например, VeriSign) позволяют получить "пробный" сертификат самого низкого класса бесплатно. Сертификат более высокого класса можно получить, лишь отправив в компанию-сертификатор подтверждающие вашу личность документы, а то и предъявив их лично представителю сертификатора. Разные сертификаторы устанавливают разные правила.

    На странице "Сертификаты других лиц" ("Certificates/People") представлен список персональных сертификатов ваших корреспондентов.

    На странице "Сертификаты серверов WWW" ("Certificates/Web Sites") вы можете задать для каждого из имеющихся у вас сертификатов сайтов политику: "разрешить соединение"/"не разрешать соединения", а также установить режим предупреждения при обращении к этому сайту.

    Возможно, самая интересная страница - "Сертификаты сертификаторов" ("Certificates/Signers"). Для каждого из представленных сертификатов вы можете установить поля:

    • "Доверять как сертификатору сайтов" ("Accept this Certificate Authority for Certifying network sites");
    • "Доверять как сертификатору пользователей почты" ("Accept this Certificate Authority for Certifying e-mail users");
    • "Доверять как сертификатору разработчиков программ" ("Accept this Certificate Authority for Certifying software developers").

    Обратите внимание, что по умолчанию для сертификатов сертификаторов, поставляемых вместе с программой, установлены разные значения этих полей. Это связано с тем, что некоторые коммерческие сертификаторы (например, VeriSign и Thawte) используют разные ключи для сертификации ключей своих клиентов, используемых в различных целях. Значения по умолчанию соответствуют политике сертификатора и определяются договором между ним и Netscape Communications.

    И, наконец, на странице "Криптографические модули" ("Cryptographic Modules") приводится список программных модулей, реализующих криптографические функции. В текущей поставке Communicator такой модуль один: "Netscape Internal PKCS #11 Module" от компании RSA Data Security, Inc. Вряд ли вам понадобится менять что-либо в параметрах его компонентов.

    Вот, собственно, и вся начальная информация, необходимая для того, чтобы понимать защиту, предоставляемую SSL пользователям Netscape.

    SSL на серверной стороне

    Если вы собираетесь поставлять через WWW коммерческую или другую конфиденциальную информацию, рано или поздно примитивная и бутафорская защита (типа паролей, закрывающих отдельные страницы и передающихся по Сети в открытом виде) перестанет вас удовлетворять, и вы захотите использовать возможности SSL.

    Установка и администрирование серверной реализации SSL - достаточно квалифицированная работа, кроме того, придется не только разобраться с программным обеспечением, но и обеспечить соблюдение определенных административных мер, исключающих "утечку" закрытого ключа.

    Поэтому здесь я ограничусь лишь достаточно очевидным соображением, касающимся выбора обеспечения. В отношении серверов, поставляемых американскими производителями, действует тот же трюк, что и в отношении браузеров: если экспорт продукта разрешен, значит стойкая защита в нем отсутствует (исключение делается для поставок программного обеспечения лицензированным банковским учреждениям за пределами Штатов).

    Вне США самым популярным коммерческим защищенным сервером является Stronghold от британской компании C2Net. Зайдя на сайт компании (www.c2.net), можно подгрузить сервер для пробной эксплуатации. Stronghold работает на множестве открытых систем, кроме того, уже существует бета-версия для NT.

    Stronghold полностью поддерживает серверную функциональность SSL. Приобретая этот сервер (он стоит около $1000), вы получаете бесплатно на год серверный сертификат от Thawte Consulting. Возможно, установка Stronghold является самым простым способом реализации функций SSL на вновь создаваемом сайте. К использованию Stronghold также легко перейти тем, кто имеет опыт работы с Apache - бесплатно поставляемым http-сервером, очень популярным как за рубежом, так и в России.

    Другая возможность - опять-таки использование криптографических модулей от сторонних поставщиков с другими серверами. Мне известен один такой пакет, проверенный в эксплуатации во вполне "промышленном" режиме и доступный на уровне исходных кодов. Это SSLeay.

    SSLeay полностью реализует SSL версий 2 и 3, и на его основе построены следующие защищенные серверные и клиентские приложения:

    • telnet-сервер и клиент (SSLtelnet);
    • ftp-сервер и клиент (SSLftp).

    С помощью SSLeay можно добавить возможности SSL в:

    • NCSA Mosaic 2.5, 2.6b1, 2.6b2;
    • NCSA httpd 1.3;
    • Apache;
    • CERN httpd (W3C httpd);
    • Lynx;
    • mSQL.

    SSLeay для открытых систем (а также для Wintel) распространяется бесплатно со следующих точек:

    В состав приложений SSL входит небольшая программка ca, позволяющая осуществлять базовые функции независимого сертификатора. Обратите внимание, что для того, чтобы стать сертификатором для ключей ответственных сайтов даже в собственной корпоративной интра- или экстрасети (не говоря уже о коммерческой сертификации ключей сторонних операторов), необходимо, помимо программного обеспечения, обеспечить еще много чего, включая политику сертификации, физическую защиту оборудования и т.п.

    Обратитесь к предыдущей статье, чтобы составить себе об этом общее представление.

  • © ООО "Компьютерра-Онлайн", 1997-2024
    При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.