SSL-защита ваших данных

  Для работы по протоколу SSL требуется наличие сертификата – электронного документа, подтверждающего соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Сертификат также может содержать дополнительную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т.д. (далее – сертификаты SSL).

  Сертификаты SSL используются для связывания адреса и программного обеспечения определенного Web-сервера. Сертификаты не только обеспечивают SSL-туннель к обращающемуся с запросом браузеру клиента, но и позволяют определять, принадлежит ли данный унифицированный указатель ресурсов (URL) той организации, которая предъявляет этот URL хосту (клиенту). Сертификаты для SSL изготавливаются в соответствии с международными стандартами и рекомендациями центрами сертификации (Сertification Аuthority – CA). Доверие к таким центрам подтверждается рядом систем сертификации, например WebTrust, и только сертификаты CA включены по умолчанию в хранилища операционных систем и приложений, поддерживающих эти системы сертификации.

  В настоящее время обмен данными с Web-серверами по протоколу SSL (в строке URL вместо http://… наблюдаем https://… и отображаемый на Web-сайте символ закрытого замка) в развитых странах становится стандартом де-факто.

  В каком случае целесообразно применять соединения с сервером по SSL-протоколу? Перечислим некоторые из них:

• Существует несколько территориально распределенных подразделений с обменом информацией по общедоступным сетям. Необходимо быть уверенным, что никто посторонний не получит доступ к этой информации и не сможет изменить ее.
• Интернет-магазин принимает оплату в электронном виде. Продавец должен быть уверен, что отгружаемый товар действительно оплачен, а покупатель должен иметь гарантии, что получит оплаченный товар и что номер его кредитной карточки останется в тайне от чужих глаз.
• Вы имеете свой сайт в Интернет и хотите, чтобы посетители видели то, что вы им показываете, а не ту информацию, которая не имеет никакого отношения ни к вам, ни к вашему сайту.

  Как видно из приведенных немногочисленных примеров, проблемы безопасности в Интернет затрагивают интересы владельцев информационных ресурсов, с одной стороны, и интересы клиентов (пользователей услуг) – с другой.

Что имеем в доменной зоне “.ru”?

  В доменной зоне “.ru” зарегистрировано чуть больше двух миллионов доменных имен и 1 569 693 имеют реальные IP-адреса. Из указанного количества 29% размещены на серверах, имеющих SSL-сертификаты. Приведенные цифры говорят о том, что многие владельцы сайтов (или системные администраторы) понимают необходимость защиты данных в Интернет. Казалось бы, что такое количество защищенных серверов должно внушать оптимизм. Но детальный анализ показывает, что только 3,3% сертификатов выданы доверенными удостоверяющими центрами (рис. 1).

  26% сертификатов являются самоподписанными, а это значит, что сертификат – “электронное удостоверение личности сервера” – изготовлен не в “паспортном столе” (удостоверяющем центре), а умельцем – администратором сервера. Самоподписанный сертификат может изготовить кто угодно, правда, при этом пользователь при попытке посетить Web-сайт получит предупреждающее сообщение: “Ошибка безопасности этого Web-узла” или аналогичное, в зависимости от Web-браузера.

  На рис. 2 представлена десятка лидеров по количеству изданных сертификатов доменной зоны “.ru”.

  Безусловный лидер – “издатель” под названием “ХХ”, а от него недалеко отстали “none” и “SomeOrganization”. Кто они, можно ли им доверять? Сертификаты такого “рода” размещены на 48% серверов, имеющих SSL-сертификаты. В Интернет и других источниках информации можно найти множество руководств по самостоятельному изданию сертификатов. В руководствах приведены шаблоны скриптов с пометкой “XX” полей, предназначенных для заполнения. Большинство “издателей” не утруждают себя лишней работой и заменяют иксы только там, где без этого не обойтись, например, указывают в соответствующем поле имя домена.

  Чем же все-таки плох самоподписанный (самоизданный) сертификат для обеспечения работы по SSL-протоколу? Ведь данные при передаче будут зашифрованы! Да, будут зашифрованы. На вопрос: “Значит, конфиденциальность и целостность данных будет обеспечена?” -я отвечу: “Нет”. И вот почему. Поскольку “самиздатовский” сертификат не обеспечивает неотказуемости (подтверждение авторства), то мы не можем знать, с кем установили соединение для обмена данными. А дальше – да, шифруются данные и в целости достигают адресата. Но кто адресат, кто общается с вами, кто подсовывает вам шифрованные данные? В случае самоподписанного сертификата вашим “собеседником” в сети может быть кто угодно.

О хостинге

  Чуть меньше половины (рис. 3) от всего количества самоизданных сертификатов принадлежит Web-серверам компаний, предоставляющих услуги хостинга.

  К таким сертификатам относится все уже сказанное о доверии к “самиздату”. Но в случае хостинга ситуация еще хуже. Поскольку на одном Web-сервере размещается несколько сайтов различных компаний, а сертификат для сервера во многих случаях издается только на одно доменное имя4, то вы никогда не узнаете, с каким же сайтом на самом деле общаетесь. Можете только предположить имя хостера. Почему предположить, а не знать точно? Потому, что в случае “самиздата” его сертификата нет в списке доверенных. На рис. 4 и 5 приведены примеры – один “электронный паспорт” на двоих.

  Следует обратить внимание на сходство значений хэш-отпечатков сертификатов, что подтверждает их идентичность. Но сайты ведь разные! Хочется надеяться, что владельцы таких сайтов понимают, с чем имеют дело, и информация, представленная на них, не имеет никакой ценности, а ее подмена никак не скажется на репутации владельца.

Выводы

  Если спросить у владельца сайта, во сколько он оценивает стоимость информации, данных, размещенных в сети, стоимость своей репутации, зависящей от содержания сайта, то можно получить ответ от “очень дорого” до “информация (репутация) – бесценна!”.