ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

6 минут чтени€

ћного раз в день вы посещаете веб-сайты, на которых вас прос€т войти под своим именем пользовател€, адресом электронной почты и паролем. Ѕанковские сайты, сайты социальных сетей, почтовые службы, сайты электронной коммерции и новостные сайты - это всего лишь несколько типов сайтов, использующих этот механизм.

 аждый раз, когда вы входите на один из этих сайтов, вы, по сути, говорите: Ђƒа, € довер€ю этому сайту, поэтому € хочу поделитьс€ с ним своей личной информациейї. Ёти данные могут включать ваше им€, пол, физический адрес, адрес электронной почты, а иногда даже информацию о кредитной карте.

Ќо откуда вы знаете, что можете довер€ть определенному веб-сайту? »ными словами, что делает веб-сайт дл€ защиты вашей транзакции, чтобы вы могли довер€ть ей?

TLS, SSL и CA

Ёта стать€ направлена на демистификацию механизмов, которые делают сайт безопасным. ћы начнем с обсуждени€ веб-протоколов HTTP и HTTPS и концепции безопасности транспортного уровн€ (TLS - Transport Layer Security), котора€ €вл€етс€ одним из криптографических протоколов. «атем мы объ€сним центры сертификации (CA - Certificate Authorities) и самозавер€ющие сертификаты и как они могут помочь защитить веб-сайт. Ќаконец, € представлю некоторые инструменты с открытым исходным кодом, которые вы можете использовать дл€ создани€ и управлени€ сертификатами.


«ащита маршрутов через HTTPS

—амый простой способ пон€ть защищенный веб-сайт - это увидеть его в действии.   счастью, сегодн€ найти защищенный веб-сайт гораздо проще, чем незащищенный веб-сайт в »нтернете. Ќо, поскольку вы уже находитесь на сайте wiki.merionet.ru, будем использовать его в качестве примера. Ќезависимо от того, какой браузер вы используете, вы должны увидеть значок, который выгл€дит как замок р€дом с адресной строкой. Ќажмите на значок замка, и вы должны увидеть что-то похожее на это.

HTTPS

ѕо умолчанию веб-сайт не €вл€етс€ безопасным, если он использует протокол HTTP. ƒобавление сертификата, настроенного через хост сайта, может преобразовать сайт из незащищенного сайта HTTP в защищенный сайт HTTPS. «начок замка обычно указывает, что сайт защищен через HTTPS.

Ќажмите на сертификат, чтобы увидеть CA сайта. ¬ зависимости от вашего браузера вам может понадобитьс€ скачать сертификат, чтобы увидеть его.

—писок сертификатов

«десь вы можете узнать кое-что о сертификате, кем, кому и когда был выдан. Ёта информаци€ о сертификате позвол€ет конечному пользователю проверить, что сайт безопасен дл€ посещени€.

¬Ќ»ћјЌ»≈: ≈сли вы не видите знак сертификата на веб-сайте или если вы видите знак, указывающий на то, что веб-сайт не защищен, пожалуйста, не входите в систему и не выполн€йте действи€, требующие ваших личных данных. Ёто довольно опасно!

≈сли вы видите предупреждающий знак, который редко встречаетс€ на большинстве общедоступных веб-сайтов, это обычно означает, что срок действи€ сертификата истек или используетс€ самозавер€ющий сертификат вместо сертификата, выпущенного через доверенный CA.


»нтернет-протоколы с TLS и SSL

TLS - это текущее поколение старого протокола Secure Socket Layer (SSL). Ћучший способ пон€ть его место - посмотреть на модель OSI.

SSL/TLS

≈сть шесть уровней, которые составл€ют »нтернет, каким мы его знаем сегодн€: физический, данные, сеть, транспорт, безопасность и приложени€. ‘изический уровень €вл€етс€ базовой основой, и он наиболее близок к реальному оборудованию. ѕрикладной уровень €вл€етс€ наиболее абстрактным и ближайшим к конечному пользователю. ”ровень безопасности можно рассматривать как часть уровн€ приложений, а TLS и SSL, которые €вл€ютс€ криптографическими протоколами, разработанными дл€ обеспечени€ безопасности св€зи по компьютерной сети, наход€тс€ на уровне безопасности.

ќсновным вариантом использовани€ TLS €вл€етс€ шифрование св€зи между веб-приложени€ми и серверами, такими как веб-браузеры, загружающие веб-сайт. ѕротокол TLS также можно использовать дл€ шифровани€ других сообщений, таких как электронна€ почта, обмен сообщени€ми и передача голоса по IP (VOIP).


÷ентры сертификации и самозавер€ющие сертификаты

÷ентр —ертификации (CA) - это доверенна€ организаци€, котора€ может выдавать цифровой сертификат.

TLS и SSL могут сделать соединение безопасным, но дл€ механизма шифровани€ необходим способ его проверки - это сертификат SSL/TLS. TLS использует механизм, называемый асимметричным шифрованием, который представл€ет собой пару ключей безопасности, называемых закрытым ключом (private key) и открытым ключом (public key). ¬ажно знать, что центры сертификации, такие как GlobalSign, DigiCert и GoDaddy €вл€ютс€ внешними доверенными поставщиками, которые выпускают сертификаты, которые используютс€ дл€ проверки сертификата TLS/SSL, используемого веб-сайтом. Ётот сертификат импортируетс€ на хост-сервер дл€ защиты сайта.

ѕрежде чем какой-либо крупный веб-браузер, такой как Chrome, Firefox, Safari или Internet Explorer, подключитс€ к вашему серверу по протоколу HTTPS, он уже имеет в своем распор€жении набор сертификатов, которые можно использовать дл€ проверки цифровой подписи, найденной в сертификате вашего сервера. Ёти цифровые сертификаты веб-браузера называютс€ сертификатами CA. ≈сли с сертификатом на сервере все ок, то мы попадаем на сайт, а если нет, то браузер покажет нам предупреждение. «акрытые ключи, используемые дл€ подписи сертификатов сервера, уже имеют соответствующие пары открытых ключей в веб-браузерах пользователей.

ќднако CA может быть слишком дорогим или сложным, когда вы просто пытаетесь протестировать веб-сайт или услугу в разработке. ” вас должен быть доверенный ÷— дл€ производственных целей, но разработчикам и администраторам веб-сайтов необходим более простой способ тестировани€ веб-сайтов, прежде чем они будут развернуты в рабочей среде - именно здесь приход€т самозавер€ющие сертификаты.

—амозавер€ющий сертификат - это сертификат TLS/SSL, подписанный лицом, которое его создает, а не доверенным центром сертификации. —оздать самозавер€ющий сертификат на компьютере очень просто, и он может позволить вам протестировать защищенный веб-сайт, не покупа€ дорогой сертификат, подписанный —ј, сразу. ’от€ самозавер€ющий сертификат определенно рискованно использовать в производственной среде, он €вл€етс€ простым и гибким вариантом дл€ разработки и тестировани€ на подготовительных этапах.


»нструменты с открытым исходным кодом дл€ генерации сертификатов

ƒл€ управлени€ сертификатами TLS/SSL доступно несколько инструментов с открытым исходным кодом. Ќаиболее известным из них €вл€етс€ OpenSSL, который включен во многие дистрибутивы Linux и в macOS. “ем не менее, другие инструменты с открытым исходным кодом также доступны.

  • OpenSSL - —амый известный инструмент с открытым исходным кодом дл€ реализации библиотек TLS и шифровани€ Apache
  • EasyRSA - ”тилита командной строки дл€ создани€ и управлени€ PKI CA
  • CFSSL - PKI/TLS "Ўвейцарский нож" от Cloudflare
  • Lemur - »нструмент создани€ TLS от Netflix