Имплементација на SSL сертификати кај веб страните

 

ВОВЕД

 

SSL (Secure Sockets Layer) овозможува лесно спроведување на безбедносна комуникација  на вашиот веб сајт со лесно имплементирачкиот протокол за сигурносни трансакции. SSL е енкриптиран линк помеѓу серверот на кој се наоѓа веб сајтот и интернет пребарувачот на корисникот преку кој пристапува до самиот веб сајт. Веднаш кога сигурносниот SSL линк се воспостави помеѓу серверот и клиентскиот пребарувач, целата комуникација останува доверлива и безбедна.

Како што вредноста на е-commerce сајтовите и порталите продолжува да расне, така сигурноста станува критичен фактор.

Зошто SSL? Која е целта за користење на SSL сертификати

Повеќе веб девелопери и веб дизајнери се сретнале со SSL. Зошто SSL? „Зошто ми е потребен SSL? Што ќе добијам јас од него, каква работа ќе ми заврши? “ Ова е често поставувано прашање и треба да му се обрне внимание. Секој веб девелопер треба да биде запознаен со SSL и неговата технологија, како и начинот на кој се имплементира. SSL е столбот на нашата безбедност на интернет и ги штити вашите битни информации кои патуваат низ светот на интернетот. SSL го „чува“ интернетот да биде злоупотребуван и командуван од анархисти и криминалци.

Бенефитите од SSL

Зошто да користиме SSL? За енкрипција на битни податоци

Примарната причина поради која треба да се користи SSL е чување на битни информации кои патуваат низ интернетот, така да само примачот може да ги разбере. Ова е многу важно, затоа што информациите кои се испраќаат низ интернет патуваат од компјутер до компјутер, се додека не стигнат до дестинацискиот компјутер каде треба да бидат доставени. Било кој компјутер измеѓу примачот и испраќачот на податоците може да ги „види“ вашите битни податоци како на пример:

• броеви од кредитни картички
• кориснички имиња
• лозинки
• и други осетливи и важни персонални податоци.

 

Кога се користи SSL сертификат информациите стануваат нечитливи за сите, освен за серверот кон кои се испраќаат истите. Ова не штити од хакери и крадци на идентитети и приватни информации.

Сл.1 – Како и зошто се користи SSL

Автентификација

Покрај сигурноста, соодветен SSL сертификат нуди и автентификација. Тоа значи дека треба да бидете сигурни дека податоците ги испраќате до вистинскиот сервер, а не до некој сервер на хакер. Зошто е ова важно? Природата на интернетот значи дека вашите клиенти и посетители ќе испраќаат информации низ повеќе компјутери. Било кој од овие компјутери може да се претстави како ваш сајт и да ги превземе сите информации на корисниците што ќе ги оставаат на лажираниот сајт / сервер. Постои само еден начин да се заштитиме од ова, а тоа е со користење на соодветен PKI(Public Key Infrastructure) клуч.

Зошто да користиме SSL? За да ја добиеме довербата кај нашите корисници

Кога ќе посетите одреден веб сајт кој има инсталирано SSL сертификат, веб пребарувачот ќе ве извести за тоа, со што ќе биде обоено полето каде се внесува URL адресата, обично со сина или зелена боја. Ова ги охрабрува посетителите и добивате плус можност да ви се зголеми продажбата преку интернет, секако доколку нудите услуги или продукти преку вашата интернет продавница.

Сл.2 – Веб страните кои користат SSL се обележани од страна на пребарувачите

Зошто SSL не штити од phishing напади?

Phishing email е емаил испратен од интернет криминалец кој се обидува да го лажира вашиот веб сајт. Емаилот обично содржи линк до сајтот на криминалецот и доколку не ја приметите URL патеката, може да бидете одведени до лажираниот сајт со иста содржина. Но, тука е SSL сертификатот. Криминалецот не користи и не инсталира SSL на неговиот сајт, па така кога би го посетиле неговиот лажен линк, веб пребарувачот нема да го обележи url полето со сина или зелена боја. Доколку се отвори правилниот линк на веб сајтот, тогаш ќе видиме дека пребарувачот ќе ја обои бојата на url полето и со тоа сме сигурни дека сме на правилниот сајт и дека овде ќе може да ги оставиме нашите персонални податоци.

Недостатоци на SSL

Покрај толку многу предности и корисни работи, зошто некој да не би го користел SSL? Дали постојат одредени недостатоци при користење на SSL сертификатите? Па ќе наброиме неколку:

• Цената – сертификатите не се евтини и ова може да се смета како недостаток
• Перформанси – податоците што се испраќаат треба да бидат енкриптирани, па овде се губи во времето и се намалуваат одзивите на веб страните, како и потребни се повеќе ресурси на серверот за да се процесираат овие барања доколку веб сајтот е со поголем трафик и има повеќе посетители.

Сепак, овие недостатоци се минимални во однос на тоа колку може да не „спаси“ SSL во одредени случаи, така да може и да ги занемариме, а и јасно се гледа дека има далеку многу повеќе предности од недостатоци

Public Key Инфраструктура(PKI) Преглед

Public Key Инфраструктура или PKI може да биде многу комплексна но е доста битна тема. Сега ќе објасниме што точно е PKI и како може да ни помогне. PKI е термин во кои се вметнати хардверот, софтверот, полисите(правилата) и стандардите кои се неопходни за менаџирање на SSL сертификатите. PKI ни овозможува:

• Автентификацијата на корисници е многу побезбедна отколку логирање со стандардно корисничко име и лозинка
• Ги енкриптира битните информации
• Многу поефикасно ги потпишува електронските документи

PKI овозможува поврзување на клучевите (кои се содржани во SSL сертификатите) со лицето, па на некој начин дозволува да се има доверба во сертификатот. Public Key инфраструктурата најчесто користи Certificate Authority (познато како и Registration Authority) за да се верифицира идентитетот на еден ентитет и да креира валидни сертификати. Веб пребарувачите, веб серверите, емаил клиентите и други типови на хардвер и софтвер, сите имаат интегрирано поддршка за PKI.

Сл.3 – Како функционира PKI инфраструктурата

Certificate Authorities

SSL Certificate Authority (познати како и trusted third party) е организација која издава дигитални сертификати на организации и индивидуалци по верифицирање на идентитетот. Информациите што организацијата ги верифицира се вклучени во потпишаниот сертификат. Исто така е одговорна и за одземање на сертификатите кои биле хакирани.

Како да нарачате SSL сертификат

Нарачка на SSL сертификат може да биде многу лесно, но некогаш може да ви одземе повеќе време и нерви. Ако повеќе знаете за SSL и знаете да се припремите пред да извршите нарачка на сертификатот, тогаш многу лесно ќе ја средите целата работа. Ако однапред си креирате CSR (ќе зборуваме во наредното поглавје) и си ги подготвите и проверите вашите контакт (WHOIS) информации, процесот може да го завршите доста побрзо. Процесот би одел на некој начин вака:

Подгответе се со сетирање на вашиот сервер и проверка на вашите WHOIS информации (треба да си ги апдејтирате доколку ви се застарени, пример старо име, стар контакт емаил и слично)

• Генерирајте го CSR кодот на вашиот сервер
• Испратете го CSR кодот и другите информации до Certificate Authority
• Проверете го вашето домен име, како и името на вашата компанија (треба точно да ги внесете, без грешки)
• На крај ќе го добиете сертификатот и ќе треба да го инсталирате издадениот сертификат

Што треба да имам пред да го закупам SSL сертификатот?

 

Уникатна IP адреса (dedicated IP address). Поради тоа што SSL протоколот е креиран да работи само на една единствена IP адреса, потребно е да обезбедите уникатна IP адреса што само вие ќе ја користите.

Ако имате повеќе субдомени на иста IP адреса, тогаш ќе можете и нив да ги обезбедите со т.н. Wildcard SSL сертификати. Ако имате повеќе домен имиња на иста IP адреса, тогаш ќе може да ги обезбедите со т.н. UC сертификат. Ќе треба исто така да се сетира и инсталира SSL Host Headers за последната опција.

CSR код. Кратенка од certificate signing request – е парче текст што мора да биде генерирано на вашиот сервер пред да купите SSL сертификат. Certificate Authority ќе ги искористи информациите кои се содржани во CSR кодот (име на организацијата, името на доменот, јавниот клуч и др…) и со помош на нив ќе го креира вашиот сертификат.

Имајте точни информации во WHOIS – контакт записите. Кога купувате SSL сертификат, Certificate Authority (CA) треба на некој начин да ве верифицира дека навистина вие сте сопственикот на доменот. Па така ќе ви испрати емаил со потврден линк кој ќе треба да го кликнете и потврдите. Емаилот ќе ви биде испратен на WHOIS – контакт емаилот што е оставен за вашиот домен. Затоа треба да ги проверите информациите за контакт инфо за вашиот домен и ако немате пристап до емаилот што е оставен таму да го промените. Некои CA дури ќе се јават и на телефонскиот број оставен во контакт информациите.

Валидни документи за бизнисот / организацијата. Доколку закупувате сертификат кој е високо осигуран, вашиот бизнис исто така мора да биде верифициран. CA организациите често ги проверуваат податоците во државни бази на податоци, како на пример централен регистрар за да проверат дали навистина постои вашата компанија. Доколку неможе да ве најдат, ќе мора да испратите валиден и заверен документ дека вашата компанија постои (обично кај нас тоа е баланс на состојба на фирмата или документ од централен регистар)

 

Колку долго треба да чекам за да го добијам сертификатот?

Ова зависи од тоа каков вид на сертификат ќе закупите. Доколку закупувате сертификат за само еден домен, истиот ќе го добиете за само неколку минути. Доколку закупувате нормален сертификат за организацијата, тогаш ќе го добиете во рок од неколку часа до неколку дена откако ќе ја доставите целосната документација. Ако купите EV – extended validation сертификат, ќе треба да почекате од неколку дена до неколку недели додека се заврши процедурата за верификација на сертификатот.

 

Што е CSR (Certificate Signing Request)?

 

CSR е блок од енкриптиран текст кој што е генериран од страна на серверот на кој што ќе биде инсталиран сертификатот. Овој CSR код содржи информации кои подоцна ќе бидат вклучени во главниот сертификат, како што се: име на организацијата, име на доменот, локација – обично град / општина и држава. Исто така го содржи и јавниот клуч кој ќе биде вклучен во сертификатот. Приватниот клуч се креира во исто време кога се креира и CSR кодот.

Certificate Authority (CA) ќе го искористи овој CSR код и со помош на него ќе биде креиран SSL сертификатот, но на него не му е потребен приватниот клуч. Приватниот клуч треба да се чува на претпазливо место. Што е доброто кај CSR и приватниот клуч, доколку некој се обиде да ја чита комуникацијата? Сертификатот кој што е креиран со конкретниот CSR ќе работи само со приватниот клуч кој претходно беше генериран со него. Па така, ако го изгубите приватниот клуч, сертификатот нема да биде од корист и нема да работи.

 

Што е содржано во CSR кодот?

 

Име	Објаснување	Примери
Заедничко име	Целосното квалифицирано домен име (FQDN) на вашиот сервер. Ова мора да биде исто домен името што ќе го внесувате во пребарувачот, во спротивно ќе се јави грешка.	*.google.com mail.google.com
Организација	Правното име на вашата организација. Името треба да биде целосно (без кратенки) и може да содржи суфикси како ДОО, ДООЕЛ, АД и слично.	Google Inc.
Организациона единица	Одделот во вашата организација кој ќе се грижи за сертификатот.	Information Technology IT Department
Град/Локација	Градот каде што вашата организација е лоцирана.	Mountain View
Општина/Држава/ Регион	Општината и државата каде што вашата организација припаѓа.	California
Држава	Двете букви од ISO стандардите за кратенки на државите.	US GB
Емаил адреса	Емаил адреса која служи за контактирање со вашата организација.	[email protected]
Јавниот клуч	Јавниот клуч кој ќе биде доставен.	Се креира автоматски

Како изгледа и кој е форматот на еден CSR код?

Повеќето CSR кодови се креирани во Base-64 енкодација во PEM формат. Овој формат ги вклучува: “—–BEGIN CERTIFICATE REQUEST—–” и”—–END CERTIFICATE REQUEST—–” линиите на почетокот и крајот од  CSR кодот. PEM форматот на CSR кодот може да се отвори преку текст едитор и изгледа како на следниот пример:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Како се генерира CSR кодот и приватниот клуч?

Како што веќе утврдивме треба да се генерира CSR кодот и приватниот клуч на серверот каде што ќе биде инсталиран сертификатот. Секој Certificate Authority дава информации како да се генерираат овие два фајла. Па на следните линкови може да се најдат упатствата од нив:

Comodo CSR Generation Instructions
DigiCert CSR Generation Instructions
GeoTrust CSR Generation Instructions
Thawte CSR Generation Instructions
VeriSign CSR Generation Instructions

Доколку сте запознаени со OpenSSL, тогаш со следната команда ќе може да го генерирате CSR кодот како и приватниот клуч:

openssl req -new -keyout server.key -out server.csr

Како да се декодира еден CSR код?

Може да се декодира со одреден декодер на CSR кодови или едноставно преку OpenSSL со следната команда:

openssl req -in server.csr -noout -text

Што означува bit големината кај CSR и приватниот клуч?

Ова е должината на битот на CSR кодот и приватниот клуч што означува колку лесно би можеле да се кракуваат кодовите користејќи го brute-force методот. Големина на клучот од 512 бита се смета како слаба безбедност и може да се пробие во рок од неколку месеци или помалку доколку се обезбеди доволно  компјутерска / процесорска моќ. Ако се дешифрира и отклучи приватниот клуч, тогаш сите конекции ќе бидат загрозени и ќе може да бидат прочитани од хакерот што го има клучот. Бит должината од 1024 се смета како јака безбедност, но како што се зголемува моќта на компјутерите шансите за кракување стануваат поголеми. 2048 битна енкрипција е веќе безбедна и за во иднина и затоа повеќето компании своите сертификати ги издаваат со оваа битност без разлика за какви сертификати се работи.

 

Инсталирање на SSL сертификат на cPanel/WHM

cPanel/WHM е лидечкиот автоматизиран контрол панел во хостинг индустријата. Се користи на милиони веб сервери низ светот и е најпознатиот контрол панел. Во ова поглавје ќе покажеме како да се инсталира еден SSL сертификат преку WHM (Web hosting manager) што е дел од cPanel контрол панелот, односно е административниот дел за вебмастерот / админот на серверот.

Генерирање на CSR код и приватен клуч преку cPanel/WHM

WHM ви дозволува да генерирате SSL сертификат за вашиот веб сајт. Оваа функција, исто така ќе ви генерира и приватен клкуч, како и CSR(Certificate signing request) код за кој зборувавме претходно.

CSR кодот, како што спомнавме ќе ни биде потребен за да го испратиме до компанијата одоговорна за нашиот сертификат, која што ќе ни ги прочита податоците. Посетителите на нашиот сајт ќе се наслонат на сертификатот што ќе го инсталираме, па затоа мора да ни биде познат идентитетот.

За генерирање на приватниот клуч и CSR кодот постапката е следна:

1. Се пополнуваат потребните информации.
2. Во полето: Host to make cert се внесува името на доменот за кој ќе сакаме да инсталираме SSL сертификат.
3. Се внесува емаил адресата во Contact Info полето доколку сакате да го добиете клучот и CSR кодот на емаил кога ќе биде завршена процедурата.
4. Кликнете на Create.

Веднаш кога WHM ќе ги генерира ќе ви го прикаже CSR кодот со приватниот клуч. Може да ги ископирате кодовите и едноставно да го испратите CSR кодот до вашиот SSL провајдер.

Сл.4 Креирање на нов сертификат, CRT и приватен клуч

Инсталирање на SSL сертификатот и сетирање на доменот

Со помош на оваа функција, WHM автоматски ќе го подеси и инсталира сертификатот. Може самите да ги внесете информациите, односно сертификатот и клучот или самиот WHM да ги fetch-ува.

За инсталација на сертификатот ќе треба да се обезбеди дедицирана IP адреса. Дедицирана IP адреса значи дека никој друг освен вас нема да ја користи, односно е обезбедена само за вас, за вашиот домен.

За да го инсталирате сертификатот:

1. Првин треба да го внесете сертификатот во горното поле
2. Во второто поле треба да се внесе приватниот клуч. Може да се користи и Fetch копчето за да серверот самиот го вчита клучот, но ќе мора да го внесете името на доменот.
3. Во Domain полето ќе треба да го внесете името на доменот за кого ќе биде инсталиран сертификатот
4. Во User полето ќе треба да го внесете корисничкото име за хостот за кој ќе се сетира сертификатот. Исто така внесете ја и IP адресата
5. Најгоре од прозорчето ќе треба да се стисне на Submit

Доколку се е во ред, WHM ќе ви испрати порака дека сертификатот е успешно инсталиран и веднаш ќе може да се пристапува до него. Пр: https://paypal.com/

Сл.5 Инсталирање на SSL сертификатот преку WHM/cPanel

 

Нешто повеќе за SSL, верзиите

 

SSL (Secure Socket Layer)  е протокол развиен од Netscape  за пренесување на приватни документи на интернет. SSL користи криптографски систем кој користи два клуча за шифрирање на податоци-јавен клуч познат за сите и приватен или таен клуч кој го знае само оној кој ја прима пораката. Netscape Navigator и Internet Explorer  поддржуваат SSL ,исто така многу Web страници го  користат протоколот за да добијат доверливи информации како што се броевите на кредитните картички. По договор, адресите кои бараат SSL врска  започнуваат со https наместо http.

SSL 1.0, 2.0 и  3.0

SSL протоколот првично беше развиен  од  страна на Netscape. Верзијата  1.0 никогаш не беше јавно објавена,додека  верзијата  2.0 беше  издадена  февруари 1995 година, но “се содржеше со  голем број на безбедносни  пропусти кои на крајот доведоа до дизајнирање на SSL верзија 3.0” (Rescorla 2001). SSL верзијата  3.0 беше издадена во 1996 година.

TLS 1.0 (SSL 3.1)

TLS 1.0 за првпат беше дефиниран во RFC 2246 во јануари 1999 како надградба на SSL верзијата 3.0. Како што е наведено во RFC “, разликите помеѓу овој протокол и SSL 3,0 не се драматични, но тие се значајни доволно што TLS 1.0 и SSL 3.0 не се интероперабилни.”

TLS 1.1 (SSL 3.2)

TLS 1.1 беше дефинирано во RFC 4346, во април 2006 [5]. Тоа е надградба од TLS 1.0 верзија. Значителни разлики во оваа верзија се:

• Дополнителна заштита против Cipher block chaining (CBC) нападите.
• Имплицитна  иницијализација Вектор (IV) беше заменет со експлицитна IV.
• Промена во работењето на соочените грешки.
• Поддршка за IANA регистрација на параметри.

TLS 1.2 (SSL 3.3)

TLS 1.2 беше дефиниран во RFC 5246, август 2008 година. Се базира на претходно TLS 1.1 спецификација. Главни разлики се:

MD5, SHA-1-комбинација во pseudorandom функцијата (PRF) беше заменет со SHA-256, со можност за употреба за сопствена шифра за  PRFs.

MD5, SHA-1-комбинација во крајната  хаш порака беше заменет со SHA-256, со можност за употреба на шифра со сопствен специфичен хаш алгоритам.

Зајакнувањето на клиентот и серверот за да се определи кои хаш алгоритми   и потписи  ќе ги прифати.

Проширување на поддршката за криптирање на  најавените шифри, се користи главно за Galois/Counter Mode (GCM) и ССМ владата на Advanced Encryption Standard енкрипција.

 

Secure Sockets Layer (SSL) беше созданен од страна  на Internet Task Engineering Force (IETF) во текот на 1990-тите години за обезбедување на веб трансакции за трговија и финансиски организации. SSL работи меѓу апликацискиот   и транспортниот слој на мрежниот протокол за да осигура  безбедноста на апликации за транспортниот  слој.Основната цел SSL е да се обезбеди идентификација и интегритет меѓу
апликациите кои се вклучени. Преговорите може да се користи за да се одлучи за кој енкрипциски алгоритам  да се користи за дојдовната  размена на податоци помеѓу двете страни. Денес, поголемиот дел од веб прелистувачите, како  Internet Explorer и Netscape Navigator доаѓаат со вградена поддршка за SSL што ги прави сосема транспарентни за крајниот корисник. SSL  оперативната  средина е претставена на Слика 6.

Сл.6 Функционален распоред на SSL

Најважната карактеристика е тоа што штитовитe работат на основните безбедносни
функционалности на Веб прелистувачите од корисниците. Така, SSL  технологијат е во состојба да додаде напредни безбедносни карактеристики на веб прелистувачите. SSL  се потпира на криптирање со помош на јавен клуч за меѓусебна идентификација, доверливост, интегритет, и така натаму. Системот обезбедува вискока крајна  безбедност во веб прелистувачите  за многу малку поединечна цена. Тоа доведува до високо скалабилна архитектура во Веб прелистувачите  и применливост во финансиските трансакции, каде Заедничката автентикација и доверливост се обезбедени. Серверите  бараат верификација на корисникот кога далечните корисници ги преземуваат  доверливите податоци од серверот на организацијата. Постојат три верзии на протоколот SSL, но  првата верзија никогаш не беше пуштена во употреба. SSL v2 верзијата  е интегрирана во Netscape Navigator за да обезбеди безбедни трансакции во мрежата. SSL верзија 3 е издадена да се утврдат некои дупки во претходната верзија.

SSL Handshake

Основната компонента на SSL е да се справи со протоколите вклучени во текот на тековната иницијализација. Ова им овозможува на веб прелистувачот на корисникот што се наоѓа на крајот и на веб серверот  да преговараат за безбедноста  на алгоритмите  и на  протоколот за да  иницираат  сесии, кои  корисникот ги ма побарано Нормално, бидејќи PKI е вклучен, времето трансакции е повисоко, но кога трансакциите од страна на корисникот се занимаваат со обезбедување сесии често е
прилично долга.

Сл.7 Автентикација помеѓу клиентот и серверот

Слика 7 покажува  процес на дигитален потпис кој се одржува во текот на почетната фаза на SSL од страна на клиентот. Истиот процес може да се повтори од страна на серверот за верификација на клиентот. Во текот на процесот на автентикација, клиентот и серверот разменуваат  “client hello” и “server hello” пораки за да осигураат  дека мрежните конекции функционираат без никаков прекин. “Здраво” пораките , исто така, служат како место каде  серверот и клиентот да ги проверат своите  функционални профили. На пример, ако серверот бара силна 128-битна енкрипција, но  профилот на клиентот покажува дека  не може  да се справи со тоа, трансакцијата  нема да успее при што ќе се појави  порака за грешка.

Случајни броеви се разменуваат за време на клиент и сервер “hello” пораките. Серверот издава   случаен број наречен Session ID, коj може да се користи од страна на
клиентот за идните комуникации со серверите. Session ID- то содржи времетраење во кое податоците помеѓу клиентот и серверот можат да бидат повторно употребени. Серверот издава дигитална  потврда, како што е X.509 сертификатот Овој сертификат ги содржи информациите кои се однесуваат на изборот што се користи  за размена на податоци,вклучувајќи ги следниве:

• Алгоритмот за потпис
• Период на валидација
• Алгоритмот за енкрипција на јавни клучеви
• Одредени екстензии

Слика 8 го покажува форматот на X.509 сертификатот.Најпрво клиентот го верифицира сертификатот,потоа серверот исто така му испраќа верификација на клиентот Откако ќе се потврди сертификатот, постапките  за  трансакција на податоците започнува. Сертификатот на серверот исто така има и компонента за  дигитален потпис  на која клиентот потврдува дали сертификатот  потекнува од тој сервер.Ако не е ,може клиентот да биде измамен од некој натрапник покажувајќи му го важечкиот сертификат,иако не е тоа серверот за које наменет.

Сл.8 Детали кај X.509 сертификатот

Веднаш штом клиентот ќе го верифицира дигиталниот сертификат од серверот (што бара интензивни пресметки кај јавниот клуч),клиентот генерира таен клуч за тековната сесија.Случаен клуч кој се нарекува pre-master клуч се добива од информациите добиени од клиентите од дотогашните трансакции со серверот .

Pre-master клучот мора да биде енкриптиран од страна на клиентот за потоа да биде испратен до серверот во замена наречена клиентска размена на клучеви.Клиентот исто така креира битно хаширање и алгоритми за енкрипција кои ќе се користат за комуникација со серверот.Серверот после примањето на размена на клучевите со клиентот продолжува со декриптирање  на pre-master клучот кој клиентот го има испратено.Откако pre-master клучот е безбедно декриптиран, серверот го  користи X.509 сертификатот  за вршење на исти операции за да ги добие хашинг  и енкрипциските алгоритми.

Така ракувањето со SSL протоколот е во состојба да ја испорача меѓусебните хаширани и енкриптирани компоненти кои може да бидат искористени за пренос на податоци до клиентот и до серверот.

Ова е проследено од таканаречената  “change cipher spec” порака која е иницирана од клиенотот и од крајната порака. “Change cipher spec” пораката се користи да означи дека протоколот handshake е правилно извршен и преносот на податоци користен со помош на алгоритмите за енрипција и клучеви може да продолжи.Понатаму крајната порака ја потврува непречената транзиција од SSL handshake до SSL режимот на снимање.SSL протоколот за снимање се справува со трансверот на податоци користејќи ги алгоритмите и клучевите договорени во SSL handshake протоколот.Серверот за возврат одговара на клиентската “cipher change spec” порака и на крајната порака со негосвојствени пораки.Ова го комплетира таканаречениот заеднички handshake на различните преговорие кои се случуваат во handshake протоколот. Слика 9 ни покажува различни пораки на размена вклучени во самиот SSL handshake протокол.

Сл.9 SSL Handshake протокол

SSL handshake протоколот е следен од  SSL записот,кој иницира трансфер на податоци во преговарачките параметри.SSL протоколот за снимање ,прави евиденција на снимените пакети за пренос на податоци и енкрипција на пареметрите.Снимањето на протоколот може да биде проследен од некој протокол за алерт кое дава предупредување или порака за фатална грешка.Иако SSL протоколот е доста корисен кога станува збор за Web-based трансакциите, постојат одредени области во кои протоколот може да има недостатоци.Откако податоците се енкриптирани ,невозможно е за било кој firewall  да интервенира кај натрапникот  кој го има компромитирано PKI(Public Key Infrastructure).На пример натрапникот може да испрати пакет од worms (‘’црви’’) и вируси на сервер кадешто firewall – от може нема да успее да ги пресретне.Потребни се софистицирани firewall-ови со цел да се добие предност при мерките на претпазливост.За одржување на PKI  потребни му се комплексни дизајнерски карактеристики. Покрај тоа, SSL бара доста високи компјутерски способности  и на клиентскиот  и на серверскиот дел, што може да биде дополнителна пречка.

Користење на сигурносни сајтови

 

SSL додава значајни сигурности кај трансакциите кои се обавуваат во Web прелистувачите.Овие додадени бенефиции го прават на SSL неопходен за секоја Web  страна која користи  сензитивни,приватни и финансиски податоци.Сите поважни прелистувачи користат SSL.Гледано од серверската страна користењето на SSL е малку  потешко за имплементација и за одржување.

Корисниците на интернет требат да бидат доста припазливи при давањето на сопствените податоци на интернет ,особено ако тие страници  не подржуваат  SSL.На пример :

• Социјалниот безбедносен број
• Адресите
• Телефонските броеви
• Информациите на кредитните картичките
• Матичниот број
• Финанскиските податоци
• Средните индентификациски информации,како што е моминското презиме на мајката,средно училиште,омилено милениче итн.

 

Напаѓачите можат да ги искористат информациите наведени во претходната листа да ги украдат идентитетот на една личност. Кражбата  на идентитетот е премногу честа појава. Како што економијата во светот се движи се повеќе и повеќе се прави бизнис на интернет, се очекува дека кражбата на  идентитето ќе стане повеќе од  само еден ризик.Корисникот може да има верба или доверба во една организација кога е во директен контакт со нив,како што се локалните филијали на банки,но довербата не треба да биде продолжена автоматски на било која услуга која банката ја нуди онлајн.Личната доверба на организацијата не е доволна за да им се доверат лични финанскиски податоци доколку со нив тие не се справуваат корекно.

Неколку аспекти на безбедносни ризици за кои треба да се има предвид:

• Како индивудалец можеби не си целта,но како организација базирана на интернет ,страната со која си во контаткт е потенцијална цел ,ако на неа се наоѓаат вашите лични  и финансиски податоци.
• Веб-сајт може да биде нападнат во базата на податоци на организацијата. Овој ризик е само
  малку намален со користење на SSL, но ако организацијата се грижи доволно за да
  користи SSL, тие веројатно преземаат чекори за подобрување на нивната база на податоци за безбедност.
• Web страната може да биде нападната додека се пренесуваат податоци до  (и од) Web  сајтот.На секој скок во текот на преносот,може да има десетина луѓе со администраторкси приста до рутерот и порталите.Виртуелниот SSL  ги заштитува сензитивните податоци на корисниците од сите овие администратори.
• Веб-сајт от (или организацијата  зад неа) може да биде нападната во локалната  организацијска  мрежа. Организациите  често ги превидуваат инсајдерските закани.Користењето на SSL ќе ги заштити податоците во текот на преносот дури и против администраторот на локалната мрежа.
• Веб-сајтот (или организацијата зад неа) може да биде нападната со  таканаречен  социјален инженеринг.Нападите со помош на социјалниот инженеринг би можеле да  дадат пристап до многу важни ресурси  на  организацијата. Користењето  на SSL ќе ги заштити против напаѓачот да добие  пристап до локалната мрежа. Кога се користи еден веб сајт обезбеден со SSL,  веб прелистувачот ќе обезбеди визуелен индикатор дека сајтот е безбеден. Кај Internet Explorer  затворен катанец ќе биде прикажен  во долниот десен агол од прозорецот на пребарувачот,додека со Netscape катанец  може да се види во долниот лев  агол на прелистувачот.

 

Користење на енкрипција

 

Енкрипцијата може помине  долг пат во одржување на доверливоста на податоците во секоја
апликацијата. Цената за енкрипција е извршување или по цена на дополнителен хардвер
или софтвер. Дополнителен хардвер може да е  потребен за зголемување на пропусниот опсег за да се   подобрат перформансите на апликацијата. Енкрипцијата може да се користи во складирањето,преносот , или во верифицирањето на податоците. Користењето  на енкрипција за складирање на податоци додава уште една одбрана за таканаречената одбрана-во-длабочина на моделот за дадена серверска  апликација. Податоците кои се чуваат во енкриптирана та база  на податоци или на хард  дискови  се заштитени од дефекти со физичката безбедност,  поради можната загуба или кражба на серверот.Енкриптирањето на податоци  исто така заштитува  од напади во кои домакинот сервер е компромитиран ,а напаѓачот се обидува да влезе дирекно од оперативниот систем.

Енкрипцијата треба да се користи за пренос во секое време за чувствителни или приватни податоци. Ова ги  вклучува информациите  како што се :

 

• Имиња,адреси,телефонски броеви
• Броеви од кредитни картички,броеви од банкарски сметки,матични броеви
• Финансиски податоци како што се извештаи, биланси  и трансакции
• Информации за платата

 

Двете најчести средства за енкрипција за времето на пренос се користињето за Secure
Sockets Layer (SSL) и Виртуелните приватни мрежи (VPN). SSL го енкриптира сообраќајот на апликацијата.SSL-компатибилните  клиенти, како на пример веб прелистувачите, се лесно достапни за употреба. Користење на VPN е општо решение на енкрипција, во кој целиот  мрежен  сообраќај е заштитен .Затоа што и двата краја кај VPN  мора да бидат компатибилни и координирани, тоа не е решение за широката јавност, туку за мала група на корисници, како што се вработените кои работат од дома. Енкрипција исто така може да се користи за проверување на интегритетот на податоците кои се пренесуваат.На пример податоците кои се проследени во “cookie” –то од веб серверот до веб прелистувачот.

SessionID=9si82kjskjwiue092

ValidUser=Y

UserID=BokiC

Ако оваа информација е енкриптирана, таа би можела  да гласи :

SessionData=ks92ieiufjmkw74ujrjfkkshsdyyuisklfjghsyy3kekksyywksllbns29js

Ова ќе го заштитат идентитетот на Boki C, во првите “cookies”.Бидејќи “cookies” беа заштитени од страна на серверот,само серверот го има клучот за дешифрирање на “cookies”  кога ќе биде вратен од страна на веб прелистувачот.Интегритетот на cookie –то исто така може да се одржува  до додавање на хаш поле  во информацијата на самото “cookie”. Хаш алгоритмите можат да ги преземат податоците од оригиналните “cookies” и тоа да помине низ еден начин na енкрипција на процесот, коj дава еден вид на мала низа на карактери. Било која промена на оригиналниот “cookies ” ќе резултира со различен хаш, според тоа,
интегритетот на податоците кај “cookies” може да биде потврдена.По стартувањето на оргиналното “cookies”  преку хеш функција, се добива следниов изглед на “cookies” :

SessionID=9si82kjskjwiue092

ValidUser=Y

UserID=BokiC

Hash=2o29e7jhtw5uedkfhgf73

Веб-базирани апликации можат да бидат предмет на киднапирање и oд нападите познати како “man-in-the-middle”. Овие напади може да dovedat  дa  веб-сесијаta биде претекнатa од страна на трето лице(киднапирање) или трансакцијата да биде повторена. Користењето на SSLги спречува  повеќето од овие напади. SSL протоколот работи над TCP / IP протоколот и под протоколите како што се  HTTP или IMAP. Во принцип, SSL може да
да биде додаден на апликациите со мало влијание врз развивањето.Негативностите кај SSL се врзани со неговите перформанси и цената.

Како SSL ќе влијае на перформансите на мојата машина?

 

• Проблемите кај перформансите поврзани со HTTP серверите процесорки и мемориски поврзани.Мем ориската пропусност е исто така проблем (на оперативниот систем треба да се направи голем број на примероци за да се стават пакети на мрежата).SSL ги прави овие потешкотии  поригорозни:
• Пропусен опсег: SSL додава во просек 1K бајти за секоја трансакција. Ова не е
  забележливo  во случај на големи трансфери на датотеки.
• Латентност: SSL со клиент за проверка бара две тркалезни “патувања” меѓу
  серверот и клиентот пред сесиајта  на HTTP  да започне. Ова обично значи
  најмалку 500 ms додавање во прилог  на сервисното  време кај  HTTP.
• Масовна енкрипција: SSL е дизајнирана да има RC4 и MD5 во својата сопствена шифра.
  Овие работат многу ефикасно на 32-битен процесор.
• Размена на клучеви-Ова е местото каде најчесто CPU се извршува на  SSL серверите. SSL е оптимизиран да се бара минимална сума на RSA операциите  да постави безбедна сесија.Приверемено треба да се избегнуваат RSA клучевите ,бидејќи може да предизвикаат “massive performance hit”.

SSL (Secure Sockets Layer) безбедносна технологија

 

Појавата на Интернетот отвори многу можности за нови глобални бизниси на компаниите кои се бават со електронска трговија. Сепак, многу безбедносни ризици поврзани со онлајн трговијата доведуваат безбедноста да биде главен фактор за нејзиниот успех или неуспех.

Во последниве седум години, весниците, индустриските организации и безбедносни провајдери почнаа да го едуцираат пазарот за основите на онлајн безбедноста, така што повеќето од потрошувачите сега очекуваат таа да биде интегрирана во сите онлајн сервиси што ги користат и сакаат секој детаљ што го пренесуваат преку Интернет да остане доверлив.

Користењето на безбедносна технологија ги овозможува следниве бенефити:

 

• прави ефективни трошоци при онлајн трансакции и испораки
• ги отвора глобалните пазари – привлекување клиенти од целиот свет
• дава нови, возбудливи начини на маркетинг, рекламирање директно до клиентите
• нуди нови производи и услуги преку интернет.

 

Со оглед дека компаниите се повеќе нудат онлајн сервиси и трансакции, безбедноста веќе станува нужност. Со обезбедувањето на ваква заштита, компаниите не само што ја добиваат довербата на клиентите, туку и ја зголемуваат добивката со зголемување на потребата од нови онлајн услуги. Интернетот исто така овозможува придобивање на милиони нови потенцијални клиенти.

Потрошувачите ќе имаат доверба во онлајн трансакциите само доколку веб страната што ја користат ја поседува SSL безбедносната технологија.

SSL е стандардна, безбедносна технологија за креирање на шифрирана врска помеѓу веб серверот и пребарувачот. Оваа врска гарантира дека сите податоци што се пренесуваат меѓу веб серверот и пребарувачот остануваат приватни и интегрални. SSL е индустриски стандард што го користат милиони веб страници за заштита на он-лајн трансакциите со нивните купувачи.

Со цел да се создаде SSL врска на веб серверот му е потребен SSL сертификат. При активирање на SSL на веб серверот, потребно е да се одговорат повеќе прашања за идентитетот на веб страната, на пример (за URL-то) и за компанијата (името и локација). Веб серверот тогаш креира два криптографски клуча – приватен и јавен клуч. Приватниот клуч е наречен така од едноставна причина што мора да остане приватен и безбеден. Јавниот клуч не мора да биде таен и е сместен во т.н Барање за Потпишување Сертификат (CSR) – фајл со податоци кои исто така содржат детали од барателот. Потоа барателот, за време на процесот на SSL апликацијата треба да го поднесе CSR фајлот до Comodo InstantSSL, Certification Authority – CA (службата за сертификација), која ќе ги официјализира неговите податоци и ќе издаде SSL сертификат со негови детали што ќе му овозможи да користи SSL.

Веб серверот потоа ќе го усогласи неговиот SSL сертификат со приватниот клуч. Потоа веб серверот ќе може да воспостави шифрирана врска меѓу веб страната и пребарувачот на неговиот клиент.

Comodo сервисот за сертификација е најбрзо растечки SSL провајдер во светот. За разлика од другите, Comodo не само што издава сертификати, туку тие се и светски признати.

Инаку, SSL протоколот користи дигитални сертификати за создавање безбедна комуникациска врска меѓу два ентитета. Податоците кои се пренесуваат преку SSL не можат неовластено да се користат или фалсификуваат без двете страни веднаш да бидат запознаени со тоа.

Дигитални сертификати се електронски фајлови што се користат за идентификација на лица и ресурси за мрежи како што е интернетот. Дигиталните сертификати исто така гарантираат безбедна, доверлива врска меѓу две страни со енкрипција.  Тие се базираат на криптографија со јавен клуч икористи пар клучеви за енкрипција и декрипција.

 

Како се определува силината на SSL енкрипцијата

 

Иако информацијата испратена меѓу пребарувачот и веб серверот е шифрирана, постои општо погрешно сфаќање дека сертификатот ја определува силината на енкрипцијата. Моќта на SSL сесијата всушност е функција на силината на пребарувачот и способностите на серверот. Ако пребарувачот е ограничен на енкрипција од 128-бити, тогаш ќе биде воспоставена само сесија од 128-бити, иако пребарувачот подржува 256-битни сесии. Ако и пребарувачот и серверот подржуваат енкрипција од 256-бити, тогаш ќе се воспостави сесија од 256-бити.

SSL сертификати

 

SSL сертификатите му овозможуваат на корисниците на пребарувачот да го потврдат идентитетот на веб сајтот и овозможуваат шифрирана комуникација со користење на SSL. Кога корисникот на пребарувачот сака да испрати доверливи информации на веб серверот, пребарувачот ќе пристапи до дигиталниот сертификат на серверот и ќе го добие неговиот јавен клуч за енкрипција на податоци.

 

Како се користат сертификатите за SSL трансакции

 

На пример Алис сака да се конектира на безбеден веб сајт за да изврши купување преку Интернет.

• Кога Алис ќе ја посети страната заштитена со SSL, нејзиниот пребарувач испраќа поздравна порака до веб серверот која укажува дека се бара безбедносна SSL сесија.
• Веб серверот одговара со испраќање на безбедносен сертификат до Алис, што го содржи и нејзиниот јавен клуч
• Пребарувачот на Алис ќе потврди дека сертификатот на серверот е валиден и е потпишан од службата за овластување, чии сертификати се во базата на податоци на пребарувачот или се сертифицирани од изворот (root), чиј сертификат е во базата на податоци на пребарувачот (и на кој Алис му верува). Исто така тој ќе потврди дека сертификатот не е истечен.
• Ако сертификатот е валиден, пребарувачот на Алис ќе креира клуч за една сесија и ќе го шифрира со јавниот клуч на серверот. Нејзиниот пребарувач потоа ќе го испрати шифрираниот клуч на сесијата до серверот со цел двата да имаат копија.
• Серверот ќе ја дешифрира пораката користејќи го приватниот клуч и ќе го обнови сесискиот клуч.

Во оваа фаза Алис може да биде сигурна во две нешта:

• Веб сајтот со кој комуницира  ќе го потврди идентитетот на организацијата која го бара сертификатот и доменот на кој серверот е воспоставен
• Само пребарувачот на Алис и веб северот имаат копија од клучот за сесијата.

Откако SSL е комплетирана тогаш се воспоставува безбедносна врска. Пребарувачот на Алис и веб северот можат да го користат клучот на сесијата да испраќаат кодирани информации, знаејќи дека тие се заштитени. Целиот процес на воспоставување ваква конекција е транспарентен за корисниот и за него се потребни само неколку секунди.

Дека во пребарувачот е активирана безбедносна сесија може да се види преку клучот или катанецот (padlock) во неговиот долен агол.

 

Public Trust

Public Trust (јавна доверба) е термин кој нема широка употреба, но е корисен концепт. Во овој контекст, терминот се дефинира како доверлив однос воспоставен со користење на сертификатите издадени од CA, чии јавни клучеви се дел од апликациите (како што се веб пребарувачите). Без овие клучеви, на потрошувачите и крајните корисници им се потребни повеќе напори да воспостават поголема доверба при користење на онлајн сервиси.

Кога некоја веб страна нема SSL сертификат потпишан од CA, чиј клуч е содржан во пребарувачот, броузерот ќе отвори предупредувачки прозорец што ќе го доведе клиентот до прашањето дали верува во сигурноста на сајтот или ќе ја напушти трансакцијата.

Спротивно, ако корисникот достави кредитна картичка или друга информација со валиден SSL сертификат, предупредувањето нема да се појави.

 

Превенција од упади

Некои SSL VPN производи обезбедуваат интегрирана услуга за заштита од упади. Тие ги проверуваат содржините на податоците откако тие се дешифрирани со SSL VPN заради потенцијални напади и различни форми на malwares, вируси или црви. SSL VPN може да има сопствен софтвер против malwares и разни упади или може да интегрира софтвер на некоја трета страна.

 

SSL Протокол

Безбедноста на податоците испратени преку SSL VPN се заснова на безбедноста на SSL протоколот. SSL протоколот му овозможува на клиентот (како веб пребарувачот) и серверот (SSL VPN) да се договорат за типот на безбедноста што ќе се користи за време на SSL сесијата. Ова е пресудно за да се гарантира дека начинот на обезбедување што е договорен меѓу оддалечениот корисник и SSL врската ги исполнува безбедносните барања на организацијата која користи SSL VPN. Има три типа на безбедност: верзија на SSL, вид на криптографија и метод на проверка на веродостојност. Сите три се важни за безбедноста на комуникацискиот канал.

 

Криптографија при SSL сесии

Исто така постојат повеќе видови криптографски функции што се користат во безбедносните протоколи. Најпознати криптографски карактеристики се доверливост (тајност на податоци), интегритет (можност да се откријат дури и најмали измени во податоците) и потпис (можност да се открие потеклото на податоците). Комбинацијата на овие карактеристики е важна за целосната безбедност на комуникациите. SSL користи четири главни карактеристики, доверливост, интегритет, потпис и формирање на клуч.

 

Проверка на идентификација на SSL сервери

Кога веб пребарувачот се конектира на SSL серверот како SSLVPN, корисникот на пребарувачот треба на некој начин да знае дека броузерот комуницира со сервер на кој корисникот му верува. SSL користи сертификати кои се потпишани од доверливи ентитети, за веб корисникот да може да ја добие верификацијата на серверот. Проверка на серверот се случува многу рано во SSL процесот, веднаш откако корисникот ќе ја испрати првата порака до SSL серверот. Во таа порака, пребарувачот појаснува со кој видови алгоритми на сертификатот може да се справи, а обично двата најчести избора се RSA и DSS. Во втората порака серверот одговора со сертификат од еден од двата типа што пребарувачот ги разбира. По добивањето сертификат, пребарувачот верифицира дека идентитетот во сертификатот (името на доменот) се согласува со името на доменот на кој пребарувачот се обидел да се конектира.

 

Предизвиците со кои се соочуваат SSLVPN се следниве:

Апликација и интероперабилност на клиенти – Ова е најголем предизвик за SSLVPN бидејќи тие мора да експортираат различни видови апликации до различни конекции од секаков вид. Има многу фактори што може да ја погодат интероперабилноста, вклучувајќи го оперативниот систем и неговата верзија, тип на пребарувач и неговата верзија, вид на направа (лаптоп, смарт телефон и сл), локација (дома, јавен киоск), како и спецификите на апликациите и протоколот до кои треба да се пристапи. На пример, SSLVPN производите нудат поддршка за PDA, но повеќето даваат ограничена поддршка за смарт телефони. Некои SSL VPN направи подржуваат телефони преку пребарувач за веб пристап, но малку од нив ги поддржуваат од аспект на извршител, односно да му дозволат на серверот или клиентот пристап до апликациите.

 

Клиент/сервер апликациска поддршка –  Некои VPN користат транслација на апликации и мрежна екстензија за посебни клиенти за да воспостават соодветен пристап. Секој SSLVPN производ кој користи мрежна екстензија има единствена солуција за апликациите на клиентот/серверот. Дополнително, не сите SSLVPN продукти поддржуваат исти апликации, некои поддржуваат повеќе од другите и секоја има посебни нишеа.

 

Мрежна екстензија – Иако функцијата на мрежните екстензии е суштински дел на SSLVPN тунелот сепак има некои предизвици. Мрежната екстензија бара клиентот да биде инсталиран до крајниот кориснички систем. Инсталирање на клиент во јавен киоск или PC кои не се подесени да снимаат програми, нема да биде можно поради недоволни привилегии.

 

Безбедност на крајна точка – И ова е исто така предизвик. Неменаџирани системи на јавни клиенти е малку веројатно да имаат валиден антивирус или firewall софтвер. Компромитиран јавен компјутер може да ги заобиколи проверките или да симулира firewall, антивирус софтвер  и други контроли. Системите така може да се заразат и со malware , како тројански коњи кои пак може да добијат пристап до пасворди и други чувствителни информации.

 

Операции без клиент – SSL VPN се опишуваат како системи без клиенти што се користат како продажно место во споредба со традиционалните IPces VPN. За веб апликациите пребарувачот е единствениот клиент што треба да се конектира до нив преку SSL портал VPN. Во други случаи, динамички даунлодираните извршители кои може да бараат софтверска инсталација се потребни да обезбедат пристап до клиент/сервер апликациите и мрежните конекции до не-веб апликациите. Посебни привилегии се потребни за инсталирање на софтвер и правење соодветни конфигурации на системот.

SSL VPN може да поддржи серија корисници на различни компјутери пристапувајќи до ресурси на многу локации. Тие може да обезбедат пристап од далечина до интерни сервиси како е-маил, сервер на фајлови и други апликации и формати базирани на веб. VPN го користи SSL протоколот кој е вклучен во сите стандарди веб пребарувачи да за обезбеди пренос на податоци.

 

SSLVPN има три суштински функции за да овозможи сигурен пристап до внатрешните ресурси. Тие се proxying, транслација на апликации и мрежна екстензија кои овозможуваат повеќе методи за далечински пристап до различни апликации.

 

Планирање и имплементација

 

Успешно инсталирање на SSL VPN може да се постигне со јасно планирање и процес на имплементација.

1. Барање за идентитет –  првата фаза вклучува идентификација и барања за оддалечениот пристап и определување на можноста за најдобро исполнување на имплементацијата на SSL VPN.
2. Дизајн на решение – втората фаза се однесува на аспектите на дизајнот на SSL VPN што вклучува пет категории: контрола на пристап, крајна безбедност, методи на потврдување, архитектура и криптографска политика.
3. Имплементирање и тестирање на прототип – следната фаза е тестирање на прототип во лабораторија и услови за тестирање. Целта е оценување на сите аспекти на солуцијата, вклучувајќи проверка на валидност, компатибилност, менаџирање, логирање, перформанси, безбедна имплементација, дизајна, и други подесувања.
4. Поставување на решението – кога тестирањето завршува и сите прашања се решени, следната фаза е поставување на SSL VPN во компанијата. Оваа фаза опфаќа прашања специфични за SSL VPN кои можат да се појават при инсталацијата.
5. Управување со солуцијата – по поставување на решението тоа мора да се менаџира, што вклучува одржување, мониторинг на перформанси периодични тестирања, како и решавања на оперативни прашања што може да се појават.

 

Организацијата исто така мора да воведе и други мерки кои ќе подржат SSL VPN имплементација, како што се воведување на контрола на влезните и излезните точки заради заштита на мрежата и гаранција дека крајните точки на SSL VPN се одржуваат и обезбедуваат соодветно.

Инаку организациите треба да одберат најдобро техничко решение откако нивните  барања се идентификувани. Можно е други протоколи како SSH Или IP sec  да понудат подобро техничко решение од SSL Ова посебно се случува ако VPN решението веќе постои бидејќи може да биде подесено  да ги исполни потребните барања.

Понудите на Entrust на SSL сертификати се создадени да им помогнат на клиентите да ја искористат предноста на оперативната ефикасност, што електронската трговија ја нуди, истовремено овозможувајќи безбедносна заштита при трансакции.

Entrust во овој бизнис е од раните 1990 години, а од крајот на деведесетите, нивните клучеви ги користат поголемите пребарувачи во светот.

Инаку, Entrust овозможува енкрипција од 256-бити меѓу серверот и пребарувачите. Неговите клиенти може да купат сертификати со времетраење од една или две години.

Во последно време Интернетот, Интранетот, Екстранетот и безжичните мрежи го редефинираа начинот на кој компаниите комуницираат и водат бизнис. Со зголемување на вредноста на трансакциите што се прават, ризиците поврзани со нив и потребата за заштита исто така се зголемува. Затоа SSL е стандард, но и минимално барање за оние кои вршат онлајн трансакции. Скоро сите легитимни и поголеми бизниси ја користат оваа заштита на своите веб страни.

Над 1,650 компании и владини агенции во над 60 земји ги користат решенијата на Entrust за заштита на „дигиталните животи„ на нивните граѓани, клиенти и вработени.

 

Заклучок

 

Комуникацискта безбедност  секогаш ќе има важна улога во бизнисот и воените трансакции. Се повеќе и повеќе комерцијални организации го користат интернетот за побрзо да стигнат до своите клиенти, за побрза продажба итн. Во такво сценарио неможе да се однесуваат неодговорно  со сигурносните апликации и алатки. Со менувањето на домените на мрежите (бежични и мобилни мрежи)  безбедноста на мрежите стана голем предизвик. Повеќето продавачи, вклучувајќи ги  Cisco и Microsoft имаат инвестирано доста време и внимание на новите безбедносни имплементации и апликации.

 

 

Референци

• Instantssl guide intro
• Network Security Bible
• Understanding SSL
• http://www.webopedia.com/TERM/S/SSL.html
• http://en.wikipedia.org/wiki/Transport_Layer_Security
• Secure Sockets Layer
• Transport Layer Security
• SSL Handshake
• Using secure sites
• Use encryption
• SSL Protocol Basics
• Versions of SSL and TLS
• Cryptography Used in SSL Sessions
• Authentication Used for Identifying SSL Servers
• SSL VPN Planning and Implementation
• SSL Background
• http://www.pdfdocspace.com/docs/50922/brocade-serveriron-ssl-implementation-and-certificate-management-(pdf-7633-kb).html
• A guide to using SSL
• http://ferruh.mavituna.com/ssl-implementation-security-faq-oku/
• http://www.sslshopper.com/