Поточний час:
Сьогодні 18 червня, понеділок 2018 рік
Zura-Blog 3 роки 5 місяців 30 днів

Ваш ip адрес:54.198.86.28

Доброго дня!
Ви обновили сторінку в 14 : 20
Статистика

Кількість публікацій на блозі: 375
Кількість коментарів на блозі: 102
Кількість категорій на блозі: 17
Кількість міток на блозі: 28

Zura – Blog
Яндекс.Метрика UA TOP Bloggers

Post_112Привіт всім відвідувачам Zura-Blog, сьогодні вирішив повернутись до тем які стосуються безпеки веб сайтів, в попередніх публікаціях по безпеці сайтів говорилось про велику кількість процедур, які необхідно проводити щоб забезпечити безпечність.

Нагадаю зараз деякі з них, які свого роду являються правилами як для користувачів, так і для веб-дизайнерів, коли мова йде про безпеку веб проектів, ці правила бажано дотримуватись.

По перше  не доручати нікому власні паролі, по друге забезпечити безпеку системи РНР, і не допускати елементарних помилок безпеки, все це і є основні елементи, які складають внутрішню систему безпеки.

Про саму безпеку мова йшла в попередніх публікаціях, там розглянуті основні засоби безпеки, сьогодні мова піде про ще один спосіб забезпечення безпеки веб–сайту, а іменно забезпечення через сертифікат SLL.

Протокол TSL оснований на протоколі SLL, і різниця між ними не значна, тому коли говорять про SLL і TSL, часто мають нат увазі одне і теж саме. Що представляють із себе ці технології? 

SLL і TSL — це технологія сертифікації веб сайту.

У вас мабуть були випадки коли ви холіли б зайти на сторінку сайту, але сторінка не відкривалась а замість неї   повідомлення в якому говориться про сетрифікати. В більшості випадків текст повідомлення повідомляв що сертифікат являєтья устарівшим, і чи бажаєте ви щоб браузер завантажив сторінку не зважаючи на повідомлення.

 

Transport Layer Security (TLS) і його наслідник Security Socket Layer (SSL) — це криптографічні протоколи, які забезпечують підвищену безпеку веб сайтам. SLL і TSL шифрують вміст, який передається між компютерами, які звязані між собою через інтернет мережу, в даному випадку сервер, який керує веб–сайтом, і компютер з якого ми получаємо доступ до веб сайту.

Ці два протоколи надають  наступні послуги.

  1. Browsing (перегляд веб сайтів)
  2. e–mail (електронна почта)
  3. факс через інтернет
  4. миттєвий обмін повідомленнями (ІМ)
  5. VoIP (IP–телефонія)

Далі мове піде тільки про Browsing (перегляд веб сайтів)

В випадку browsing ці протоколи беруть звязок з мережі і забезпечують їх безпеку. Звісно що існують деякі особи які можуть  перехоплювати пакети даних, або навіть змінювати повідомлення.

Найчастіше в browsing (перегляд веб–сайтів), ця система повністю прозора, і залежить від необхідності забезпечення безпеки веб–сайтів. Зрозуміло, що більшість сайтів не потребують захисту з допомогою таких технологій.

Яка користь буде в забезпечення такої безпеки, наприклад для веб сайту який містить рецепти приготування їжі 🙂 , в захисті можливо має потребу віртуальний магазин, ну і можливо ще й форум.

Використання SLL

Зараз крок за кроком постараюсь пояснити як працює SLL для веб сайтів.

Фаза “переговорів”

клієнт ( в даному випадку веб-браузер) починає переговори з веб–сервером, отримуючи інформацію про використання технології  SLL

клієнт адаптується до цієї інформації і починає спілкування SLL з сервером, безпечне спілкування

потім сервер відправляє клієнту сертифікат

клієнт отримує сертифікат

⇒ Далі клієнт відправляє серверу так званий “Change Cаpher Spec” частина розмови, яка практично скаже серверу що “все спілкування буде ауідентифіковано і зашифровано згідно з параметрами кодування, отриманими в наданому сертифікаті”

потім клієнт відправляє зашифроване контрольне повідомлення “test”, для того щоб сервер його розшифрував.

якщо сервер може розшифрувати повідомлення, це означає що захищений звязок успішно встановлений, якщо ні то звязок переривається.

В кінцевому підсумку сервер відправляє клієнту повідомлення “Change Cіpher Spec”, в якому інформується про те, що все що буде відправлятись ауінтентифіковано, і зашифровано за допомогою ключа, який міститься в сертифікаті.

Далі йдуть ті самі процедури як і раніше, тільки в цьому випадку зі сторони сервера клієнту.

В принципі і все по сертифікатах, так працює звязок оснований на сертифікатах безпеки. Можливо ви раніше і не знали про ці технології, вони приховані від відвідувачів, але вони працюють і їх праця можна сказати безцінна.

В більшості випадків сертифікати бувають двох видів, це державні і частні. До речі кожен може створити частний сертифікат для конкретної системи, щоб не розкривати свої дані в мережі.

Існують також великі компанії які займаються продажом сертифікатів. Для прикладу можна взяти VeriSign. Inc — американська компанія, підтримує домени першого рівня com. net. і деякі інші. Дана компанія першою в світі почала продавати цифрові сертифікати.

Я сам вперше дізнався про такі сертифікати, після запуску свого сайту в інтернет мережу, довго не розуміючи в чому справа, бо сайт не відображався в мережі. І лиш коли звернувся за поясненням до працівників, щоб дізнатись в чому справа, отримав пояснення і пропозицію отримати сертифікат безпеки.

Звісно що сертифікат платний і це мене не дуже влаштовувало, тому я відмовився від даної послуги, до речі найдешевши таку послугу пропонує компанія Comodo.

Вас мабуть цікавить що буде якщо не скористатись таким сертифікатом, а запустити сайт в мережу без нього. Звсно що працювати буде як і повинен, та і взагалі даний сертифікат я вважаю потрібен коли ви займаєтесь інтернет–комерцією, оскільки тоді, ризик того що дані можуть бути перехоплені існує.

Як дізнатись чи підтримується сертифікат якимось ресурсом, оскільки  для таких сайтів в яких здійснюються платежі, це просто необхідність.

Ознака того що сайт має  SLL сертифікат, можна побачити в адресному рядку браузера, поле в якому відображається адреса ресурсу. Потрібно звернути увагу чи присутня позначка в виді замочка.

sll1

⇑позначка в виді замочка

Якщо сторінка сайту не має сертифіката тоді такого замочка в адресному рядку не буде. Якщо встановлюється захисне зєднання по  SLL–протоколу, то в адресному рядку браузера появиться замок.

Якщо ви будите мати бажання більш детально ознайомитись з сертифікатом, тоді клацніть на позначку “замок”, і виберіть “Перегляд сертифікату”, у вас відкриється вкладка в котрій буде знаходитись потрібна інформація.

Що за інформація? — це домен в інтернет мережі для якого випущений сертифікат, інформація про власника сертифікату, і термін дії сертифікату.

 

Також існує декілька типів сертифікатів, які використовують різні захисти систем. Це безкоштовні сертифікати, стандартні сертифікати, і сертифікати розширеної перевірки Extendede Validation.

На цьому буду закруглятись, в наступних публікаціях розгляну тестування веб–сайту, яке являється необхідною процедурою, завдяки цій процедурі можна дізнатись позиції вашого сайту, а також кількість помилок в кодах.

До зустрічі.

Leave a Reply

Your email address will not be published. Required fields are marked *