Pull to refresh

Comments 90

спасибо за статью :)

не знал, что есть разные типы сертификатов
Мой хостер предлагает следующие сертификаты:
SSL (TrustLogo)
Geotrust SSL (Smart Seal)

Последний самый дорогой. Чем они отличаются?

Кстати, обнаружил, что Comodo предлагает бесплатный сертификат на 90 дней. www.instantssl.com
UFO just landed and posted this here
Возможно, хотя, надеюсь, что с essential/instant невозможно работать с платежными системами.
о_0 т.е. без ертификата можно, а с хиленьким нельзя!?

SSL это способ защиты передаваемой информации. сертификат — спооб удостовриться что «защищенно» передаете тому кому планировали. при этом уровень сертификата хотя и должен влиять на уровень доверия к ресурсу, на самом деле ни на что не влияет. редкий юзер смотрит подробности, большинству достаточно того, что броузер не ругается :)
супер статья, спасибо =) а то пол жизни генерил CSR-ы инсталил сертификаты на серваки а как оно всё изнутри толком то и незнал :\
А про самое важное не написали: в браузере хранится набор CA сертификатов, которыми проверяется сертификат сайта. И что если браузер такого CA не знает, будет выдано предупреждение.
Точнее хранится набор сертификатов доверенных CA и, как следствие, если каким-то образом в набор попал «левый» сертификат CA, то браузер будет принимать все сертификаты подписанные им как подписанные доверенным ЦС со всеми вытекающими
Точнее говоря там хранятся корневые сертификаты. Сертификат сайта проверяется по дереву сертификатов и важно не чтобы он был подписан доверенным центром, а чтобы в ветвь дерева, по которой мы движемся, проверяя цепочку сертификатов, имела начало в доверенном центре.
Угу, и тут есть одна неочевидная проблема. Если кто-то получит себе место в этой цепочке, он сможет легко организовать атаку из категории man in the middle. Юзер ведь в случае успешного соединения не проверят, кем выдан сертификат сайта, которым он пользуется.
Нет, такой проблемы тут нет. Вклиниться в это дерево возможно только в случае, если злоумышленнику удастся создать свой центр сертификации(заверенный опять же по этому дереву), либо доверенный центр сертификации выдаст сертификат не тому, кому надо. Вероятность обеих ситуаций почти нулевая, к тому в любом случае будет кому отвечать.
Увы, не нулевая. Сейчас ищу пост в блоге, в котором товарищ описывал процедуру получения места в цепочке. Год назад примерно читал.
Не нашёл, пока только это. Примерный смысл той дискуссии сводился к тому, что в браузере должна быть привязка конкретного certificate issuer'а к конкретному сайту как один из вариантов противодействия атаке MINM.
Ну в этом случае администратора ждет ответственность.

Понимаете смысл сертификации не только в обеспечении безопасности, а в том числе и в том, что если эта безопасность будет нарушена, то вы сможете найти нарушителя.
Смысл сертификата только в безопасности обмена информацией именно с тем с кем вы подразумеваете. И все. Никаких гарантий, что получатель сертификата, вас не кинет, сертификационный цент не дает. Проверенно на личном опыте.

Стандартная гарантия от СЦ, что вы понесете убыток, при перехвате зашифрованной информации и тогда в пределах определенной суммы вам его возместят. Но как вы сами понимаете, это фактические нереально.
«Смысл сертификата только в безопасности обмена информацией именно с тем с кем вы подразумеваете.»
по-моему это тоже самое, что написал я:
«Смысл сертификации не только в обеспечении безопасности, а в том числе и в том, что если эта безопасность будет нарушена, то вы сможете найти нарушителя.»

Безопасность только «обмена информацией», а не вообще «безопасность». + никаких гарантий поиска нарушителя.
ну я написал именно «безопасность», потому что не хотел распространяться на длинное объяснение, безопаcноcть чего мы хотим обеспечить, а уж на эту тему я много чего написать могу:), я думаю из контекста итак понятно. Кстати если уж на то пошло, то я вас тоже могу поправить — мы обеспечиваем целостность и конфиденциальность передаваемой информации, а это не все свойства безопасности:)

Как это никаких гарантий? — У нас две стороны(предполагая SSL гипотетически неуязвимым и это действительно почти так) — мы и сервер, с которым общаемся, естественно, сами мы нарушить ничего не можем — поэтому нарушитель у нас возможен только один — а он как раз легко и находится по сертификату.
Хорошо, по поводу первого мы пришли к единению, теперь по поводу второго на реальном примере. Возможно те, кто давно в интернете помнят был такой oxbill.com
Так вот сертификат Thawte нифига не являлся гарантом благонадежности, так же как и то, что де юре конторка была фиг знает где (где не помню уже но очень далеко), а де факто сидели в питере.
Ну если он вклинится, и совершит какие-то противоправные действия, то его в любом случае будет ждать ответственность
Промежуточные тоже хранятся. Они же нужны, чтобы построить эту самую цепочку.
«Причемущества» от наличия SSL вообще, и подписанного сертификата в частности
Буквы «и» и «е» также перепутаны
Спасибо, интересно. Покажу клиенту :-)

p.s. если приводите картинку вида «как выглядит в браузере», то почему бы не показать, как это выглядит в разных браузерах, в том числе если сертификат считается не надеженым.
Хотелось бы прокомментировать один момент из статьи.
1) «Самоподписанный сертификат не гарантирует ничего.» — ничего, кроме шифрования данных при передаче, что само по себе немаловажно.
2) «Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что:
Данный сайт действительно принадлежит компании, за которую себя выдает, а не Васе-фишеру из соседнего подъезда.
Компания, которую представляет сайт — действительно существует в жизни, а не в мыслях Васи из соседнего подъезда.
Данные этой компании проверены и зарегистрированы центром сертификации.»

— насколько я знаю (из своего опыта), все это не так. Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что вы оплатили стоимость сертификата со своей банковской карты. Больше ничего этот сертификат не подтверждает. Никто не станет проверять, является ли плательщик, некий Ivan I Ivanov, гендиром или главбухом фирмы «Roga'n'Co», которую он указал при покупке или он все-таки тот самый «Вася-кардер из соседнего подъезда». Если там кто что и проверяет, так это только банк — карту.
То есть, на мой взгляд, конечный вариант данного абзаца текста мог бы быть более достоверным, если бы содержал следующее:

«Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) НЕ подтверждает, что:
Данный сайт действительно принадлежит компании, за которую себя выдает, а не Васе-фишеру из соседнего подъезда.
Компания, которую представляет сайт — действительно существует в жизни, а не в мыслях Васи из соседнего подъезда.
Данные этой компании проверены и зарегистрированы центром сертификации»,
а подверждает только, что кто-то-таки заплатил за него $900(ну, в случае с Thawte для примера) и честно получил запрошенный сертификат от Thawte или VerySign.
UFO just landed and posted this here
UFO just landed and posted this here
Эм, простите, в этом и смысл шифрования соединения — защита от перехвата, ну пропусит он через себя, и что он увидит? =)
UFO just landed and posted this here
Вы не правы. Почитайте про шифрование основанное на открытых ключах.
UFO just landed and posted this here
Собственно эту проверку браузеры и производят, благодаря прошитым в них сертификатам известных CA.
Видимо мы просто несколько не поняли друг друга ;)
UFO just landed and posted this here
я даже больше скажу — известны случаи, когда VeriSign (с другими не работал) высылал своего представителя на место для визуального обследования, интерьвью с руководством и т.п. еще один интересный, но правда скорее коммерческий момент, опять-таки по поводу VeriSign — взрослый Extended Validation сертификат этой компании означает, помимо всего прочего, страхование потребителя услуг сайта компании, которой выдан сертификат. другими словами, если подставному фишинговому ресурсу каким-то образом удалось пройти через все процедуры проверки и получить сертификат, а потом, скажем, Вася, поведясь на эту подставу слил туда данные по своим кредиткам и был брошен на деньги и есл Вася сможет доказать этот факт — VeriSign выплачивает пострадавшему компенсацию.

от того и куча проверок и перепроверок. CA — это бизнес, основаный на доверии и авторитете. оступишься раз ипиши пропало.
СЦ выплачивают компенсацию в случае, если информацию в процессе обмена между сервером и пользователем перехватили, расшифровали и нанесли убыток. Никаких гарантий благонадежности СЦ не выдает.
UFO just landed and posted this here
Проблема в том, что юзер не смотрит на коревой сертификат CA которым подписан сертификат сайта, который он смотрит. В идеале нужно вообще вычищать половину CA из репозитория браузера/операционной системы. Однако рядовые пользователи этого делать всё равно не будут и смысла напрягаться по поводу «истинно правильного» сертификата всё равно нет.
Тут просто надо понимать — есть разные конторы и разные сертификаты.


… у каждого из них свои размеры Consumer Warranty (т.е. бобло которым сертификатор ответит за неправильно/не тому/хакерам выданный сертификат).
это размер колеблется от 2000 у godaddy до 1`000`000 и больше у thawte/verisign/comodo.
естественно чем больше сумма warranty тем больше будет проверок, вплоть до отправки ревизора.

грубо говоря, чем дороже сертификат тем больше мозгов клиенту вынесут при получении.
Насчет первого пункта в корне с вами не согласен.

SSL — это шифрование с взаимной аутентификацией. О какой взаимной аутентификации может идти речь, если я себе прямо сейчас могу выдать сертификат, что мой сайт является сайтом microsoft или что-то в этом роде?
При должной сноровке можно получить валидный (т.е. с доверенным CA на вершине цепочки) сертификат на любой домен. При ещё большей сноровке можно даже получить место в валидной цепочке CA.
o_0
точно! сноровистые парни получают сертификаты как хотят, а издатели теряют миллионы на consumer warranty и ни сном, ни духом об этом…

пруфлинк бы, да…
Где-то в жж обсуждалось, некто (из не самых последних людей в программерском сообществе) утверждал, что у них в конторе был сертификат из доверенной цепочки. Помню, что обсуждалась идея перехвата и расшифровки SSL-трафика ФСБ, и данное утверждение было приведено как пример того, что слепо доверять SSL не стоит и нужно бы проверять, что Certificate Issuer у сайта не изменился.

Увы, поиск по постам в жж практически не работает, пока найти не удалось.
вот тут подсказали
признаться нахожусь в трансе o_0
Коллега, не портите себе карму :)
ФСБ не пользуется зарубежными криптоалгоритмами, а сертификатов ГОСТовых CA c операционными системами/браузерами не поставляется.
Я уж молчу про то, что и Интернетом они пользуются не то чтобы очень активно :)
Ну и не говорю уже о том, что владение ключом «сертификата из доверенной цепочки» никак не позволяет расшифровывать выбранный трафик.
— насколько я знаю (из своего опыта), все это не так. Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что вы оплатили стоимость сертификата со своей банковской карты. Больше ничего этот сертификат не подтверждает. Никто не станет проверять, является ли плательщик, некий Ivan I Ivanov, гендиром или главбухом фирмы «Roga'n'Co», которую он указал при покупке или он все-таки тот самый «Вася-кардер из соседнего подъезда». Если там кто что и проверяет, так это только банк — карту.

бред и опыт у вас мизерный.
если вы покупали у thawte SSL123, то конечно, головняка не у вас не было (хотя почту админа по хуизу они все равно проверяют, т.ч. заказать и оплатить сертификат на www.microsoft.com вам не удастся). но вы попробуйте купить wildcard или EV у thawte и сразу заметите насколько все становится серьезнее… можете даже не покупать, а нажать ссылочку «Get a quote» и пообщатьс с менеджерами, они вам расскажут какие документы и как подготовить для получения нормального сертификата.

З.Ы.: вы б еще на проверки у godaddy кивали, ага…
Сайт создан в серьез и надолго. В общем случае, желающие «поиграть недельку» не готовы выложить деньги за сертификат.
Довольно спорное утверждение, RapidSSL можно купить за $15 на год.
RapidSSL использует MD5 и годится теперь разве только в качестве дешевого средства для избавления от надоедливой надписи в браузере о «плохом» сертификате.
Если сертификат нужен для серьёзных дел, то RapidSSL лучше обходить стороной.
каких именно серьезных дел?
поверьте, большинству клиентов начхать на ваш сертификат, лишь-бы броузер не ругался :(
ИМХО от дефейса сертификат тоже не понятно чем защищает.
SSL защищает подлинность сайта и конфиденциальность передаваемых пользовательских данных.
Целостность сайта (защиту от дефейса) SSL обеспечивать и не должен…
Речь идет о фразе в статье
Это действительно тот сайт, на который мы шли, а не дефейс или фишинг.

Правильно она должна звучать
Это действительно тот сайт, на который мы шли, а не фишинг.

потому что от сертификат никак не может защитить от дефейса.
Угу, погорячился немного. Впрочем, от явной подмены страницы — не спасет, а вот на редирект или iframe с другого узла — браузер будет гадко матерится.
UFO just landed and posted this here
Я не протокол описываю для сисадминов (для этого есть RFC или Википедия), а статью понятную для обычных людей :)

Естественно умозрительно.
UFO just landed and posted this here
> Мой личный вывод: на всех сайтах, связанных с онлайн-коммерцией, платежами, личной информацией SSL должен быть.

Разумеется, должен. Неподписанный сертификат (или подписанный недоверенным CA) ведет к non-compliance стандарту PCI DSS (www.pcisecuritystandards.org), следовательно, вы, как мерчант, не можете выполнять операции с пластиковыми картами. То есть будет как в небезызвестной песне: «Кинул пацана? Заплатите штраф!» :)
Еще можно поговорить про разные версии SSL и TLS и про иерархию. Есть ведь root-сертификат, которым подписаны каналы самых крупных СА (Verisign), и так далее. Тоесть вся система держится на доверии к CA. Cхема такова:
Клиент (к): Ты кто?
Сервер (с): Я web.website.com
к: Чем докажешь?
с: Нууу, меня знает SmallCA
к: Мне с этого что? С чего я должен доверять его словам?
с: Подлинность его ответа удостоверяет Verisign.
к: О, VeriSign! Тогда я тебе верю. Verisign все знают. Серьёзная контора. На NASDAQ котируется. Ей еще Thawte принадлежит.
«на всех сайтах, связанных с онлайн-коммерцией, платежами, личной информацией SSL должен быть»
Скажите, у меня браузер «криво» настроен или WebMoney «забила» на получение сертификата?
У Webmoney «свой» ЦС, фактически самогенеренные сертификаты.
Они (по крайней мере раньше) во время установки предлагали добавить их ЦС в список доверенных, в таком случае вы вышеприведенной картинки не увидите.
На всех отечественных и зарубежных сайтах использующих https, которыми я пользуюсь, сначала, я вижу что-то вроде этого:

а позже, при повторных заходах, я вижу диалог со скриншота приведенного выше.

Приведите, пожалуйста, пример отечественного сайта использующий сертификат подписанный доверенным ЦС.
banking.webmoney.ru использует недействительный сертификат безопасности.

К сертификату нет доверия, так как он является самоподписанным.

(Код ошибки: sec_error_ca_cert_invalid)
Вы что-то путаете, там вполне валидный сертификат, выданный Network Solutions L.L.C.
Если и путаю — то не я, а мой Firefox 3.0.5 и IE7.0.6

Ошибка в сертификате безопасности этого веб-узла.
Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации.

Наличие ошибок в сертификате безопасности может означать, что вас пытаются обмануть или хотят перехватить информацию, передаваемую на сервер.
Рекомендуется закрыть веб-страницу и не работать с этим веб-узлом.
Щелкните здесь, чтобы закрыть веб-страницу.
Продолжить открытие этого веб-узла (не рекомендуется).
Подробнее

Если, щелкнув ссылку, вы попали на эту веб-страницу, проверьте адрес веб-узла на панели адреса, чтобы убедиться в том, что он указан правильно.
При переходе на веб-узел с адресом https://example.com попробуйте добавить к адресу 'www', например, https://www.example.com.
Если вы хотите проигнорировать эту ошибку и продолжить, по крайней мере не вводите никаких личных данных и не сообщайте конфиденциальных сведений на этом веб-узле!

Дополнительные сведения можно найти в разделе справки Internet Explorer «Ошибки сертификатов».
www.portmone.com.ua использует недействительный сертификат безопасности.

К сертификату нет доверия, так как он является самоподписанным.

(Код ошибки: sec_error_ca_cert_invalid)
Контрольная панель masterhost. У них сертификат правильно подписан.
У них своя политика, потому как они не доверяют доверять другим.
WM об этом спрашивали уже, они сказали, что скоро установят подписанные сертификаты.
А тут вообще все прозрачно :) сертификат выдан для google.com а не для www.google.com.
Почему они так поступили — другой вопрос, я не знаю.
Меня давно интересует такой вопрос: нельзя ли сделать свой центр сертификации и его сертификат подписать у VeriSign (к примеру). Всё с целью получить возможностьт генерить много сертификатов для себя. Насколько я понимаю, технически это возможно, а практически?
Практически это тоже возможно, но не со всеми корневыми центрами сертификации.
а практически дорого. очень дорого!
UFO just landed and posted this here
А примерный уровень цен неизвестен? Они предлагают списаться с ними, боюсь будет долго.
Кстати, какие требования надо предъявлять к таким центрам как GlobalSign, как проверить, что с их подписями не будет проблем на разных устройствах типа телефонов?
UFO just landed and posted this here
В начале комментов что то все набросились на автора… не хорошо.
Я раньше и не задумывался откуда сертификаты берутся.а теперь знаю.спасибо.
А то что статья не совершенна ничего в этом страшного нет.даже хабр не идеален.
вобщем если просуммировать то получается:

— сертификат нужен для шифрования даных которые пользователем серверу(сайту).

— надежность шифрования никак не зависит от того, каким способом получен сертификат (самосгенеренный и полученый от изесного СertАuthority генерятся с использованием одинакового алгоритма)

— сертификат выданный одним из известных CA хорош тем, что подтверждает что ключ шифрования которое вам предлагает использовать некий https://сайт, действительно выдан этому сайту (владельцу домена).

— кроме этого, условием для выдачи подписаного сертификата могут являться подтверждение личности, подтверждение контактов (адрес/тел/почта), подтверждение регистрации компании, подтверждения права ведения бизнеса, другое.

— цена подписанного сертификата зависит от кол-ва тех проверок/даных которые необходимы для получения данного сертификата. Вот почему есть разные цены на сертификаты.

так?

и, я так понимаю, в следующей статье автор расскажет какой именно тип сертификата он выбирает и почему?
Мой Файрфокс ругается на свой собственный родной сайт — их сертификат самоподписанный. Выдают себя за других?
...Google? Тссссс…
mozilla.org использует недействительный сертификат безопасности.

Сертификат действителен только для *.mozilla.org

:)
UFO just landed and posted this here
Sign up to leave a comment.

Articles