FAQ по SSL
Уважаемые форумчане!
Может кто соберется со временем и составит наш грамотный и исчерпывающий FAQ по использованию SSL?
С одной стороны, технология архираспространенная. С другой – мало толковых публикаций по ее использованию. Сам по крохам собираю отрывочные данные и пытаюсь синтезировать мало-мальские тезисы для своего использования.
Пока ничего ценного, кроме как рекомендации:
Если ваш Интернет-браузер предлагает проверить SSL-сертификат, задайте себе два вопроса:
1) Я впервые захожу на этот сайт с этого компьютера?
2) Действительно ли этот сертификат – подлинный?
Если ответ на первый вопрос отрицательный, значит, вы либо не сохранили сертификат на компьютере, либо имеете дело с "человеком посередине". Как мы уже говорили, браузер не станет задавать повторные вопросы о сертификате, который уже был принят и сохранен вами. Если вас спрашивают вторично (хотя вы уже заходили на этот сайт и внесли его в "доверенный список"), возможно, на этот раз с вами "общается" совсем другой ресурс.
А ведь по использованию SSL возникает масса интересных вопросов:
– виды сертификатов
– публичные сертификаты
– плюсы и минусы самописных сертификатов
– рекомендации по использованию SSL в броузерах
– рекомендации по использованию SSL в серверах
– атаки на защищенный SSL канал и их распознавание (предотвращение)
..........................
и мало ли чего еще! Ведь мало поставить в броузере птичку "Я использую SSL" – нужно еще уметь грамотно этим воспользоваться. А вот этого как раз и нету..
Сорри, что может изложил не очень грамотно, но проблема тем не менее существует.
И все бы ничего, если не надо было создавать защищенный веб-сервер, т.е. – с использованием SSL.
Какие нетривиальные (для простого пользователя) вопросы тут возникают, можете ознакомиться здесь.
Среди них:
– выбор поставщика CSP: Gemplus GeSAFE Card CSP v.1.0, Microsoft Base Cryptographic Provider v.1.0, Microsoft Base DSS Cryptographic Provider, Microsoft Enhanced Cryptographic Provider v.1.0, и т.д.
– алгоритм кеширования: MD2, MD4, MD5, SHA-1......
– длина ключа: 512 ... 4096 (в тоже время в броузерах длина ключа не выше 256 бит)
– использовать существующие ключи.
Кто-нибудь может дать толковые рекомендации по выбору этих параметров?
комментариев: 11558 документов: 1036 редакций: 4118
Наш сайт защищён SSL, так что его возможности мы оцениваем по крайней мере здраво. :-)
К сожалению, кроме нас с должной тщательностью эти вопросы в рунете вообще никто не обсуждает (не на уровне деревенских посиделок), так что ссылки на снобизм здесь явно неуместны.
Есть множество прекрасных сайтов, посвящённых сетевому администрированию, развёртыванию и поддержке серверов. Это просто не наш профиль, и валить всё в кучу не вижу смысла.
SSL, как и большинство криптопротоколов, следуют общему правилу поддержки стойких зарекомендовавших себя криптографических примитивов и использования общепринятых концепций. Имея представление об этих вещах, можно разобраться в SSL, даже не зная конкретных технических деталей реализации тех или иных элементов. Займитесь общим просвещением и никакой FAQ скорее всего не понадобится.
MS Enhanced Cryptographic Provider
Всё-таки хэширования. SHA-1.
Вы не понимаете разницу между симметричными и асимметричными алгоритмами. Если и делать такой FAQ, в нём придётся дублировать половину материалов со всего сайта.
Главная проблема SSL, которую не понимают пользователи и которая зачастую делает протокол совершенно бесполезным, это концепции цифровых сертификатов и доверия. А всего-то достаточно прочитать вот это и это.
комментариев: 11558 документов: 1036 редакций: 4118
Все участники проекта — независимые люди, жертвующие своё личное время на развитие сайта. Сгонять их палками на реализацию Вашего предложения бесполезно и бесперспективно.
Кроме того, формат FAQ имеет одну особенность — это список ответов на часто задаваемые вопросы. Вы же предлагаете нам самим придумать список этих вопросов и дать на них ответы. Но то, что может вызвать вопросы у начинающего пользователя, вряд ли вызовет вопросы у профессионала или энтузиаста, досконально знающего данный предмет. Почему бы, в таком случае, Вам как представителю целевой аудитории, хотя бы не набросать примерный перечень вопросов, вызывающих у Вас затруднение? Только это должны быть конкретные вопросы, предполагающие сравнительно лаконичные ответы (см. примеры в /FAQ), а не пространные темы для диссертаций. Если знающие люди поймут, на что им тратить своё время, давая ответы, сами ответы не заставят себя ждать. Короче, сделайте первый шаг и покажите, что тема Вам на самом деле интересна и важна.
Также хочу предостеречь Вас от просьб написать пошаговую инструкцию для настройки серверов. Главных причин две: 1) каждый веб-сервер (а их немало) и, зачастую, его подверсии (а их ещё больше) потребуют написания совершенно самостоятельных руководств, что само по себе абсурдно; 2) в официальных и множестве неофициальных руководств по администрированию веб-серверов инструкции по установке и настройке SSL и так достаточно подробно документированы. Ну и, наконец, как я уже писал, это просто не наш профиль.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Между прочим, воюю в одиночку, поскольку на призыв составить FAQ пока был произведен только опрос, за который проголосовало 87.1% – очень внушительное число электората, даже за президентов столько не голосуют :)
Что ж, и это пока неплохо. Конечно, хотелось бы внести и свою лепту в составлении вопросов к FAQ, но борьба с могучим Центром Сертификации Windows отняла все время. Конечно, СЦ мощная штука, даже слишком. А понятных мануалов по его использованию раз два и обчелся..
комментариев: 1515 документов: 44 редакций: 5786
И ещё по поводу SSL: процедура импорта сертификата jabber.ru вроде бы зависит от клиента... – набор действий... и вроде бы не всегда, то есть некоторые клиенты ссылаются на то чтоб я корректно настроил OpenSSL и мой комп распознавал сертификаты через общепринятые юниксовские интерфейсы – я где-то читал такое. Настройка OpenSSL – нет ничего проще... я предпочту промолчать. P. S.: я за года 2 сколько пользуюсь джаббером так и не настроил себе сертификаты.
Да, а ещё есть понятие "личный сертификат" – на него что-то потом наворачивают. – Там нет такой же системы как сети доверия в pgp? Я просто не знаю. Может быть, эти вещи стоило бы упомянуть в несуществующем факе по SSL.
комментариев: 1515 документов: 44 редакций: 5786
Я бы даже так сказал: модель доверия: доверям вот кому: себе. Больше никому. Никаких корневых сертификатов. Может они и имеют смысл в специфических случаях, например когда у одной организации несколько сертификатов, и есть для них некий который корневой, но он тоже произведён и подписан самой организацией... В смысле идея в том, чтобы корневой сертификат выдавал некто, принципиально не заинтересованный в дискредитации тех сертификатов, которые были подписаны корневым.
А в реальной жизни идут наслойки политического и юридического характера о том, что есть ряд случаев когда либо официально, либо неофициально можно потребовать от любой организации всего что угодно. Типа, власть сама не под законом который она издаёт, она выше него. Ну я уже не говорю про такую мелочь как личная заинтересованность владельцев сертификационного центра в чём-либо.
Солидарен – потому что точно такие мысли меня посещают, особенно доверяй вот кому: себе :)
За исключением OpenSSL – я им еще не занимался.
В этом ключе интересны цены на "фирменные" сертификаты – под тысячу долларов! За что???
комментариев: 11558 документов: 1036 редакций: 4118
За то, что корневой сертификат такой "фирмы" вшит в дистрибутивы распространённых браузеров и в "самую распространённую ОС", так что браузер "не гундит", когда пользователь открывает страницу веб-сайта. Могут быть дополнительные нюансы типа глубины проверки. А могут и воздух продавать. Вот Вам ссылочка по теме:
http://www.vladmiller.info/blog/index.php?comment=50
комментариев: 1515 документов: 44 редакций: 5786
За то что все типовые браузеры будут говорить своим пользователям что всё ОК. Не каждый же может добится включения своего серта во все распространённые браузеры...