id: Гость   вход   регистрация
текущее время 14:15 28/03/2024
Автор темы: Гость, тема открыта 27/05/2007 21:08 Печать
создать
просмотр
ссылки

FAQ по SSL


Уважаемые форумчане!


Может кто соберется со временем и составит наш грамотный и исчерпывающий FAQ по использованию SSL?


С одной стороны, технология архираспространенная. С другой – мало толковых публикаций по ее использованию. Сам по крохам собираю отрывочные данные и пытаюсь синтезировать мало-мальские тезисы для своего использования.


Пока ничего ценного, кроме как рекомендации:

Если ваш Интернет-браузер предлагает проверить SSL-сертификат, задайте себе два вопроса:

1) Я впервые захожу на этот сайт с этого компьютера?
2) Действительно ли этот сертификат – подлинный?
Если ответ на первый вопрос отрицательный, значит, вы либо не сохранили сертификат на компьютере, либо имеете дело с "человеком посередине". Как мы уже говорили, браузер не станет задавать повторные вопросы о сертификате, который уже был принят и сохранен вами. Если вас спрашивают вторично (хотя вы уже заходили на этот сайт и внесли его в "доверенный список"), возможно, на этот раз с вами "общается" совсем другой ресурс.

А ведь по использованию SSL возникает масса интересных вопросов:


– виды сертификатов
– публичные сертификаты
– плюсы и минусы самописных сертификатов
– рекомендации по использованию SSL в броузерах
– рекомендации по использованию SSL в серверах
– атаки на защищенный SSL канал и их распознавание (предотвращение)
..........................


и мало ли чего еще! Ведь мало поставить в броузере птичку "Я использую SSL" – нужно еще уметь грамотно этим воспользоваться. А вот этого как раз и нету..


Сорри, что может изложил не очень грамотно, но проблема тем не менее существует.


 
На страницу: 1, 2 След.
Комментарии
— MECYO (02/06/2007 01:47)   <#>
Вот например, самая тривиальная задача – построение вебсайта на базе IIS.
И все бы ничего, если не надо было создавать защищенный веб-сервер, т.е. – с использованием SSL.
Какие нетривиальные (для простого пользователя) вопросы тут возникают, можете ознакомиться здесь.

Среди них:
– выбор поставщика CSP: Gemplus GeSAFE Card CSP v.1.0, Microsoft Base Cryptographic Provider v.1.0, Microsoft Base DSS Cryptographic Provider, Microsoft Enhanced Cryptographic Provider v.1.0, и т.д.
– алгоритм кеширования: MD2, MD4, MD5, SHA-1......
– длина ключа: 512 ... 4096 (в тоже время в броузерах длина ключа не выше 256 бит)
– использовать существующие ключи.

Кто-нибудь может дать толковые рекомендации по выбору этих параметров?
— SATtva (02/06/2007 12:09)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Мне кажется, г-н SATtva, что вы, равно как и другие участники данного замечательного криптосообщества, явно недооцениваете важность данной технологии

Наш сайт защищён SSL, так что его возможности мы оцениваем по крайней мере здраво. :-)

и большей частью сосредоточились на элитных вопросах аки Tor и ему подобных, занимающих более узкую нишу

К сожалению, кроме нас с должной тщательностью эти вопросы в рунете вообще никто не обсуждает (не на уровне деревенских посиделок), так что ссылки на снобизм здесь явно неуместны.

Вот например, самая тривиальная задача – построение вебсайта на базе IIS. И все бы ничего, если не надо было создавать защищенный веб-сервер, т.е. – с использованием SSL.

Есть множество прекрасных сайтов, посвящённых сетевому администрированию, развёртыванию и поддержке серверов. Это просто не наш профиль, и валить всё в кучу не вижу смысла.

SSL, как и большинство криптопротоколов, следуют общему правилу поддержки стойких зарекомендовавших себя криптографических примитивов и использования общепринятых концепций. Имея представление об этих вещах, можно разобраться в SSL, даже не зная конкретных технических деталей реализации тех или иных элементов. Займитесь общим просвещением и никакой FAQ скорее всего не понадобится.

Среди них:
выбор поставщика CSP

MS Enhanced Cryptographic Provider

алгоритм кеширования

Всё-таки хэширования. SHA-1.

длина ключа: 512 ... 4096 (в тоже время в броузерах длина ключа не выше 256 бит)

Вы не понимаете разницу между симметричными и асимметричными алгоритмами. Если и делать такой FAQ, в нём придётся дублировать половину материалов со всего сайта.

Главная проблема SSL, которую не понимают пользователи и которая зачастую делает протокол совершенно бесполезным, это концепции цифровых сертификатов и доверия. А всего-то достаточно прочитать вот это и это.
— SATtva (02/06/2007 15:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Внесу дополнительное пояснение. В первом ответе в этой теме я писал:
Может Вы и попробуете? ... Начните, а уж другие по мере возможностей присоединятся.

Все участники проекта — независимые люди, жертвующие своё личное время на развитие сайта. Сгонять их палками на реализацию Вашего предложения бесполезно и бесперспективно.

Кроме того, формат FAQ имеет одну особенность — это список ответов на часто задаваемые вопросы. Вы же предлагаете нам самим придумать список этих вопросов и дать на них ответы. Но то, что может вызвать вопросы у начинающего пользователя, вряд ли вызовет вопросы у профессионала или энтузиаста, досконально знающего данный предмет. Почему бы, в таком случае, Вам как представителю целевой аудитории, хотя бы не набросать примерный перечень вопросов, вызывающих у Вас затруднение? Только это должны быть конкретные вопросы, предполагающие сравнительно лаконичные ответы (см. примеры в /FAQ), а не пространные темы для диссертаций. Если знающие люди поймут, на что им тратить своё время, давая ответы, сами ответы не заставят себя ждать. Короче, сделайте первый шаг и покажите, что тема Вам на самом деле интересна и важна.

Также хочу предостеречь Вас от просьб написать пошаговую инструкцию для настройки серверов. Главных причин две: 1) каждый веб-сервер (а их немало) и, зачастую, его подверсии (а их ещё больше) потребуют написания совершенно самостоятельных руководств, что само по себе абсурдно; 2) в официальных и множестве неофициальных руководств по администрированию веб-серверов инструкции по установке и настройке SSL и так достаточно подробно документированы. Ну и, наконец, как я уже писал, это просто не наш профиль.
— SATtva (09/06/2007 22:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
И что, интерес автора темы к вопросу угас?
— Гость (11/06/2007 18:21)   <#>
Нет, не нисколько не угас – как раз воюю с сертификацией IIS
— SATtva (11/06/2007 18:42)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Тогда как насчёт моего предложения в постинге от 02/06/2007 15:01? Может быть другие пользователи, принимавшие участие в опросе и высказавшиеся в пользу FAQ по SSL, тоже как-то себя проявят?

02/06 (id68): Возникают ли у вас вопросы по SSL, ответы на которые вы могли бы найти в специализированном FAQ?
Да, такой FAQ был бы полезен 27  87.1%
Подобных вопросов у меня не возникает 2  6.5%
Что такое SSL? 1  3.2%
А что такое FAQ? 1  3.2%
Не думаю, что такой FAQ поможет 0  0%
Респондентов: 31
Опрос шел (дней): 10
Добавил: SATtva
— Гость (11/06/2007 18:52)   <#>
Я бы даже сказал – еще больше разгорелся :)) Эту ссылку тоже я приволок http://www.pgpru.com/Форум/Пра.....тупКСетиОфисаИлиДома

Между прочим, воюю в одиночку, поскольку на призыв составить FAQ пока был произведен только опрос, за который проголосовало 87.1% – очень внушительное число электората, даже за президентов столько не голосуют :)
Что ж, и это пока неплохо. Конечно, хотелось бы внести и свою лепту в составлении вопросов к FAQ, но борьба с могучим Центром Сертификации Windows отняла все время. Конечно, СЦ мощная штука, даже слишком. А понятных мануалов по его использованию раз два и обчелся..
— Гость (11/06/2007 18:56)   <#>
Гм – а мысли-то сходятся! :)) Писал независимо
— spinore (12/06/2007 04:11)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Из жизни: серьёзно с SSL не разбирался, но как-то хотел присобачить тот сертификат чтоб каждый раз при входе в pgpru.com не ругалась опера... Импортировал, всё хорошо. Сайт как ругался ранее, так и продолжил выдавать предупреждаюие окна, ничего не поменялось. По мотивам этого для SATtva: а не ввести ли нам... практику: при выдаче аккаунта на pgpru.com в текст сообщения о благополучной регистрации, высылаемый на mail, включать отпечаток сертификата. Да, их там много всяких отпечатков, такое впечатление, что штук 10... ладно, шучу. Я к тому, что может все высылать не надо, а какой-то один, который более-менее надёжен. И сразу же вопрос: а нельзя ли типичные браузеры настроить так, чтоб они не ругались на некоторые фиксированные сертификаты сайтов – те которые я специально пометил, что "я их проверил, на них не ругаться, предупреждения в виде 10-ти всплывающих окон и всякий шум не поднимать". Сразу говорю, что я с вопросом не разбирался – это так, на уровне погундеть.
И ещё по поводу SSL: процедура импорта сертификата jabber.ru вроде бы зависит от клиента... – набор действий... и вроде бы не всегда, то есть некоторые клиенты ссылаются на то чтоб я корректно настроил OpenSSL и мой комп распознавал сертификаты через общепринятые юниксовские интерфейсы – я где-то читал такое. Настройка OpenSSL – нет ничего проще... я предпочту промолчать. P. S.: я за года 2 сколько пользуюсь джаббером так и не настроил себе сертификаты.
Да, а ещё есть понятие "личный сертификат" – на него что-то потом наворачивают. – Там нет такой же системы как сети доверия в pgp? Я просто не знаю. Может быть, эти вещи стоило бы упомянуть в несуществующем факе по SSL.
— spinore (12/06/2007 04:15, исправлен 12/06/2007 04:27)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
есть у меня такая причуда: не нравится мне система с сертификационными центрами и корневыми сертификатами. Не проще ли каждый раз при раздаче аккаунтов фингеры писать? Между прочим, в OpenSSH именно так делается если я ничего не путаю – никаких сертификационных центров и корневых сертификатов там нет – не "не с проста" ли это?
Я бы даже так сказал: модель доверия: доверям вот кому: себе. Больше никому. Никаких корневых сертификатов. Может они и имеют смысл в специфических случаях, например когда у одной организации несколько сертификатов, и есть для них некий который корневой, но он тоже произведён и подписан самой организацией... В смысле идея в том, чтобы корневой сертификат выдавал некто, принципиально не заинтересованный в дискредитации тех сертификатов, которые были подписаны корневым.

А в реальной жизни идут наслойки политического и юридического характера о том, что есть ряд случаев когда либо официально, либо неофициально можно потребовать от любой организации всего что угодно. Типа, власть сама не под законом который она издаёт, она выше него. Ну я уже не говорю про такую мелочь как личная заинтересованность владельцев сертификационного центра в чём-либо.
— Гость (12/06/2007 23:30)   <#>
spinore

есть у меня такая причуда: не нравится мне система с сертификационными центрами и корневыми сертификатами. Не проще ли каждый раз при раздаче аккаунтов фингеры писать? Между прочим, в OpenSSH именно так делается если я ничего не путаю – никаких сертификационных центров и корневых сертификатов там нет – не "не с проста" ли это?
Я бы даже так сказал: модель доверия: доверям вот кому: себе

Солидарен – потому что точно такие мысли меня посещают, особенно доверяй вот кому: себе :)
За исключением OpenSSL – я им еще не занимался.
В этом ключе интересны цены на "фирменные" сертификаты – под тысячу долларов! За что???
— SATtva (12/06/2007 23:48, исправлен 13/06/2007 00:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В этом ключе интересны цены на "фирменные" сертификаты – под тысячу долларов! За что???

За то, что корневой сертификат такой "фирмы" вшит в дистрибутивы распространённых браузеров и в "самую распространённую ОС", так что браузер "не гундит", когда пользователь открывает страницу веб-сайта. Могут быть дополнительные нюансы типа глубины проверки. А могут и воздух продавать. Вот Вам ссылочка по теме:
http://www.vladmiller.info/blog/index.php?comment=50
— spinore (13/06/2007 01:12)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Гость:
В этом ключе интересны цены на "фирменные" сертификаты? Под тысячу долларов! За что???

За то что все типовые браузеры будут говорить своим пользователям что всё ОК. Не каждый же может добится включения своего серта во все распространённые браузеры...
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3