SSL















pl.comp.www FAQ




Następny



Następny rozdział


Rozdział 13. Bezpieczeństwo WWW


Poprzedni rozdział



Poprzedni







13.4. SSL





From: Paweł Krawczyk <kravietz@ceti.com.pl>






Jak postawić bezpieczny serwer WWW?.
Trzeba uruchomić serwer WWW z wbudowaną obsługą SSL, wygenerować dla niego
certyfikat, a następnie zapłacić za podpisanie tego certyfikatu jednemu z
Certifying Authorities



Najpopularniejsze serwery obsługujące SSL to:


Apache-SSL




Stronghold




Microsoft IIS




Netscape FastTrack i Netscape Enterprise




Autor tego opracowania z powodzeniem wykorzystuje na firmowym WWW serwer
Apache-SSL. W tym wypadku oprócz samego serwera potrzebne jest także
zaplecze w postaci
SSLeay


Decydując się na komercyjny serwer należy się dokładnie dowiedzieć czy
nie jest on objęty ograniczeniami eksportowymi, żeby nie kupić kota w
worku (czyli serwera obsługującego klucze max 40-to bitowe).



Co to jest SSLeay?.
SSLeay jest zestawem programów i bibliotek stanowiących implementację
procedur SSL 2.0 (wersje do 0.6.x) i SSL 3.0 (wersje nowsze niż
0.8.x). SSLeay służy do generowania oraz zarządzania kluczami i
certyfikatami, pozwala także na podpisywanie certyfikatów (ma funkcje
CA). Z SSLeay korzysta m.in. Apache-SSL.


Najbardziej godne polecenia opisy SSLeay:


SSLeay FAQ




Opis SSLeay według TAMU







Czy wszystkie przeglądarki akceptują wszystkie certyfikaty?.
Nie. Taka jest konsekwencja centralnego zarządzania certyfikatami w
SSL. Certyfikat autoryzowany na podstawie przedstawionych przez jego
posiadacza dokumentów i innych dowodów tożsamości jest naturalnie bardziej
godny zaufania niż wygenerowany samodzielnie przez administratora serwera.


Różne przeglądarki zachowują się różnie po wejściu na serwer legitymujący
się certyfikatem podpisanym przez nieznanego CA:


Netscape

wypisuje ostrzeżenie i pozwala na zaakceptowanie oraz dodanie otrzymanego
certyfikatu do swojej listy



MSIE

wypisuje ostrzeżenie i odmawia połączenie z serwerem



Lynx

w ogóle nie sprawdza certyfikatów



Dwa pierwsze programy nie sprawiają natomiast problemów gdy
uprzednio otrzymają certyfikat CA, który podpisał certyfikat danego
serwera. Certyfikat CA powinien być plikiem w formacie DER typu
application/x-x509-ca-cert

Sposób jego generowania i udostępniania przeglądarkom jest opisany
materiałach
TAMU




Kto zajmuje się podpisywaniem certyfikatów?.
Instytucje podpisujące certyfikaty serwerów oraz wydające certyfikaty
osobiste różnią się przede wszystkim regulaminem (rodzaj serwera,
wymagane dokumenty) i ceną.


Najpopularniejszym --- i jednym z najdroższych CA---jest
VeriSign.

Jego certyfikaty akceptują wszystkie wersje Netscape i MSIE.

Innym popularnym CA jest firma
Thawte Consulting,

która bierze za to 100 USD i jej certyfikaty są rozpoznawane przez
wszystkie przeglądarki. Thawte certyfikuje także Apache-SSL.

Poza tym:




EuroSign




Computer Security Technologies




CompuSource



i inni.






Gdzie znaleźć więcej informacji o SSL?.



SSLeay FAQ




Lista dyskusyjna SSL-Talk




Inne aplikacje oparte o SSLeay --- telnet, ftp i in.








Inne protokoły bezpiecznego WWW.



Shen

(CERN)



Private Communication Technology - PCT

(Microsoft)



S-HTTP

(EIT i RSA)



Istniejące propozycje można podzielić na dwa rodzaje: protokoły warstwy
transportowej (SSL, PCT) i warstwy aplikacyjnej (Shen, S-HTTP). Pierwsze
z nich działają tuż nad warstwą TCP/IP i mogą służyć do przenoszenia
różnych protokołów wyższych warstw --- FTP, POP3, SMTP oraz HTTP. Nic nie
stoi także na przeszkodzie, by np. protokół S-HTTP działał na połączeniu
zabezpieczonym przez SSL. Kwestie bezpiecznych protokołów WWW wyjaśnia
dobrze artykuł
The Race to Secure Cyberspace

Dano Garsona







Następny



Spis treści



Poprzedni




Serwery


Początek rozdziału


Dziękuję