ОСНОВЫ

Растущий интерес к Интернет-технологиям, а также доступность большинства программ и ресурсов Сети подталкивают многих к использованию Всемирной паутины в коммерческих целях. Любая коммерческая деятельность - как в жизни, так и в Сети - имеет свои особенности, но помимо всего прочего она выдвигает дополнительные требования к безопасности сделок. Проблема безопасности возникла почти сразу с появлением Интернета и была вызвана несовершенством программ и почти полным отсутствием любых форм защиты информации. Но особенно остро она встала в эпоху отказа от MS-DOS и перехода к WWW, когда появилась возможность не только предоставлять скупую текстовую информацию, но и обеспечивать ее визуализацию и гиперактивность. Именно в этот переходный период и зародилась идея проведения коммерческих операций в Сети. Первые передачи данных кредитных карт происходили более-менее нормально (насколько это было возможно в то время), пока к Интернету не присоединились хиппи, панки и прочие анархисты, желающие "пощипать" буржуев и заявить о себе. Этим первым хакерам мы и должны быть сегодня благодарны за рождение и развитие нового стандарта безопасности SSL. Сейчас это общепринятый стандарт в e-commerce. Все, от приема номеров кредиток до создания и управления "электронными кошельками", проходит при обеспечении безопасности SSL. Широкое развитие эта технология получила благодаря внедрению SSL-протокола в работу большинства популярных браузеров.

Зачем нужен SSL? В реальной жизни вы покупаете товар в магазинах, на лотках, у продавцов и консультантов, которым можете доверять. Но в Интернете, с его миллионами сайтов и веб-страниц, нельзя быть до конца уверенным в том, что за парой сотен килобайтов не скрывается зловредный код. Но еще хуже, если какой-нибудь хакер сможет перехватить вашу конфиденциальную информацию. Чтобы избежать проблем, связанных с сохранностью передаваемых данных, и применяют SSL.

SSL (Secure Socket Layer) - протокол, который позволяет через браузер определить подлинность веб-сервера, а также обеспечить надежный "персональный" канал связи между браузером пользователя и сервером, на котором расположен сайт. Во время соединения браузера со страницей, защищенной SSL-протоколом, сервер создает электронный цифровой сертификат, который действителен только для данной сессии связи.

Благодаря серверам, поддерживающим этот протокол, и сертификатам SSL пользователь, соединяющийся с сайтом, может быть уверен в трех вещах.

1. Установление подлинности: сайт действительно принадлежит компании, которая установила свидетельство.

2. Секретность сообщения: используя уникальный "ключ сессии", SSL зашифрует всю информацию обмена между сайтом и его клиентами (например, номер кредитной карточки или персональные регистрационные данные). Это гарантирует, что передаваемые серверу данные не могут быть просмотрены или перехвачены посторонними лицами.

3. Целостность сообщения: данные, передаваемые посредством этого протокола, не могут быть частично потерянными или замененными.

Для кого предназначены SSL? Если, создавая собственный торговый сайт, вы действительно беспокоитесь о безопасности своих клиентов, то без использования SSL-протокола не обойтись. Более того, если есть несколько независимых сайтов, предлагающих различные товары и услуги, то каждый из них должен иметь собственный сертификат. В конце концов, не надо забывать, что наличие такого сертификата увеличивает доверие к электронному бизнесу и может повлиять на решение о покупке товаров и услуг на защищенном сайте.

Как узнать, поддерживает ли сайт SSL? Безопасность сессии отражает сам браузер пользователя. Если сайт не поддерживает этого протокола, то в правом углу браузера появится значок с открытым замком (в Netscape и Explorer может ничего не отражаться), а если поддерживает - то значок с закрытым замком. Другим отображением безопасной связи является адресная строка браузера, где адреса обычных страниц начинаются с http:// , а защищенных - только с https://. Чтобы проверить, есть ли у сайта защищенный режим связи, можно набрать адрес этого сайта, начиная с https. Но помимо этого браузер имеет специальные настройки, позволяющие отобразить предупреждение о том, что информация передается в незащищенном режиме.

Что такое SSL-сертификат? Перед отправкой данных на защищенный сайт нужно получить так называемый SSL-сертификат, который подтверждает статус владельца сайта и предоставляет о нем некоторые данные. Сертификат содержит данные о физическом или юридическом лице, которому данный сертификат выдан, физический и электронный адрес компании (или человека), серийный номер и срок действия сертификата и так называемый "отпечаток" (индивидуальный уникальный номер). Процесс получения сертификата достаточно сложен и включает в себя обмен между браузером и сервером "публичным ключом" и "ключом сессии", на основе которых и формируется неповторимый "отпечаток", аналогичный отпечатку пальцев человека.

Процесс формирования сертификата начинается с того, что браузер запрашивает веб-страницу со специальным отличительным знаком - https. При таком запросе формируется специальный "цифровой ключ". Такой же индивидуальный ключ, к которому никто не имеет доступа, существует и на сервере, где расположен сайт продавца. Эти ключи между собой математически связаны, но никогда не будут совершенно одинаковыми. На их базе и формируются данные уникального "отпечатка".

Фактически сертификат служит свидетельством или доказательством того, что независимое доверенное лицо (не участвующее в сделке) подтверждает, что сайт принадлежит действительно конкретной компании. Вообще, сертификат можно отнести к категории электронной подписи или электронной печати. Имеющий силу нотариального заверения, сертификат обеспечивает доверие клиентов, гарантируя, что информация попадет нужному адресату.

Что такое SuperCert? В соответствии с политикой нераспространения США одно время ограничивали выход некоторых криптоалгоритмов, протоколов и программ за рамки страны. Так произошло и с SSL. На международном уровне ранее использовалось шифрование на основе 40-битного ключа, в то время как в США был разрешен 128-битный ключ. Протокол работы на основе 128-битного ключа и называют SuperCert. Считается, что он наиболее совершенный и безопасный на сегодняшний день. Все браузеры IE, начиная c версии 5.01, и NN, начиная c версии 4,7, поддерживают SupertCert SSL-сертификацию. Подробнее о SuperCert можно узнать на www.thawte.com/certs/server/128bit/contents.html.

Преимущество SSL в том, что при предоставлении надежной защиты пользователям не требуется дополнительного ПО. Однако если вы захотите обеспечить свой сайт SSL-сертификатом, то придется обратиться в одну из компаний, занимающихся таким сертифицированием частных и корпоративных сайтов. Получение SSL-сертификата для сайта - процедура платная.

С автором можно связаться по адресу: viacheslavb@ua.fm.