Став уполномоченным по сертификации, вы сможете обойтись без посредников

ВЗГЛЯД ИЗНУТРИ

Использовать шифрование и цифровые подписи всегда было сложнее, чем хотелось бы, а в Web это особенно сложно. Однако проходить запутанные процедуры, чтобы стать общественным уполномоченным по сертификации (таким, как фирма Verisign) только лишь для получения возможности шифровать трафик между двумя отделами своей фирмы, теперь наконец-то не нужно.

Решение заключается в том, чтобы стать своим собственным уполномоченным по сертификации (Certification Authority  -  CA). Это позволит вам подписывать ключи SSL-шифрования вашего Web-сервера и предоставлять пользователям персональные цифровые идентификаторы. Verisign и другие общественные CA необходимы для проведения операций между не знакомыми друг с другом сторонами через общественную сеть, однако они обычно не нужны для осуществления связи в пределах организации или между тесно сотрудничающими компаниями.

Сегодня единственный способ избавиться от посредника (и от уплаты ежегодного тарифа) и получить возможность самостоятельно подписывать сертификаты своих серверов Web  -  это воспользоваться защищенной версией Web-сервера Apache. Согласно последним подсчетам, Apache является самым популярным Web-сервером в Internet, однако ему не хватает функций управления и поддержки каталогов, которые необходимы средним и крупным корпорациям. Кстати, с этой же проблемой сталкиваются компании, которые пытаются использовать схему PGP (Pretty Good Privacy  -  весьма хорошая защита) для шифрования почтовых сообщений, отправляемых через Internet. Однако в начале будущего года должно появиться несколько других вариантов.

Например, в первом квартале будущего года компания Nortel (Northern Telecom) выпустит продукт под названием Entrust/Web CA. Он представляет собой "вариацию на тему" всеобъемлющей линии продуктов защиты Entrust фирмы Nortel, которая дополняет теперешнюю версию Entrust возможностями для работы в Web. Корпорации смогут самостоятельно сертифицировать внутренние Web-серверы (либо Internet Information Server корпорации Microsoft, либо Enterprise или FastTrack корпорации Netscape) и предоставлять пользователям браузеров Internet Explorer корпорации Microsoft или Navigator 3.0 корпорации Netscape цифровые идентификаторы через программы пользовательского интерфейса Web.

Независимо от того, какое сертификационное ПО вы выберете, наиболее серьезное внимание нужно будет уделить разработке плана модернизации. Сегодняшние схемы шифрования на базе Web имеют несколько ограничений, одно из которых (и довольно существенное) заключается в том, что созданные вами ключи годятся только для работы в пределах данного браузера и сервера.

Для продукта Nortel разработан план последовательной модернизации, что, очевидно, и побудило Nortel выйти на этот рынок. Entrust  -  это надежная, целиком основанная на стандартах система управления ключами для крупных организаций. Поскольку она выпускается с 1994 года и полностью реализует стандарт формата ключа X.509, существует уже довольно много приложений, ориентированных на эту систему и стремящихся сделать работу с шифрованием и цифровыми подписями как можно более универсальной.

Шифрование, и в особенности цифровые подписи, весьма широко применяются для упрощения доступа и защиты данных по всей организации. Однако для многих компаний Web будет первым опытом применения этих технологий. Подумайте, прежде чем выбрать какую-либо старую сертификационную программу, и вы пожнете плоды, причем касается это не только Web.

Имонн Салливан

Сегодня единственный способ обойтись без посредников  -  это использовать защищенную версию Web-сервера Apache

Вы уже начали использовать цифровые подписи в вашей организации? Мне было бы интересно об этом узнать. Напишите мне по адресу: esullivan@zd.com.