Кратко об SSL
Опубликовано: 1 Июль 2010 Автор: Мышевод
Для чего нужен SSL сертификат.
Протокол SSL служит для шифрования данных между сервером и клиентом с использованием шифрования на открытых ключах. Протокол SSL работает на 7 и 6 уровне в модели OSI. Для работы SSL требуется SSL сертификат – файл со служебной информацией, необходимой для шифрования (ключи, время жизни ключей, описание хоста, описание параметров шифрования и тп.). Каждый сертификат подписывается электронной подписью, которая гарантирует целостность данных и подтверждает владельца сертификата.
Какие бывают сертификаты SSL.
Самоподписанные (self-signed) – сертификат, подписанный самим владельцем. Такой сертификат работает по принципу «доверяю сам себе». Сертификат генерируется при помощи специальной программы администратором сервера. Это самый простой и бесплатный тип сертификата. Основной его минус в том, что ему по умолчанию доверяет только сервер. При работе с таким сертификатом любой броузёр показывает всем известную ошибку, для того, чтобы ошибку эту убрать нужно добавить сертификат в группу «доверенные» на ПК клиента.
Доверительные (trusted) – сертификат, подписанный удостоверяющим центром. УЦ – часто отдельная организация, имеющая лицензию на соотв вид деятельности и владеющая корневым сертификатом. Такой сертификат работает по принципу «доверяю тому, кому доверяешь ты» и допускает древовидную структуру доверительных отношений. В корне такого дерева находится один – два корневых УЦ, распространяющих свои сертификаты далее. Обычно УЦ работают на базе провайдеров, регистраторов доменов, хостингов. При работе с такими сертификатами на ПК пользователя ничего ставить не нужно, никаких ошибок не выводится.
Стандартные (standart) – сертификат, выданный на один хост. В поле такого сертификата должен быть указан конкретный хост. Стандартный сертификат может использоваться для разных сайтов, расположенных на одном сервере на пример https://mmouse.ru/site1
https://mmouse.ru/site2
Общие (wildcard) – сертификат выдаётся на домен и на все хосты этого домена. На пример
*.mmouse.ru. Основной минус общего сертификата в том, что если хоть один хост будет скомпрометирован, то и остальным хостам доверять будет нельзя.
В любом сертификате существует поле указывающее на алгоритм шифрования. Обычно используются известные алгоритмы (3DES, RSA, Blowfish итп). Если используется не известный в Интернете алгоритм, на пример ГОСТ Р 34.10-2001, но на сервере должно быть установлено ПО, реализующее этот алгоритм. В случае с ГОСТ это всем известная ПО Крипто-Про. Соотств. на ПК пользователя так же должна быть установлена Крипто-Про. По такой схеме работает пенсионный фонд РФ и некоторые банки. Те же правила действуют и для ЭЦП сертификата.
Цена на SSL сертификаты зависит от авторитета и степени популярности конкретного УЦ.
Вы извините но я статью стырил к себе на комп!
Если вы не против но публиковать не буду!