Увеличете доверието и сигурността на вашия сайт

Увеличете доверието и сигурността на вашия сайт

С развитието на Интернет все по-наболял става въпросът за сигурността. Все по-често се налага да въвеждаме конфиденциална информация на различни сайтове. И все по-често си задаваме въпроси:

• Възможно ли е някой да „подслуша“ информацията, която въвеждам?

• На кого точно давам информация?

• Наистина ли съм на правилният уеб сайт?

За да се решат някои от проблемите при въвеждане на конфиденциална информация в Интернет са създадени различни криптиращи протоколи. Най-разпространения то тях е SSL (Secure Sockets Layer) и по-съвременната му версия TLS (Transport Layer Security). Едно от най-разпространените приложения на тези протоколи е в уеб браузърите, при използването на HTTPS или Hypertext Transfer Protocol Secure.

За използването на сигурна връзка между клиента (уеб браузър) и сървъра е необходимо на сървъра да бъде наличен цифров сертификат или придобилото популярност- SSL сертификат

За да бъде признат за валиден от уеб браузърите, сертификатът трябва да отговаря на няколко основни условия:

• Да е издаден от Доверен Оторизиращ Орган (Trusted Authorization Authority). Всички съвременни уеб браузъри имат списък с такива доверени оторизиращи органи. Ако сертификата не е издаден от такъв Орган, то той се приема за невалиден и на потребителят се показва предупреждаващо съобщение;

• Датата му на изтичане, да е по-голяма от текущата. Всички сертификати се издават със някакъв срок на валидност. Ако текущата дата е по-голям от датата на изтичане на сертификата, то той се приема за невалиден и на потребителят се показва предупреждаващо съобщение;

• Името на домейна (сайта), който се опитваме да посетим, използвайки сигурна връзка, трябва да съвпада с това, което е зададено в сертификата. В случай на несъвпадение, сертификатът се приема за невалиден и на потребителя се показва предупреждаващо съобщение;

Как реално се получава криптирането на информацията, чрез използване на SSL или TLS?

Клиентът и сървърът преминават през процес на „договаряне“ (handshake), за да изградят сигурна връзка помежду си:

1. Клиентът се свързва към сървъра, изисквайки сигурна връзка и предавайки служебна информация;

2. Сървърът изпраща на клиента своя сертификат;

3. Клиентът валидира сертификата;

4. Клиентът изпраща на сървъра случайно число, подписано чрез сертификата на сървъра;

5. Използвайки случайното число от предната стъпка, се генерира сесиен ключ, който се използва криптиране на по-нататъшната комуникация между клиента и сървъра.

Ако вие, като собственик на сайт, желаете вашите посетители да въвеждат лична и/или конфиденциална информация на него, на практика е задължително да имате инсталиран валиден SSL сертификат на вашия сървър. За да използвате такъв сертификат, трябва първо да го закупите. След закупуването, се подава заявка за издаване на сертификат към Довереният Оторизиращ Орган, от който е закупен той. Изисква се и подаването на административна информация за лицето, за което се издава сертификата. Тя включва: име, адрес, телефон, е-mail и др. За обикновените сертификати, за които се удостоверява само собствеността върху домейна, за който се издава сертификата, в повечето случаи не е необходима повече информация. В този случай издаването на сертификата отнема от няколко минути до няколко часа.

Един от основните проблеми през последните години в Интернет е именно идентификацията. Обикновените посетители рядко обръщат внимание на адреса на браузъра, който използват и се ориентират единствено по съдържанието на самият сайт. По този начин те лесно могат да бъдат заблудени от т.н. phishing (фишинг) сайтове– това са сайтове, които копират едно към едно съдържанието и дизайна на друг сайт и са създадени със единствената цел да заблудят посетителите и да им откраднат лични данни. Самите фишинг сайтове се разполагат или на „типо“ (typo) домейни или на поддомейни, наподобяващи името на сайта който бива копиран.

Facebook коментари