Сертификаты в TLS/SSL: различия между версиями

Материал из Мир Jabber
Перейти к навигацииПерейти к поиску
м (Чуть дописал)
(Пока хватит)
Строка 1: Строка 1:
Помимо функции шифрования, TLS и SSL помогают от так называемой атаки "[[ru_wikipedia:Человек посередине (атака)|Человек посередине]]". Смысл этой атаки следующий: кто-то получает доступ к одному из узлов, через который проходит передача данных, и специально искажает передаваемые данные. Для защиты от этой атаки в TLS и SSL используются так называемые сертификаты: в случае, если данные были искажены по пути, то сертификат не совпадет.
Помимо функции шифрования, TLS и SSL помогают от так называемой атаки "[[ru_wikipedia:Человек посередине (атака)|Человек посередине]]". Смысл этой атаки следующий: кто-то получает доступ к одному из узлов, через который проходит передача данных, и специально искажает передаваемые данные. Для защиты от этой атаки в TLS и SSL используются так называемые сертификаты: в случае, если данные были искажены по пути, то сертификат не совпадет.


Однако для того, чтобы этот способ защиты работал, нужно показать клиенту, какой сертификат является верным, для того, чтобы его можно было отличить от неверного.
Для пользователя механизм сертификатов проявляется в виде вопроса о доверии к сертификату при подключении. Если Вы не желаете усиленной безопасности - можете просто нажать кнопку "Доверять всегда" и не читать далее. Однако если Вы беспокоитесь о безопасности, нужно показать клиенту, какой сертификат является верным, для того, чтобы его можно было отличить от неверного.
 
Для ещё большей защиты и упрощения были созданы Центры Сертификации (англ. CA). Центры Сертификации имеют свой собственный корневой сертификат (англ. Root certificate). Если Ваш сервер использует сертификат от CA, то в этом случае рекомендуется добавить корневой сертификат этого центра сертификации. Обычные сертификаты, созданные не CA, называются неподписанными. Обычно крупные сервера используют сертификаты от CA, а небольшие - неподписанные.


Далее будут рассмотрены способы добавления сертификатов:
Далее будут рассмотрены способы добавления сертификатов:


==Psi==
==Psi==
Нужно лишь скопировать файл сертификата в папку путь_к_Psi/Certs/ (например, C:\Program Files\Psi\Certs\). Также команда Psi+ создала набор сертификатов для самых популярных CA и серверов. Взять его можно [http://psi-dev.googlecode.com/files/rootcert.zip отсюда], после чего содержимое архива надо распаковать туда же, куда надо копировать и обычные сертификаты.
Нужно лишь скопировать файл сертификата в папку путь_к_Psi/Certs/ (например, C:\Program Files\Psi\Certs\). Также команда Psi+ создала набор сертификатов для самых популярных CA и серверов. Взять его можно [http://psi-dev.googlecode.com/files/rootcert.zip отсюда], после чего содержимое архива надо распаковать туда же, куда надо копировать и обычные сертификаты.
==JAJC==
==JAJC==
Строка 13: Строка 14:
Укажите путь к сертификату в настройках в разделе '''"Login"'''. Будьте внимательны, для неподписанных сертификатов и сертификатов CA есть два отдельных параметра.
Укажите путь к сертификату в настройках в разделе '''"Login"'''. Будьте внимательны, для неподписанных сертификатов и сертификатов CA есть два отдельных параметра.
==Pidgin==
==Pidgin==
 
Pidgin способен сам управлять сертификатами. Для этого существует окно "Инструменты - Сертификаты". С большой вероятностью Вы можете уже обнаружить там сертификат для своего сервера.
{{ToDo|Написать про CA, а также дописать}}


[[Category:Тонкости работы]][[Category:Шифрование]]
[[Category:Тонкости работы]][[Category:Шифрование]]

Версия 16:46, 26 июля 2009

Помимо функции шифрования, TLS и SSL помогают от так называемой атаки "Человек посередине". Смысл этой атаки следующий: кто-то получает доступ к одному из узлов, через который проходит передача данных, и специально искажает передаваемые данные. Для защиты от этой атаки в TLS и SSL используются так называемые сертификаты: в случае, если данные были искажены по пути, то сертификат не совпадет.

Для пользователя механизм сертификатов проявляется в виде вопроса о доверии к сертификату при подключении. Если Вы не желаете усиленной безопасности - можете просто нажать кнопку "Доверять всегда" и не читать далее. Однако если Вы беспокоитесь о безопасности, нужно показать клиенту, какой сертификат является верным, для того, чтобы его можно было отличить от неверного.

Для ещё большей защиты и упрощения были созданы Центры Сертификации (англ. CA). Центры Сертификации имеют свой собственный корневой сертификат (англ. Root certificate). Если Ваш сервер использует сертификат от CA, то в этом случае рекомендуется добавить корневой сертификат этого центра сертификации. Обычные сертификаты, созданные не CA, называются неподписанными. Обычно крупные сервера используют сертификаты от CA, а небольшие - неподписанные.

Далее будут рассмотрены способы добавления сертификатов:

Psi

Нужно лишь скопировать файл сертификата в папку путь_к_Psi/Certs/ (например, C:\Program Files\Psi\Certs\). Также команда Psi+ создала набор сертификатов для самых популярных CA и серверов. Взять его можно отсюда, после чего содержимое архива надо распаковать туда же, куда надо копировать и обычные сертификаты.

JAJC

В настройках учетной записи нажмите на кнопку "Импортировать сертификат" и выберите нужный файл.

Tkabber

Укажите путь к сертификату в настройках в разделе "Login". Будьте внимательны, для неподписанных сертификатов и сертификатов CA есть два отдельных параметра.

Pidgin

Pidgin способен сам управлять сертификатами. Для этого существует окно "Инструменты - Сертификаты". С большой вероятностью Вы можете уже обнаружить там сертификат для своего сервера.