Использование цифровых сертификатов

Цель работы.

Ознакомление с порядком использования цифровых сертификатов Х.509 в протоколах защиты данных SSL/TLS и S/MIME.

Используемые программные средства.

Компьютер с подключением к сети Интернет, браузер, Microsoft Outlook или другой почтовый клиент, поддерживающий S/MIME.

Описание работы.

В ходе данной лабораторной работы будут рассмотрены некоторые вопросы использования цифровых сертификатов.

Начнем с их использования протоколом SSL/TLS (на самом деле это два разных протокола, но так как TLS разработан на базе SSL, принцип использования сертификатов один и тог же). Этот протокол широко применяется в сети Интернет для защиты данных передаваемых между Web-сервсром и браузером клиента. Для аутентификации сервера в нем используется сертификат Х.509.

Рис. 5.14. Защищенное соединение с сайтом.

Для примера обратимся па сайт Рамблер-почты (mail.rambler.ru). Для обеспечения безопасности передаваемых данных устанавливается защищенное соединение (рис. 5.14), на что указывает префикс https в строке адреса и изображение закрытого замка (в случае браузера Internet Explorer). Если щелкнуть мышыо по изображению замка, то увидим представленное на рис. 5.14 сообщение о том, что подлинность узла с помощью сертификата подтверждает удостоверяющий центр Thawte. Это значит, что мы на самом деле обратились на подлинный сайт Рамблер-почты (а не подделанный нарушителями) и можем безопасно вводить логин и пароль.

Нажав на ссылку «Просмотр сертификата» (англ. View certificates) можно узнать подробности о получателе и издателе, другие параметры сертификата (рис. 5.15).

Рис. 5.15. Параметры сертификата.

Задание.

Просмотрите парамегры сертификата какого-либо защищенного сайта, например «Личного кабинета сотрудника СПбГГТУ» https://staff.spbstu.ru или Сбербанк Онлайн https://online.sberbank.ru. Опишите, кем на какой срок, для какого субъекта сертификат был выдан.

Теперь рассмотрим другой вариант — мы подключаемся по SSL к Wcb-серверу, а браузер не может проверить его подлинность или сообщает, что используется сертификат, выданный для другого Webсервера. Например, подобная ситуация произойдет при подключении в раздел Интернет-обслуживания оператора мобильной связи Tele2 по ссылке https://www.selfcare.tcle2.ru/work.html (на рис. 5.16).

Рис. 5.16. Браузер сообщает о проблеме с сертификатом.

Если нажать ссылку «Продолжить открытие этого Web-узла» {англ. Continue to this website), можно будет просмотреть сертификат.

Задание.

Разберитесь, в чем проблема с указанным сертификатом (на всякий случай в конце описания лабораторной работы приведен ответ).

Теперь рассмотрим, как хранятся сертификаты. Операционная система Windows подцерживаег защищенные хранилища ключей и сертификатов. Работать с хранилищем можно, используя настройку консоль управления ММС «Сертификаты».

Из меню Пуск" Выполнить запустите консоль командой mmc. В меню Консоль выберите Добавить или удалить оснастку, а в списке оснасток выберите Сертификаты {англ. Certificates). Если будет предложен выбор (а эго произойдет, если вы работаете с правами администратора), выберите пункт «Моей учетной записи».

С помощью оснастки можно просматривать сертификаты текущего пользователя. Если ранее сертификаты не запрашивались, то в разделе «Личные сертификаты» элементов не будет.

В разделе «Доверенные корневые центры сертификации» (англ. Trusted Root Certification Authorities) представлен достаточно обширный список центров, чьи сертификаты поставляются вместе с операционной системой. Найдите в нем сертификаты удостоверяющего центра Thawte. Благодаря тому, что они уже были установлены, в рассмотренном в начале работы примере с подключением к почтовому серверу Рамблер браузер мог подтвердить подлинность узла.

Перейдем к раздел «Сертификаты, к которым нет доверия» (англ.Untrustcd Certificates). Там находятся отозванные сертификаты, в частности, два сертификата, которые неизвестные получили от имени корпорации Microsoft в центре сертификации VeriSign в 2001 году. Когда это выяснилось, сертификаты отозвали (рис. 5.17).

Рис. 5.17. Отозванные сертификаты.

Теперь рассмотрим процесс запроса сертификата. Некоторые удостоверяющие центры позволяют получить «персональный» сертификат для защиты электронной почты с помощью протокола S/MIME (как разбиралось в разделе 3.1 данного пособия, для распределения ключей в S/MIME нужен сертификат формата Х.509). Например, их предоставляет удостоверяющий центр COMODO http://www.comodo.com/home/email-security/free-email-certificate.php.

Чтобы получить сертификат, понадобится заполнить небольшую анкету, указав имя, фамилию, адрес электронной почты (должен быть действующим), пароль для восстановления. Когда все заполнено, на указанный адрес почты будет отправлено письмо со ссылкой, по которой надо пройти для завершения процедуры получения сертификата. Полученный цифровой сертификат будет помещен в хранилище, в чем можно убедиться с помощью оснастки «Сертификаты».

Если использовать сертификат для защиты почты, дальнейшая настройка зависит от почтового клиента. Если это Microsoft Outlook 2010, требуемая настройка делается в меню Файл-> Параметры -> Центр управления безопасностью -> Защита электронной почты. Там можно выбрать используемый сертификат и алгоритмы шифрования (рис. 5.18).

Рис. 5.18. Настройка S/MIME для Outlook.

Чтобы использовать возможности S/MIME в Outlook 2010, в окне сообщения перейдите на вкладку «Параметры» и выберите «Подписать» и/или «Шифровать».

Настройка других почтовых клиентов выполняется во многом аналогично.

Задание.

Запросите цифровой сертификат и настройте почтовый клиент для использования S/MIME. Отправьте письмо с электронной подписью.

Ответ на задание про сертификат на сайте Tele2.

Проблема была в том, что сертификат был выдан для узла https://my.tele2.ru. Мы же воспользовались ссылкой с именем https://www.selfcare.tele2.ru и получили сертификат, формально не соответствующий адресу узла.

Доверять или нет такому сертификату — зависит от конкретного случая.