V poslednej dobe sa so závideniahodnou pravidelnosťou musíme zaoberať HTTPS / SSL. Vždy, keď sa objaví takýto projekt, dokážem zabudnúť, ako sa to robí. Aby som uľahčil obnovenie vedomostí v pamäti, rozhodol som sa preložiť materiály odtiaľto. Postupne sa však preklad vzďaľoval od originálu.

SSL je rodina protokolov na vytvorenie šifrovaného spojenia medzi dvoma stranami, ktoré si chcú vymieňať údaje. Ide o výmenu, pri ktorej sa spájajúce strany dohodnú, aké šifrovacie mechanizmy každá z nich podporuje, akú dĺžku kľúča použiť, režimy šifrovania, vymieňajú sa certifikáty, na výmenu symetrického šifrovacieho protokolového kľúča sa používa algoritmus asymetrického šifrovania, ktorý sa potom použije v ďalšej interakcii. Táto počiatočná výmena údajov sa nazýva handshake.

Symetrický kľúč sa generuje počas handshake a je platný iba pre jednu reláciu SSL. Ak relácia nezostane aktívna, kľúč sa stane zastaraným (vyprší). Je možné nastaviť maximálny čas, po ktorom uplynie platnosť relácie SSL. Po uplynutí relácie je potrebné podanie ruky zopakovať od začiatku. Výsledkom nastavenia relácie je nový symetrický kľúč.

Certifikáty a kľúče

Predtým, ako sa ponoríme do podrobností o SSL, musíme predstaviť koncept kľúčov a certifikátov. SSL/TLS používa asymetrické šifrovanie na autentifikáciu a na výmenu symetrického kľúča, ktorý sa použije na šifrovanie údajov počas relácie.

Použitie asymetrického šifrovania párov kľúčov na šifrovanie súkromný kľúč a jeho zodpovedajúci verejný kľúč. Údaje zašifrované jedným kľúčom je možné dešifrovať pomocou párového kľúča. Podobne údaje podpísané jedným kľúčom možno overiť pomocou druhého kľúča. Súkromný kľúč, ako naznačuje jeho názov, musí byť utajený.

Certifikáty.

Certifikát pozostáva z verejného kľúča spolu s niektorými informáciami, ktoré identifikujú vlastníka, a dátumom vypršania platnosti kľúča. Certifikát obsahuje aj digitálny podpis organizácie, ktorá certifikát vydala (certifikačná autorita CA). Digitálny podpis zabezpečuje, že certifikát nebol sfalšovaný. Certifikát sa zvyčajne vydáva webovému serveru, aplikácii alebo používateľovi. Certifikát je spôsob, ako distribuovať verejný šifrovací kľúč.

Ak klient zašifruje správu verejným kľúčom servera (z certifikátu servera), klient si môže byť istý, že správu môže dešifrovať iba legitímny server. Počas procesu vytvárania relácie SSL/TLS klient vygeneruje časť kľúča relácie, zašifruje správu pomocou verejného kľúča servera a odošle ju na server. Ak je server tým, za koho sa vydáva, bude schopný dešifrovať správu pomocou súkromného kľúča a extrahovať kľúč relácie zo správy.

Certifikáty sú dvoch typov.

• Oficiálne vydané certifikáty podpísané certifikačnou autoritou
• Certifikáty s vlastným podpisom

Certifikáty s vlastným podpisom sú certifikáty zavedené na testovanie, aby vývojári mohli testovať svoj softvér bez čakania na oficiálne podpísaný certifikát. Certifikát s vlastným podpisom sa líši v tom, že jeho pravosť nemožno overiť, pokiaľ ste ho osobne nevyrobili alebo ste ho nedostali na digitálnom médiu z dôveryhodného zdroja. Inak sú certifikáty s vlastným podpisom úplne rovnaké ako tie oficiálne. Programovo sa dajú použiť úplne rovnakým spôsobom.

Dôvera

Kľúčovým konceptom pripojenia SSL je koncept dôvery v certifikát. Dôležitý je spôsob získania certifikátu použitého na pripojenie. Ak získate certifikát z dôveryhodného zdroja, akým je napríklad vlastník stránky, môžete si byť istí, že certifikát je pravý a že sa skutočne pripájate k skutočnej stránke. Pri vytváraní spojenia napríklad z webového prehliadača však možno certifikát servera získať práve zo servera, ku ktorému sa pripájate. Je tu otázka pravosti certifikátu. Čo ak si hacker vytvoril svoj vlastný asymetrický pár kľúčov a potom vytvoril svoj vlastný certifikát na sfalšovanie servera banky?

Model dôvery, jednoduchý. Každý klient alebo server sa rozhodne, že dôveruje určitým organizáciám (certifikačným autoritám (CA)), ktoré vydávajú certifikáty. Dôverovať CA znamená dôverovať, že všetky certifikáty vydané CA sú legitímne a že identifikačné informácie v certifikáte sú správne a dôveryhodné. Verisign je príkladom certifikačnej autority, ktorá podpisuje mnohé certifikáty pre veľké internetové spoločnosti. Všetky prehliadače štandardne dôverujú Verisignu. Informácie o identite certifikátu obsahujú digitálny podpis vygenerovaný CA. Klient alebo server dôveruje CA pridaním certifikátu do súboru úložiska s názvom 'truststore'. Uloženie certifikátu CA v úložisku dôveryhodnosti umožňuje Jave skontrolovať digitálny podpis certifikátu vygenerovaného CA a rozhodnúť, či bude certifikátu dôverovať alebo nie.

Ak hacker umiestni falošný certifikát pre Barclay's Bank, váš prehliadač sa pokúsi overiť digitálny podpis certifikátu. Táto kontrola zlyhá, pretože v úložisku dôveryhodnosti nie je žiadny certifikát, ktorý podpísal útočníkov certifikát.

Certifikačný reťazec

V praxi je formát certifikátov taký, že certifikát môže obsahovať viacero podpisov. Certifikát uchováva nie jeden podpis, ale určitý „reťazec certifikátov“

Keď sa vygenerujú súkromné ​​a verejné kľúče, automaticky sa pre verejný kľúč vygeneruje certifikát s vlastným podpisom. Tie. na začiatku získate pár súkromných kľúčov a certifikát obsahujúci podpísaný verejný kľúč. Certifikát s vlastným podpisom je certifikát, v ktorom je tvorca kľúča a podpisovateľ jedna a tá istá osoba.

Neskôr, po vygenerovaní žiadosti o podpis certifikátu (CSR) a prijatí odpovede od certifikačnej autority (CA), je certifikát s vlastným podpisom (samopodpísaný) nahradený reťazcom certifikátov (Сertificate Chain). Do reťazca sa pridá certifikát od CA, ktorý potvrdzuje pravosť verejného kľúča, za ním nasleduje certifikát potvrdzujúci pravosť verejného kľúča CA.

V mnohých prípadoch je posledný certifikát v reťazci (overujúci verejný kľúč CA) sám podpísaný. V iných prípadoch môže CA vrátiť nie jeden, ale celý reťazec certifikátov. V tomto prípade je prvým v reťazci verejný kľúč podpísaný CA, ktorá vydala certifikát, a druhým certifikátom môže byť certifikát inej CA, ktorý overuje verejný kľúč prvej CA, ktorej bola odoslaná žiadosť o podpis. Potom bude nasledovať certifikát potvrdzujúci pravosť verejného kľúča druhej CA atď. kým reťaz neskončí koreňovým koreňovým certifikátom s vlastným podpisom. Každý certifikát v reťazci overuje verejný kľúč predchádzajúceho certifikátu v reťazci.

Pozrime sa bližšie na SSL. Existujú dva typy pripojení SSL.

Jednoduché overenie (jednosmerné overenie SSL)

Pred vytvorením šifrovaného spojenia SSL/TLS sa musí vykonať autentifikácia. Aby sa vytvorilo jednoduché spojenie, musí byť nainštalovaný server so súkromným kľúčom, pre ktorý bol získaný certifikát. Klient musí viesť aj zoznam CA, ktorým dôveruje.

Klient overí server pred vytvorením šifrovaného spojenia.

2-cestné overenie SSL

Pri tomto type autentifikácie server aj klient poskytujú certifikáty na vzájomnú autentifikáciu pred vytvorením šifrovaného spojenia.

Overenie certifikátu

Pri jednosmernej autentifikácii (prvý typ) má server certifikát so spárovaným súkromným kľúčom. Údaje zašifrované verejným kľúčom servera je možné dešifrovať súkromným kľúčom servera. Klient, ktorý chce nadviazať spojenie so serverom, overí certifikát servera predtým, ako pristúpi k nadviazaniu šifrovaného spojenia. Klient by mal skontrolovať nasledovné:

• Je certifikát stále platný (či už platnosť certifikátu vypršala (dátum vypršania platnosti uplynul))
• Certifikát poskytnutý serverom sa skutočne zhoduje s názvom hostiteľa.
• Je vydavateľ certifikátu CA na zozname, ktorému klient dôveruje?
• Skontrolujte digitálny podpis na certifikáte

Kontrolujú sa aj ďalšie drobné detaily, ako napríklad šifrovací algoritmus digitálneho podpisu, dĺžky kľúčov atď.

Pri obojsmernej autentifikácii klient aj server vlastnia súkromné ​​kľúče a certifikáty. Obaja si pred vytvorením šifrovaného spojenia navzájom overia svoje certifikáty. Klient vykoná kontroly popísané vyššie a server urobí to isté s klientským certifikátom.

Žiadosť o podpis a podpis certifikátu

Vytváranie kľúčov a certifikátov je regulované normami.

Kľúče sa generujú podľa PKCS….

Keď sa vygeneruje pár verejný/súkromný kľúč, vytvorí sa objekt žiadosti o certifikát nazývaný požiadavka na podpis certifikátu (CSR), ako je definované štandardom PKCS#10. Dôveryhodná CA (certifikačná autorita) sa potom musí rozhodnúť, či chce CSR podpísať, či dôveruje klientovi žiadajúcemu o registráciu a údajom, ktoré uvádza vo svojom certifikáte.

Ak sa CA (certifikačná autorita) rozhodne dôverovať žiadosti o podpis certifikátu (CSR), výsledkom je vydanie podpísaného certifikátu s identitou uvedenou v CSR. Certifikát sa riadi štandardom X.509.

"RBS BS-Client. Private Client" v.2.5

Nastavenie prístupových kanálov. Protokoly TLS/SSL

Verzia 2.5.0.0

1. Abstrakt

Tento dokument obsahuje informácie aktuálne v čase jeho zostavenia. nezaručuje absenciu chýb v tomto dokumente. si vyhradzuje právo na zmeny v dokumente bez predchádzajúceho upozornenia.

Tento dokument je určený pre správcov systému.

Dokument obsahuje informácie o práci v systéme s protokolmi TLS/SSL určenými na riešenie tradičných úloh zabezpečenia ochrany interakcie informácií klient/server.

1. Abstrakt. 2

2. Princípy fungovania protokolov TLS/SSL. štyri

3. Secure Socket Layer (SSL). 6

3.1. Vytvorenie žiadosti o certifikát SSL 7

3.2. Inštalácia certifikátu SSL 14

3.3. Nastavte SSL na webe. 17

4. Zabezpečenie transportnej vrstvy (TLS). osemnásť

4.1. Postupnosť konfigurácie obojsmerného protokolu SSL (TLS) 18

4.2. Generovanie certifikátu a tajných kľúčov pre webový server. 19

4.3. Inštalácia certifikátu servera (vykonávaná na počítači webového servera) 22

4.4. Priradenie certifikátu webovej stránke. 31

4.5. Nastavenie obojsmerného protokolu SSL na webovej lokalite. 35

4.6. Konfigurácia BSI - RTS pre obojsmerný SSL 36

4.7. Generovanie certifikátu a súkromných kľúčov klienta. 38

4.8. Inštalácia klientskeho certifikátu (vykonávaná na klientskom počítači) 39

2. Princípy fungovania protokolov TLS/SSL

Na vytvorenie spojenia medzi Klientom a Bankou poskytuje systém „Súkromný klient“ dva kanály s potrebnými nástrojmi na zabezpečenie informácií:

SSL - Secure Socket Layer

TLS - Transport Layer Security

Protokoly TLS/SSL sú určené na riešenie tradičných úloh zabezpečenia ochrany interakcie informácií, ktoré sa v prostredí klient/server interpretujú nasledovne:

· Pri pripájaní na server si musí byť užívateľ istý, že si nevymieňa informácie s falošným serverom, ale s tým, ktorý potrebuje (inak to môže viesť k zvedavým, ak nie smutným dôsledkom). V mnohých aplikáciách je tiež potrebné, aby server dokázal spoľahlivo identifikovať klienta, neobmedzoval sa len na ochranu heslom;

Po nadviazaní spojenia medzi serverom a klientom musí byť celý tok informácií medzi nimi chránený pred neoprávneným prístupom;

· Pri výmene informácií si strany musia byť istí, že počas ich prenosu nedochádza k náhodným alebo úmyselným skresleniam.

Protokoly TLS/SSL riešia tieto problémy nasledujúcim spôsobom:

· Identitu partnerov možno určiť pomocou asymetrickej kryptografie (napr. RSA , GOST (pri použití CryptoPro TLS) atď.). Toto overenie môže byť voliteľné, ale vyžaduje sa aspoň pre jedného z partnerov.

· Pripojenie je dôverné. Symetrická kryptografia sa používa na šifrovanie dát (napr. DES , RC4 , GOST (pri použití CryptoPro TLS) atď.). Šifrovacie kľúče sa generujú nezávisle pre každé pripojenie a sú založené na tajomstve získanom pomocou iného protokolu (napríklad konverzačného protokolu TLS).

· Pripojenie je spoľahlivé. Procedúra prenosu správ zahŕňa kontrolu integrity pomocou výpočtu MAC. Na výpočet >MAC sa používajú hašovacie funkcie (napr. SHA, MD5 atď.).

Tieto protokoly predpokladajú, že protokol logického spojenia (napríklad TCP) sa používa ako prenosový protokol a pozostáva z dvoch vrstiev. Prvá vrstva obsahuje aplikačný protokol a tri takzvané protokoly handshake: protokol na vytvorenie relácie SSL (Handshake Protocol), protokol na zmenu špecifikácie šifry (Change Cipher Spec Protocol) a signalizačný protokol (Alert Protocol). Druhou vrstvou je tzv. záznamový protokol.

Protokoly handshake sú zodpovedné za vytvorenie alebo obnovenie zabezpečených relácií.

Záznamový protokol vykonáva nasledujúce funkcie:

· Rozdeľuje dáta prijaté z aplikačnej vrstvy do blokov a zbiera prichádzajúce bloky na prenos do aplikačnej vrstvy.

· Komprimuje odchádzajúce dáta a dekomprimuje prichádzajúce dáta.

· Pripája MAC alebo hash k odchádzajúcim dátovým blokom a používa pripojenú MAC na overenie integrity tých prichádzajúcich.

· Šifruje odchádzajúce a dešifruje prichádzajúce dátové bloky.

Na šifrovanie prenášaných údajov sa používa symetrická kryptografia, to znamená, že rovnaký kľúč dokáže šifrované údaje zašifrovať aj dešifrovať.

Každá strana má sadu dvoch kľúčov (rovnaké pre obe strany), ktoré sa používajú na šifrovanie prijatých/prenášaných údajov, a sadu dvoch kľúčov používaných na vytvorenie MAC (HMAC).

Počas prenosu sa dáta rozdelia do blokov, pre každý blok sa vypočíta MAC (alebo HMAC v prípade TLS), prijatá hodnota sa pripočíta k prenášanému bloku, potom sa každý blok zašifruje kľúčom relácie a prenesie sa do prijímacia strana.

Po prijatí sa blok dešifruje, vypočíta sa z neho MAC (alebo HMAC v prípade TLS), prijatá hodnota sa porovná s hodnotou prenášanou s blokom (kontrola integrity dát).

Pri používaní softvéru CryptoPro TLS je možné použiť kryptografické šifrovacie algoritmy v súlade s GOST, výmenu kľúčov podľa algoritmu Diffie-Hellman a hašovanie v súlade s GOST R 34.11-94.

Štandardná implementácia protokolov SSL/TLS pre OS Windows môže správne fungovať iba s algoritmom RSA.

Vlastnosti TLS

TLS je založené na špecifikácii protokolu SSL 3.0 publikovanej spoločnosťou Netscape. Rozdiely medzi týmto protokolom a SSL 3.0 sú malé, ale sú dostatočné na to, aby boli TLS 1.0 a SSL 3.0 nekompatibilné (hoci TLS 1.0 má mechanizmus, pomocou ktorého môžu aplikácie podporovať SSL 3.0).

Vylepšenia v TLS cez SSL:

· V TLS bol algoritmus MAC (Message Authentication Code) používaný v SSL na výpočet hash správy nahradený silnejším algoritmom HMAC (keyed-Hashing for Message Authentication Code).

Protokol TLS štandardizovaný v RFC 2246

· Pridané niektoré alarmové správy

· TLS umožňuje používanie certifikátov vydaných podriadenou (nie koreňovou) CA.

· TLS špecifikuje hodnoty bloku výplne, ktoré sa používajú s algoritmami blokovej šifry.

Algoritmy Fortezza nie sú zahrnuté v TLS RFC, pretože nie sú prístupné verejnosti (toto je politika Internet Engineering Task Force (IETF)

· Menšie rozdiely v rôznych poliach správ.

Výhody a nevýhody pri používaní SSL

Výhody:

Nevyžaduje inštaláciu dodatočného softvéru na počítač klienta.

Menšie využitie systémových prostriedkov, keďže prevádzka je chránená symetrickými kryptografickými algoritmami, ktoré sú menej náročné na zdroje.

mínusy:

Medzi stranami dochádza k výmene kľúčových informácií.

Výhody a nevýhody pri používaní TLS

Výhody:

Na šifrovanie prevádzky, podpisovanie paketov a výmenu kľúčových informácií sa používajú bezpečnejšie algoritmy ako v prípade SSL.

mínusy:

Táto možnosť je dostupná len pri použití kryptografie CryptoPro CSP/TLS.

Na pracovnej stanici klienta (CryptoPro) je potrebné nainštalovať dodatočný softvér.

3. Secure Socket Layer (SSL)

Secure Socket Layer (SSL) je bezpečnostný protokol vyvinutý v roku 1996 spoločnosťou Netscape, ktorý poskytuje bezpečné spojenie medzi klientskym webovým prehliadačom a webovým serverom. SSL je neoddeliteľnou súčasťou väčšiny webových prehliadačov a webových serverov a používa šifrovanie RSA. Protokol SSL poskytuje bezpečný prenos údajov pomocou dvoch hlavných komponentov:

· Overenie;

· Šifrovanie.

Pre implementáciu zabezpečeného pripojenia pomocou protokolu SSL je potrebné, aby bol na webovom serveri nainštalovaný digitálny SSL certifikát. Digitálny certifikát SSL je súbor, ktorý jedinečne identifikuje server, ku ktorému sa pripájate. Digitálny certifikát sa niekedy označuje ako digitálny pas alebo digitálny identifikátor.

SSL certifikát obsahuje nasledujúce podrobné informácie:

doména, na ktorú bol certifikát vydaný;

vlastník certifikátu;

· Konfigurácia WWW servera a vytvorenie novej webovej stránky pre internetového klienta pre prácu cez obojsmerný SSL (TLS).

· Konfigurácia modulu BSI.

· Konfigurácia modulu RTS.

· Generovanie kľúčov a žiadosti o certifikát pre webový server.

· Generovanie klientskeho certifikátu.

· Nainštalujte certifikáty na príslušné počítače.

· Priradenie nainštalovaného certifikátu k webovému serveru.

· Nastavte obojsmerné SSL (TLS) na webovej stránke.

4.2. Certifikát webového servera a generovanie súkromného kľúča

Kľúče a žiadosť o certifikát webového servera je možné vygenerovať pomocou štandardných nástrojov RBS.

Ak to chcete urobiť, vyberte položku ponuky Zabezpečenie -> Ochrana kryptomien -> Manuálne generovanie certifikátu.

ð Otvorí sa dialógové okno. Generovanie žiadosti o certifikát a súkromného kľúča(Obr. 4‑1).

Ryža. 4-1 Generovanie žiadosti o certifikát a súkromného kľúča

https://pandia.ru/text/78/460/images/image023_1.jpg" width="411" height="466 src=">

Ryža. Obrázok 4-3 Dialógové okno Vlastnosti CryptoPro CSP

・Prejsť na záložku servis a kliknite na tlačidlo « Inštalácia Osobný certifikát" .

"Sprievodca inštaláciou súkromného certifikátu"(Obr. 4‑4).

Ryža. 4‑4 Dialógové okno « Sprievodca inštaláciou súkromného certifikátu

· Kliknite na tlačidlo "Ďalej".

Nastavenia certifikátu (obr. 4‑5).

Ryža. 4‑5 Dialógové okno Inštalácia certifikátu

· Vyberte požadovaný súbor certifikátu a kliknite na tlačidlo Ďalej.

ð Otvorí sa nasledujúce okno na inštaláciu certifikátu (obr. 4‑6).

Ryža. 4‑6 Dialógové okno Inštalácia certifikátu

· Kliknite na tlačidlo "Ďalej".

ð Tým sa otvorí nasledujúci dialóg inštalácie certifikátu (obr. 4‑7).

Ryža. 4-7 Dialógové okno Inštalácia certifikátu

· Pri výbere kontajnera kľúčov zadajte „Počítač“ a potom vyberte požadovaný kontajner. Kliknite na tlačidlo "Ďalej".

ð Tým sa otvorí nasledujúce dialógové okno na inštaláciu certifikátu (obr. 4‑8).

Ryža. 4‑8 Dialógové okno Inštalácia certifikátu

· Kliknite na tlačidlo "Prehľadávať".

ð Tým sa otvorí dialógové okno « VyberteCertifikátobchod"(Obr. 4‑9).

https://pandia.ru/text/78/460/images/image030.jpg" width="502" height="385 src=">

Ryža. 4‑10 Dialógové okno Inštalácia certifikátu

· Kliknite na tlačidlo „Dokončiť“.

ð Certifikát servera teda skončí v osobnom adresári lokálneho počítača s odkazom nainštalovaným na úrovni OS s kontajnerom tajných kľúčov.

Na inštaláciu certifikátu môžete použiť položky v hlavnom menu Windows « začať- > bežať" .

ð Tým sa otvorí okno « bež"(Obr. 4‑11).

Microsoft" href="/text/category/microsoft/" rel="bookmark">Microsoft zvládaniekonzola".

· Vyberte položku hlavného menu mmc "Console -> New" alebo stlačte klávesy "Ctrl+N".

ð Tým sa otvorí dialógové okno « Konzola koreň"(Obr. 4‑12).

https://pandia.ru/text/78/460/images/image033_0.jpg" width="415" height="309 src=">

Ryža. 4‑13 Dialógové okno Pridať/Odobrať modul snap-in

· Kliknite na tlačidlo "Pridať".

ð Tým sa otvorí dialógové okno « PridaťSamostatneSnap-v"(Obr. 4‑14).

https://pandia.ru/text/78/460/images/image035_0.jpg" width="523" height="195 src=">

Ryža. 4‑15 Dialógové okno Snap-in certifikátov

· Zaškrtnite políčko "Počítačový účet" a kliknite na tlačidlo "Ďalej".

ð Na obrazovke sa zobrazí dialógové okno. « VybertePočítač »(Obr. 4‑16).

https://pandia.ru/text/78/460/images/image037.jpg" width="415" height="292 src=">

Ryža. 4‑17 Dialógové okno Pridať/Odobrať modul snap-in

· Kliknite na tlačidlo OK.

ð Tým sa otvorí okno Konzola koreň(Obr. 4‑18), ktorý obsahuje zoznam certifikátov Miestnepočítač.

https://pandia.ru/text/78/460/images/image039.jpg" width="474" height="345 src=">

ð Otvorí sa okno sprievodcu nastavením « Certifikátimportovaťčarodejník".

· Kliknite na tlačidlo "Ďalej".

ð Otvorí sa nasledujúce dialógové okno « Certifikátimportovaťčarodejník"(Obr. 4‑20).

Ryža. 4‑20 Dialógové okno "Sprievodca importom certifikátu»

· Zadajte cestu k súboru certifikátu autorizačného centra a kliknite na tlačidlo Ďalej.

ð Otvorí sa nasledujúce dialógové okno « Certifikátimportovaťčarodejník".

· Zaškrtnite políčko „Automaticky zistiť umiestnenie certifikátu alebo ho umiestniť do určeného adresára“ a kliknite na tlačidlo „Ďalej“.

ð Otvorí sa nasledujúce dialógové okno « Certifikátimportovaťčarodejník".

· Na dokončenie postupu a zatvorenie okna sprievodcu nastavením kliknite na tlačidlo „Dokončiť“.

· Pri zatváraní Microsoft zvládanie Konzola ( MMC) kliknite na tlačidlo « Áno" pre uloženie vašich nastavení.

4.4. Priradenie certifikátu webovej stránke

Postup nastavenia obojsmerného protokolu SSL:

· Spustite Správcu internetových služieb ("Štart -> Nastavenia -> Ovládací panel -> Nástroje na správu -> Správca internetových služieb").

· V okne, ktoré sa zobrazí naľavo, otvorte strom „Internetové informačné služby“.

ð V strome sa objaví vetva *<сетевое имя Вашего компьютера>.

· V zozname stránok vyberte stránku, ktorá potrebuje nakonfigurovať obojsmerné SSL a otvorte "Vlastnosti".

Pozor!

Táto časť popisuje iba dodatočnú konfiguráciu stránky, aby správne podporovala prevádzku kanála s obojsmerným typom ochrany SSL. Ďalej je možné konfigurovať iba parametre uvedené nižšie. Všetky ostatné parametre zostávajú nezmenené.

· Prejdite na kartu „Zabezpečenie adresára“ (Obr. 4‑21).

https://pandia.ru/text/78/460/images/image003_23.jpg" width="503" height="386 src=">

· Kliknite na tlačidlo "Ďalej".

ð Tým sa otvorí dialógové okno « IISCertifikátčarodejník"(Obr. 4‑22).

https://pandia.ru/text/78/460/images/image043.jpg" width="503" height="248 src=">

Ryža. 4‑23 Dialógové okno Sprievodca certifikátom IIS

· Vyberte nainštalovaný certifikát zo zoznamu a kliknite na tlačidlo Ďalej.

ð Otvorí sa nasledujúce dialógové okno « IISCertifikátčarodejník"(Obr. 4‑24).

Ryža. 4‑24 Dialógové okno Sprievodca certifikátom IIS

· Kliknite na tlačidlo "Ďalej".

ð Otvorí sa nasledujúce dialógové okno « IISCertifikátčarodejník"(Obr. 4‑25).

DIV_ADBLOCK427">

Pozor!

Stránka musí byť vytvorená a nakonfigurovaná podľa dokumentu „Sprievodca inštaláciou a konfiguráciou systému“.

Táto časť popisuje iba dodatočnú konfiguráciu stránky, aby správne podporovala prevádzku kanála s obojsmerným typom ochrany SSL. Ďalej je možné konfigurovať iba parametre uvedené nižšie. Všetky ostatné parametre zostávajú nezmenené.

· Prejdite na kartu "Zabezpečenie adresára".

· V časti „Zabezpečená komunikácia“ kliknite na tlačidlo „Upraviť“.

V dialógovom okne, ktoré sa otvorí, začiarknite nasledujúce políčka:

▼ Vyžadovať zabezpečený kanál

▼ Vyžadovať klientske certifikáty.

4.6. Konfigurácia BSI - RTS pre obojsmerné SSL

Nástroj sa používa na konfiguráciu. BSISET. exe . Nastavenia sa vykonávajú nasledovne:

· Spustite pomôcku bsiset. exe (nástroj sa nachádza v adresári "%BSSRoot%\EXE").

ð Tým sa otvorí dialógové okno « Vyberte siBSI. DLLumiestnenie» .

· Do poľa "Knižnica" zadajte cestu k súboru bsi. dll. Ak boli nastavenia modulu BSI vykonané skôr, cestu je možné vybrať zo zoznamu nižšie. Ak chcete vybrať cestu k bsi. dll ručne použite tlačidlo.

· Kliknite na tlačidlo "Upraviť".

ð Tým sa otvorí dialógové okno nastavení " BSIKonfigurácia".

Pre typ použitej ochrany klientskeho kanála - obojsmerná SSL ( TLS) je potrebné upraviť konfiguráciu RTS .

· Musíte vytvoriť novú konfiguráciu pre RTS. Ak chcete vytvoriť nové nastavenie, v pravej časti okna na karte Konfigurácie kliknite na tlačidlo Nové.

ð Tým sa vytvorí nová konfigurácia s názvom Nová vec, ktorý je možné premenovať.

ð Ak chcete skopírovať predvolenú konfiguráciu, spustite pomocný program bsiset. exe. Kliknite na tlačidlo Upraviť. Vyberte požadovanú konfiguráciu a kliknite na tlačidlo „Nová kópia“.

· Umiestnite kurzor na riadok "NewItem" a do poľa "ConfigID" zadajte názov nastavenia.

· Potom s kurzorom na názov nového nastavenia kliknite na tlačidlo „Konfigurácia“.

ð Na obrazovke sa zobrazí okno nastavení. « BSInastaviť».

· Otvorte sekciu "Možnosti" a prejdite na kartu "Autentifikácia".

· Musíte nastaviť typ autentifikácie klienta. Ak to chcete urobiť, začiarknite políčko „Identifikovať podľa klientskeho certifikátu (TLS)“.

Ak chcete nakonfigurovať parametre RTS, nájdite ikonu servera na systémovej lište, kliknite na ňu pravým tlačidlom myši:

ð Tým sa aktivuje kontextové menu.

V kontextovej ponuke vyberte príkaz „Nastavenia...“.

ð Tým sa otvorí dialógové okno "Nastavenie".

· Otvorte časť „Možnosti“ a prejdite na kartu „Identifikácia klienta“ (Obr. 4‑26).

https://pandia.ru/text/78/460/images/image049_0.jpg" width="510" height="368">

Ryža. 4-27 Vygenerujte žiadosť o certifikát a súkromný kľúč pre klienta

Zadajte meno predplatiteľa, vyberte typ kryptoknižnice - Ms Crypto Api 2.0 a kliknite na tlačidlo Ďalej.

ð Na obrazovke sa zobrazí nasledujúce okno na zadanie parametrov certifikátu.

Pri generovaní klientskeho certifikátu zadajte v tomto okne nasledujúce hodnoty parametrov:

Rozsah certifikátu 1.3.6.1.5.5.7.3.2;

Rozsah tajného kľúča DigitalSignature;NonRepudiation;KeyEncipherment; Šifrovanie údajov. typy.

4.8. Inštalácia klientskeho certifikátu (vykonávaná na klientskom počítači)

Na inštaláciu klientskeho certifikátu použite ovládací panel CryptoPro (Obr. 4‑28).

Použite položky hlavnej ponuky systému Windows Štart -> Nastavenie -> Ovládací panel -> CryptoPro CSP.

Ryža. 4‑28 Spustenie nastavenia CryptoPro CSP

· Otvorí sa okno Vlastnosti: CryptoPro CSP.

・Otvoriť stránku servis a stlačte tlačidlo Inštalácia Osobné Certifikát.

· Otvorí sa okno Sprievodca inštaláciou súkromného certifikátu.

・Kliknite na tlačidlo Ďalšie.

Vyberte požadovaný súbor certifikátu a kliknite na tlačidlo Ďalšie..

· Otvorí sa nasledujúce okno na inštaláciu certifikátu.

・Kliknite na tlačidlo Ďalšie.

Otvorí sa nasledujúce okno na inštaláciu certifikátu.

Ryža. 4‑29 Výber možností inštalácie certifikátu

Pri výbere kontajnera kľúčov zadajte „ užívateľ“, potom vyberte požadovanú nádobu. Kliknite na tlačidlo Ďalšie(Obr. 4‑29).

· Otvorí sa nasledujúce okno na inštaláciu certifikátu.

・Kliknite na tlačidlo Prehľadávať.

· Otvorí sa okno Vyberte Sklad certifikátov.

Zadajte adresár osobné nainštalujte certifikát a kliknite Dobre.

Potom v okne na inštaláciu certifikátu kliknite na tlačidlo Ďalšie.

· Otvorí sa nasledujúce okno s možnosťami inštalácie certifikátu.

・Kliknite na tlačidlo Skončiť.

Certifikát servera teda skončí v osobnom úložisku aktuálneho používateľa.

Nastavenie platobných systémov

Nastavenie platobných systémov do značnej miery závisí od toho, ako samotný prevádzkovateľ platobného systému zabezpečuje komunikáciu so svojimi terminálmi. Ak sa používajú mestské platobné terminály, spravidla sa používa zabezpečené pripojenie SSL a musíte povoliť a nakonfigurovať SSL WEB server na komunikáciu s terminálmi, ako je uvedené nižšie. Ak sa na platby používajú webové stránky na internete, ako často je v takýchto prípadoch potrebné nakonfigurovať http server pre Carbon Billing. Pred nastavením Carbon Billingu si u prevádzkovateľa platobného systému najprv overte, na akom komunikačnom protokole poskytuje pripojenie k svojim platobným terminálom.
SSL WEB server pre platby má niekoľko parametrov, ktorých význam je popísaný nižšie.

Povoliť SSL WEB server pre platby- Ak prevádzkovateľ platobného systému pracuje s platobnými terminálmi cez SSL, potom je potrebné povoliť SSL WEB server.
IP adresa pre pripojenie HTTPS- adresa pre pripojenie terminálov alebo stránok platobných systémov na uskutočnenie platby klientovi v databáze Carbon Billing.
Port pre pripojenie HTTPS- predvolene sa používa port 1443. Ak je potrebné tento port zmeniť, ak je to možné, zadajte porty vyššie ako 1024.
Povolené adresy klientov pre SSL WEB server
Doména pre serverový certifikát SSL- tu uveďte svoju verejnú doménu alebo doménu registrovanú samostatne pre platobný server na Carbon Billing. Táto možnosť je voliteľná a umožňuje vám kontaktovať webový server SSL pomocou názvu domény namiesto adresy IP.
Vyžadovať a overiť klientsky certifikát- Nezabudnite skontrolovať, či nastavujete webové rozhranie pokladne. Ak si nastavujete prácu s platobným systémom, tak si overte potrebu overenia klientskeho certifikátu u prevádzkovateľa platobného systému.
Vytvorte klientsky certifikát- Vytvorí sa klientsky certifikát, ktorý bude potrebné poskytnúť prevádzkovateľovi platobného systému. Certifikát s príponou .pfx bude dostupný na serveri v adresári /var/lib/usrcert a bude mať názov súboru rovnaký ako názov CN, ktorý ste zadali pri vytváraní certifikátu. Súbor certifikátu si môžete stiahnuť zo servera pomocou programu winscp.

V prípade nastavenia HTTP WEB servera pre platby.

Povoliť HTTP server pre platby- Ak prevádzkovateľ platobného systému pracuje s platobnými terminálmi cez otvorené http spojenie, povoľte HTTP server.
IP adresa pre pripojenie HTTP- Adresa webového servera na pripojenie terminálov alebo platobných serverov.
Port pripojenia HTTP- štandardne sa používa port 1444. Ak je potrebné tento port zmeniť, ak je to možné, zadajte porty vyššie ako 1024.
Povolené adresy klientov pre server HTTP- ak nie je uvedené, prístup bude otvorený pre všetkých.

Ak využívate služby prevádzkovateľov platobných systémov uvedených nižšie na tejto karte, povoľte im zodpovedajúce položky ponuky. V budúcnosti budú tieto začiarkavacie políčka nastavovať špecifické systémové nastavenia požadované pre každého z operátorov, ktorých používate. Ak váš operátor nie je jedným z operátorov uvedených nižšie, neuvádzajte žiadneho z nich.

Pri nastavovaní platobného systému Robokassa nezabudnite zadať tajné heslo potrebné na vytvorenie spojenia medzi terminálom a serverom.

Kritickosť parametra subjectAltName certifikátov ssl

Pri generovaní ssl certifikátov pre server, napríklad pre https platobný server, sa používa prípona subjectAltName. Historicky je toto rozšírenie v certifikáte štandardne označené ako kritické, čo môže viesť k problémom pri integrácii fakturácie s niektorými platobnými systémami.

Pri generovaní klientskych certifikátov nie je nastavený subjectAltName.

Kritickosť parametra je zrušená voľbou v lokálnej konzole "Konfigurácia servera - Pokročilé nastavenia - Nastavenia pre vývojárov - Nerobiť parameter AltName SSL kritickým".

Po povolení tejto možnosti sa všetky novovygenerované certifikáty servera vygenerujú s nekritickou príponou subjectAltName. Starý certifikát pre https platobný server bude potrebné ručne vygenerovať nasledovne:

1. Znovu pripojte oddiel obsahujúci konfiguráciu na rw (na to musí byť povolený režim vzdialeného asistenta):

Mount -o rw,remount /mnt/bk_disc/

2. Otvorte súbor /etc/ics/ics.conf pomocou editora a zakomentujte riadok MHTTPD_F_CERT .

3. Reštartujte platobný server https:

/etc/init.d/mhttpd_F reštartujte

Zmena certifikátu na platobnom serveri https nemá vplyv na predtým vygenerované klientske certifikáty pre pokladne alebo platobné systémy.

Nastavenie prijímania platieb cez http bez šifrovania

Ak je potrebné prijímať platby z platobných systémov pomocou nezabezpečeného protokolu http, je potrebné vykonať nasledujúce nastavenia:

1) Povoľte http server na prijímanie platieb.

2) Zadajte IP adresu, na ktorú sa majú prijímať požiadavky. Táto adresa musí patriť do jedného z rozhraní fakturácie uhlíka:

Potom zadajte port, na ktorom bude server prijímať požiadavky.

3) Vytvorte zoznam IP adries, z ktorých budú akceptované požiadavky. Toto je veľmi dôležitý krok, pretože http neznamená autorizáciu platobného systému prostredníctvom certifikátu:

Protokoly platobného systému Robokassa a Unikassa môžu štandardne pracovať s HTTP. Ak je napríklad potrebné prijať požiadavky na http pomocou protokolu OSMP, musíte urobiť nasledovné:

1) Načítajte server v ud. asistenta a pripojte sa cez ssh ako root.

2) Spustite nasledujúce príkazy:

Mount -o rw,remount /mnt/ro_disc chattr -i -R /var /www/fiscal/htdocs/http/ cp /var /www/fiscal/htdocs/osmp.php /var /www/fiscal/htdocs/http/ osmp.php chown mhttpd_F:mhttpd_F /var /www/fiscal/htdocs/http/osmp.php

V skripte musíte upraviť riadok:

Mcedit /var /www/fiscal/htdocs/http/osmp.php riadok: include "../include/class_page.php"; nahradiť: include "../../include/class_page.php";

Uložte súbor a ukončite editor.

Po mäkkom reštarte bude modul prijímania platieb OSMP dostupný na http://1.1.1.1:1444/osmp.php z IP adresy 2.2.2.2.

Prístup so záporným zostatkom

Môže byť implementovaný dvoma spôsobmi:

• Prostredníctvom editora pravidiel a tarifných sietí;
• Cez [súbor dodatočných nastavení ics_tune.sh]

Nastavenie prístupu na web

Ďalšie nastavenia servera webového prístupu

Nastavenie zabezpečeného pripojenia (na základe Secure Socket Layers, SSL)

V prípade potreby môžete nakonfigurovať ochranu pripojenias webovým prístupovým serverom DIRECTUM : Informácie prenášané cez komunikačné kanály budú šifrované. Aby ste mohli pracovať so zabezpečenými pripojeniami, postupujte takto:

1. Vykonajte zmeny v konfiguračnom súbore servera webového prístupu:

· Krok 1: Spustite konfiguračnú pomôcku servera Web Access Server C:\Program Files\DIRECTUM Company\WebAccessConfig\DirWebConfigurator.exe.

· Krok 2. Okno "Vyberte webovú stránku servera Web Access Server". DIRECTUM":

a) v rozbaľovacom zozname vyberte webovú stránku servera webového prístupu DIRECTUM . V predvolenom nastavení má názov „Web Access Server“. DIRECTUM";

b) kliknite na tlačidlo OK ;

· Krok 3. Okno "Web Access Server Settings". DIRECTUM “, záložka „Všeobecné“:

a) v rozbaľovacom zozname "Zabezpečené pripojenie" vyberte hodnotu "Pre vzdialené". Ak je potrebné vytvoriť bezpečné pripojenie pre používateľov lokálnej siete, vyberte hodnotu „Pre vzdialené a lokálne“;

b) kliknite na tlačidlo OK .

2. Nakonfigurujte službu IIS na prácu s protokolom SSL -pripojenie inštaláciou certifikátu overenia servera. Na tento účel sa vygeneruje certifikát s účelom „Poskytuje získanie identifikácie zo vzdialeného počítača“ s možnosťou exportu do služby podnikového certifikátu, v dôsledku čoho musíte získať *. pfx -súbor so súkromným kľúčom.

3. Ak používate Certificate Web Service Windows potom urobte nasledovné:

a) Pri generovaní certifikátu uveďte možnosť prípadného exportu certifikátu. Po nainštalovaní certifikátu do lokálneho systému je možné ho zobraziť pomocou internet Explorer – Položka ponuky „Možnosti internetu“, karta „Obsah“, tlačidlo Certifikáty . Ak chcete exportovať, použite tlačidlo Export , uveďte Áno, exportovať súkromný kľúč a zadajte heslo.

b) Importujte certifikát. Ak to chcete urobiť, na karte „Zabezpečenie adresára“ na karte vlastností webovej lokality kliknite na tlačidlo Certifikáty a podľa pokynov na obrazovke importujte certifikát pomocou hesla, ktoré ste nastavili v predchádzajúcom kroku. Po prijatí certifikátu sa vytvorí a funguje bezpečný port 443 pripojenia SSL bude možné.

4. Ak chcete podporovať otvorené (nezabezpečené) pripojenia, musíte túto možnosť nastaviť Povoliť podporu pre otvorené pripojenia HTTP na karte Webová lokalita vo vlastnostiach webovej lokality.

5. Aby ste mohli nainštalovať certifikát certifikačnej autority pomocou odkazu z prihlasovacej stránky, potrebujete používateľa, ktorý spúšťa aplikačnú skupinu " DIRECTUM “, povoľte „Čítať“ a „Vyžiadať certifikáty“ v module snap-in „Certifikačná autorita“ vo vlastnostiach požadovanej certifikačnej autority na karte „Zabezpečenie“.

Pozri tiež:

Tabuľka 10.1. Miesto SSL v modeli OSI

Číslo úrovne	Názov úrovne
7	Aplikované
6	zastupovanie
5	relácie
SSL
4	Doprava
3	siete
2	odvádzané
1	Fyzické

SSL verzie 3.0 bol základom protokolu Transport Layer Security (TLS), ktorý sa od SSL líši v menších detailoch. V nasledujúcom texte sa výraz SSL bude vzťahovať na oba protokoly.

10.1. Výmena dát v SSL

Proces výmeny dát pomocou protokolu SSL je znázornený na obr. 10.1.

Vždy, keď sa klient pripojí k serveru, spustí sa relácia SSL. V rámci každej relácie sú možné viaceré pripojenia. Ak sa klient pripojí k inému serveru, spustí sa nová relácia bez prerušenia aktuálnej relácie. Pri návrate na prvý server môže používateľ buď obnoviť pripojenie pomocou predtým nastavených parametrov, alebo vytvoriť nové pripojenie. Aby sa predišlo útokom, SSL zahŕňa časový limit relácie (zvyčajne 24 hodín), po ktorom sa relácia ukončí a musí sa vytvoriť nová relácia, aby bolo možné pokračovať v komunikácii so serverom.

Relácia SSL je charakterizovaná nasledujúcimi hodnotami.

• ID relácie (Session_ID) - náhodné číslo vygenerované na strane klienta, ktoré vám umožní vrátiť sa k už nadviazanej relácii.
• Host certifikáty (Client_Certificate a Server_Certificate) - certifikát účastníka výmeny informácií podľa normy ISO/IEC 9594-8.
• Metóda kompresie - algoritmus na kompresiu prenášaných údajov. Podporované algoritmy sú špecifikované v RFC 3749.
• Špecifikácia šifry - definuje parametre krypto algoritmov:
  • pre výmenu kľúčov a autentifikáciu: kryptosystém verejného kľúča RSA, protokol na generovanie zdieľaného tajného kľúča Diffie-Hellman, DSA (Digital Signature Algorithm), Fortezza.
  • pre symetrické šifrovanie: RC2, RC4, DES, 3DES, IDEA, AES;
  • pre hashovanie: SHA, MD5.
• Tajný kľúč relácie (Master_Secret) je tajný kľúč zdieľaný medzi klientom a serverom.
• Príznak obnovenia – parameter, ktorý určuje, či je možné vybrané parametre uložiť pre nové pripojenie v rámci aktuálnej relácie.
• Pripojenie SSL je charakterizované nasledujúcimi hodnotami.
• Náhodné čísla (Client_Random a Server_Random) použité na generovanie zdieľaného tajomstva.
• Kľúče na šifrovanie/dešifrovanie informácií (Client_Write_Secret = Server_Read_Secret a Server_Write_Secret = Client_Read_Secret).
• Kľúče na podpisovanie správ (secret Server_MAC_Write_Secret a Client_MAC_Write_Secret).
• Inicializačné vektory (Server_IV a Client_IV) - synchronizujú správy pre blokové šifrovacie algoritmy.
• Dve po sebe idúce čísla pre server a klienta, aby sa zabránilo zachyteniu a opakovaným útokom.

10.2. SSL protokoly

SSL zahŕňa štyri protokoly, ktoré sú znázornené na obr. 10.2:

• podanie ruky;
• záznam;
• výstraha;
• CCS (Change Cipher Specification).

Ryža. 10.2.

podanie ruky. Tento protokol je určený na vzájomnú autentifikáciu klienta a servera, nadviazanie spojenia alebo spojenia.

Nastavenie relácie, schematicky znázornené na obr. 10.3 je zvyčajne inicializovaný klientom správou ClientHello (niekedy server inicializuje odoslaním správy HelloRequest označujúcej, že server je pripravený na Handshake), v ktorej klient odovzdá nasledujúce parametre:

• verzia SSL podporovaná klientom;
• identifikátor relácie - hodnota, pomocou ktorej možno neskôr obnoviť reláciu;
• náhodné číslo Client_Random;
• zoznam algoritmov na kompresiu, šifrovanie a hashovanie informácií podporovaných klientom.

Ryža. 10.3.

Ako odpoveď na túto správu server odošle správu ServerHello obsahujúcu nasledujúce parametre:

• verzia SSL podporovaná serverom;
• náhodné číslo Server_Random;
• zoznam algoritmov na kompresiu, šifrovanie a hashovanie informácií, ktoré sa použijú pri implementácii relácie alebo pripojení.

Okrem tejto správy server odošle svoj vlastný certifikát. V prípade, že použité algoritmy vyžadujú klientsky certifikát, server odošle klientovi požiadavku na certifikát - CertificateRequest. Server potom odošle správu ServerHelloDone klientovi, ktorá označuje koniec správy ServerHello.

Ak klient nepodporuje algoritmy navrhnuté serverom alebo neposlal svoj certifikát ako odpoveď na príslušnú požiadavku, potom sa vytvorenie relácie preruší. V opačnom prípade klient overí certifikát servera, vygeneruje Pre_Master_Secret, zašifruje ho verejným kľúčom servera odvodeným z certifikátu servera a výslednú hodnotu odošle v správe ClientKeyExchange. Server dešifruje prijatú správu pomocou svojho súkromného kľúča a extrahuje Pre_Master_Secret. Obe strany (klient a server) teda majú tri hodnoty - Server_Random, Client_Random a Pre_Master_Secret a môžu vypracovať Master_Secret podľa schémy znázornenej na obr. 10.4.

Ryža. 10.4.

Potom obe strany pošlú správu Dokončené, čo sú parametre relácie zašifrované na tajnom kľúči Master_Secret a symbolizuje dokončenie procesu nadviazania novej relácie.

Spojenie je dokončené odoslaním správ ChangeCipherSpec klientovi a serveru, potvrdením prijatia algoritmov na kompresiu, šifrovanie a hashovanie informácií oboma stranami a správ Dokončených, ktoré symbolizujú dokončenie procesu nadviazania nového spojenia.

záznam. Tento protokol je určený na konverziu údajov prenášaných vrstvou relácie do transportnej vrstvy a naopak. Konverzia údajov prebieha podľa schémy znázornenej na obr. 10.7.

Informácie prenášané odosielateľom sú rozdelené do blokov nie väčších ako 2^14 + 2048 bajtov. Každý blok je potom komprimovaný pomocou zvoleného kompresného algoritmu. Potom sa vypočíta MAC každého bloku a pripojí sa k poslednému. Prijaté fragmenty sú postupne očíslované, aby sa zabránilo útokom, zašifrované pomocou zvoleného algoritmu a odoslané do transportná vrstva. Príjemca dešifruje prijaté fragmenty, skontroluje poradie ich čísel a integritu správ. Fragmenty sa potom rozbalia a spoja do jednej správy.

CSS. Protokol CSS pozostáva z jednej správy, ktorá umožňuje vykonávať protokol Record transformácia údajov pomocou vybraných algoritmov.

Upozornenie. Tento protokol generuje chybové hlásenia, ktoré sa vyskytujú počas prenosu údajov alebo vytvárania relácie alebo pripojenia. V závislosti od povahy chýb sa zobrazí varovanie alebo sa spojenie/relácia ukončí. Príklady chýb sú uvedené v tabuľke. 10.2.

Tabuľka 10.2. Chyby generované protokolom Alert

názov	Popis
prístup zamietnutý	certifikát zrušený počas platnosti relácie/pripojenia
zlý_certifikát	chyba certifikátu
bad_record_mac	nesprávny MAC
platnosť certifikátu vypršala	platnosť certifikátu vypršala
certifikát_odvolaný	zrušený certifikát
certifikát_neznámy	neznámy certifikát
close_notify	dobrovoľné ukončenie relácie zo strany odosielateľa
decode_error	chyba rozdelenia/zlúčenia bloku
dekompresné_zlyhanie	chyba dekompresie komprimovaného bloku
decrypt_error	chyba dešifrovania súvisiaca so zlyhaním overenia podpisu
decryption_failed	chyba dešifrovania spôsobená nesprávnym nastavením parametrov pri šifrovaní správy
export_restriction	chyba spôsobená obmedzeniami exportu
handshake_failure	nie je možné nastaviť všeobecné parametre pripojenia
nelegálny_parameter	nesprávne parametre relácie/spojenia
nedostatočné_zabezpečenie	nedostatočná úroveň utajenia algoritmov na strane klienta
vnútorná chyba	Vnútorná chyba
no_renegociation	chyba spôsobená nemožnosťou dokončiť protokol Handshake
Protocol_version	verzia klientskeho protokolu nie je podporovaná serverom
record_overflow	dĺžka bloku správ presahuje 2^14+2048 bajtov
neočakávaná_správa	predčasne prijatá správa
neznámy_ca	nesprávny podpis certifikačnej autority
nepodporovaný_certifikát	nepodporovaný certifikát
user_canced	prerušenie protokolu Handshake zo strany klienta

10.3. Používanie SSL v platobných systémoch

Väčšina elektronických platobných systémov, najmä internetových obchodov, využíva pri svojej práci webové prehliadače. Vzhľadom na to, že SSL je zabudované do takmer všetkých známych webových prehliadačov, je na ňom v 99 % prípadov založená bezpečnosť prenášaných údajov [ 3GPP TR 21.905: Vocabulary for 3GPP Specifications.]. Treba si však uvedomiť nasledujúce negatívne aspekty SSL, ktoré je potrebné vziať do úvahy pri rozhodovaní o použití tohto protokolu pri organizovaní bezpečného kanála na interakciu medzi účastníkmi elektronických platobných transakcií.

• Nedostatok autentifikácie kupujúceho. Napriek tomu, že protokol SSL má možnosť vyžiadať si certifikát kupujúceho, autentifikácia kupujúceho je voliteľná a spravidla sa nevykonáva, čo znemožňuje použitie SSL pri transakciách s bankovým účtom.
• Autentifikácia predajcu pomocou URL. Certifikát poskytnutý predajcom iba naznačuje jeho spojenie so zadanou URL, pričom neexistujú žiadne informácie o interakcii medzi predajcom a bankou obsluhujúcou špecifikovaný platobný systém.
• Otvorenosť údajov o kupujúcom. Napriek tomu, že všetky informácie prenášané v rámci SSL sú šifrované, bankové údaje kupujúceho sú predávajúcemu zasielané v prehľadnej forme.
• Exportné obmedzenia protokolu. Napriek tomu, že v roku 1999 sa Ministerstvo zahraničných vecí USA rozhodlo odstrániť exportné obmedzenia, niektoré prehliadače podporujú protokol SSL s exportnými obmedzeniami dĺžky kľúčov pre algoritmy šifrovania informácií, čo výrazne znižuje bezpečnosť prenášaných dát.