 |
|
|
|
РУЦЕНТР. Получаем сертификат в общепризнанном УЦ
РУЦЕНТР О выпуске самоподписанных SSL-сертификатов и сертификатов в корпоративных УЦ написано много. А о том, как протекает процесс заказа и выпуска сертификата в УЦ, не рассказывает никто. Исправляем этот недостаток Знают те и знают эти О достоинствах и недостатках выпуска самоподписанного сертификата или сертификата в малоизвестном либо корпоративном Удостоверяющем Центре (УЦ) уже сказано немало. Есть у таких сертификатов и достоинства и недостатки, и вразных ситуациях достоинства перекрывают недостатки, но не всегда. Основной проблемой таких сертификатов является то, что далеко не все браузеры и операционные системы признают соединение, подписанное ими, безопасным. И, если в десктопных ОС это решается довольно просто – добавлением корневого сертификата УЦ, выпустившего сертификат в специальное хранилище доверенных корневых сертификатов, то в мобильных ОС это может превратиться в настоящий камень преткновения. В iOS все решается, как ни странно, просто – добавили и все, работаем. В Android добавить можно, но после добавления в области оповещений будет навечно болтаться значок в виде желтого треугольника с текстом «Ваши действия могут отслеживаться системным администратором». В Windows Phone это сделать просто нельзя для нерутованных устройств. Но, поскольку обычно Windows Phone устройства покупают люди, для которых само слово «рут» звучит какмагическое заклинание, тут и приходит время приобретать SSL-сертификат у общепризнанных УЦ. Что значит «общепризнанных»? Это значит, что корневой сертификат данного УЦ изначально был добавлен в хранилище доверенных корневых сертификатов, и все сертификаты, выданные данным УЦ, будут автоматически считаться «правильными». Ничего больше. Если самому собрать, например, Firefox из исходных текстов, подкинув при сборке в хранилище нужный корпоративный сертификат, то можно получить версию браузера, которая будет его считать по умолчанию доверенным. Вот только какие сертификаты добавить в хранилище корневых УЦ для Chrome и Android, решает Google, для Firefox – Mozilla, для IE – Microsoft. Выдача сертификатов – хороший бизнес, и, соответственно, на рынке существует множество УЦ разной степени доверия. В некоторых можно получить сертификат и бесплатно, но браузер или программа могут запросто отказаться признавать сертификат данного УЦ, поэтому, если планируется, что ресурс будут посещать с неограниченного круга мобильных устройств, лучше всего приобрести сертификат у наиболее авторитетных в этом деле УЦ – Thawte [1], Comodo [2], Geotrust [3]. Статью целиком читайте в журнале «Системный администратор», №03 за 2016 г. на страницах 25-29. PDF-версию данного номера можно приобрести в нашем магазине.
|
РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
