Безопасность IIS
       

Как работает безопасное веб-соединение


TLS и SSL составляют неотъемлемую часть большинства веб-браузеров (клиентов) и веб-серверов. В SSL/TLS используется уровень приложений, расположенный между протоколами HTTP и TCP, которые являются частью браузеров Microsoft и Netscape и встроены в IIS. Под сокетами (от названия протокола Secure Socket Layer) понимается возможность всех операционных систем, используемых приложениями, передавать и принимать данные через сеть.

Шифруемое соединение SSL/TLS позволяет шифровать на сервере и расшифровывать на клиенте (и наоборот) всю информацию, передаваемую между ними. Шифрование осуществляется с помощью симметричного шифра после безопасного обмена сеансовыми ключами посредством шифрования на открытом ключе (см. раздел "Комбинирование методов шифрования"). Алгоритмом открытого ключа является RSA, а симметричным шифром, используемым по умолчанию, – RC-4. Дополнительно все данные, передаваемые через шифруемые соединения, защищаются механизмом обнаружения злоумышленных действий, который отслеживает изменение данных при передаче.

Сеанс SSL между клиентом и сервером устанавливается следующим образом.

  • Клиент открывает сокет и запрашивает подключение к серверу.
  • Сервер аутентифицирует клиента (либо по паролю, либо посредством сертификата, отправляемого клиентом).
  • После установки соединения сервер передает браузеру свой открытый ключ посредством отправки сертификата сервера, выпущенного доверенным бюро сертификатов.
  • Клиент аутентифицирует сертификат.
  • Клиент и сервер осуществляют обмен настроечной информацией для определения типа и силы шифрования, используемых в сеансе соединения.
  • Клиент создает сеансовый ключ, используемый для шифрования данных.
  • Клиент шифрует сеансовый ключ с помощью открытого ключа сервера (полученного из сертификата сервера) и отправляет его серверу. Секретный ключ, с помощью которого можно расшифровать сеансовый ключ, находится только на сервере.
  • Сервер расшифровывает сеансовый ключ и использует его для создания безопасной сессии, через которую будет осуществляться обмен данными с клиентом.

Необходимым условием успешной реализации этих шагов является заранее установленный на клиенте корневой сертификат, полученный от доверенного бюро сертификатов. При использовании сертификата, полученного от коммерческого CA, корневой сертификат которого уже имеется в Microsoft Internet Explorer и Netscape Communicator (например, Verisign), не нужно беспокоиться об этом. При использовании сертификатов клиентов серверу необходимо установить клиентский корневой сертификат, выпущенный клиентским бюро сертификатов.



Содержание раздела