BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/www/certificate.html

Знак качества для Web-сервера
А.В.Лукацкий
Опубликовано: dl, 25.10.02 21:34

Покупаете ли вы товары в Internet? Я, например, люблю www.books.ru и если бы не сроки доставки книг, я бы всегда приобретал бы книжную продукцию через этот online-магазин. Когда вы заходите на сайт Internet-магазина, то он собирает о вас некоторую информацию, включая ту, которую вы сами предоставили ему при регистрации (ФИО, адрес доставки, телефон и, иногда, номер кредитной карты) и ту, которая собирается Web-сервером самостоятельно (например, ваши предпочтения и т.д.). Разумеется, вы хотите, чтобы эта информация была сохранена в тайне от разного рода злоумышленников. И если опасность со стороны хакеров, которые украдут номер вашей кредитной карты, несколько преувеличена, то опасность со стороны спаммеров, присылающих вам ежедневно десятки различных сообщений рекламного характера, является вполне реальной. Я лично получаю до двадцати таких сообщений ежедневно - каким-то образом мой адрес попал в различные базы рассылки. Помимо Internet-магазинов информацию, которая должна остаться в тайне, собирают и другие сервера, например, в процессе различных опросов и т.д.

А можете ли быть уверенным, посещая такого рода сервера, что собранная о вас информация, будет доступна только персоналу (да и то не всему) Web-сервера? Да и подлинность помещенного вами Web-сервера тоже может вызывать у вас сомнения. Если для Internet-покупок потеря в 20-30 долларов не столь удручающа (хотя и неприятна), то в случае захода на поддельный сервер Internet-банка (а такие случаи известны), вы можете потерять несоизмеримо больше. Что же делать в этом случае? Как удостовериться, что посещенный вами сервер именно тот, за кого он себя выдает, а предоставленная вами информация будет сохранена в тайне.

В обычной жизни такую гарантию даст договор о конфиденциальности, заключаемый с банком или иной организацией? Хотелось бы и в виртуальности иметь некий знак качества, подтверждающий все маркетинговые заявления о "гарантии безопасности платежей" (такое заявление, например, "висит" на оЗоне) и т.д. И в последнее время такие цифровые печати стали появляться во всем мире, в том числе и в России. Я бы хотел рассказать о двух "знаках качества" - сертификате Thawte и WebTrust.

Первый получил широкое распространение в России в последний год в виду своей дешевизны для заказчика. Например, электронный магазин "оЗон" или страховая компания "Ренессанс-Страхование", осуществляющая страхование через Internet, воспользовались этой услугой, заплатив всего 125 долларов США за годовое обслуживание одного сертификата. Разместив на своем сайте небольшую иконку, Web-сервер гарантирует, что он именно тот, за кого себя выдает. Подтверждение подлинности гарантируется третьей стороной (в данном случае Thawte), используя цифровые SSL-сертификаты. В терминах инфраструктуры открытых ключей (PKI), компания Thawte является Certificate Authority (CA). Для установки на свой сайт знака качества необходимо выполнить всего 8 простых шагов, начиная от получения и подписания документов на оказание услуги (обязательным условием является обладание прав на Internet-домен) и заканчивая оплатой счета (в т.ч. и по кредитной карте) и инсталляцией полученного сертификата на вашем сервере. Кстати, список поддерживаемых Web-серверов впечатляет: Apache, IIS, Netscape, Stronghold, WebSite, 4D WebStar, ICSS, Domino и т.д. Абсолютно идентичную услугу предоставляет и VeriSign. Отличие состоит только в иконке на сайте и стоимости услуг - она как минимум вдвое (для коммерческих сайтов разница составляет 7 раз, а для крупных сайтов это различие может достигать 10 раз) превышает стоимость аналогичных услуг Thawte. Оно и понятно. VeriSign - известная во всем мире торговая марка, а Thawte знают очень немногие.

Второй знак качества еще не получил широкого распространения в России, но его активно начинают продвигать консалтинговые компании "большой пятерки", например, Ernst & Young и KPMG. По своей сути печать WebTrust аналогична сертификату Thawte - это гарантия качества Web-сервера. Однако WebTrust отражает в первую очередь не техническую сторону дела, а его бизнес-составляющую. Печать WebTrust гарантирует, что online-бизнес проверен лицензированной аудиторской компанией на соответствие Принципам и Критериям, описанным Американским институтом сертифицированных бухгалтеров AICPA и Канадским институтом присяжных бухгалтеров CICA. К принципам и критериям могут быть отнесены конфиденциальность (confidentiality), защищенность (security), доступность (availability), соблюдение прав на частную жизнь (privacy), удовлетворение клиентов (consumer redress) и прозрачность деловых принципов (business practice). "Знак качества" WebTrust обычно выдается компаниям, которые осуществляют свою деятельность в Internet и реализуют схему "бизнес клиентам" (business-to-client. B2C), с целью повышения доверия посетителей Web-сервера к розничным online-покупкам. В отличие от Thawte и VeriSign, сертификат которых выдается на 1 год, печать WebTrust требует ежеквартального обновления, в рамках которого подтверждается очередное соответствие Принципам и Критериям.

Выдавать заключения о соответствии тестируемого Web-сервера документам AICPA и CICA может любая компания, получившая лицензию на право проведения такой деятельности. В России таких компаний пока немного - их можно пересчитать по пальцам одной руки, например, KPMG или Ernst & Young. Однако больший объем работ, проводимых в процессе сертификации на получение WebTrust, приводит и к большим затратам.

В заключение хочу сказать, что получение "знака качества" для Web-сервера несет с собой ряд значительных преимуществ, к которым, в частности, можно отнести:




Об авторе:

Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита"
(Москва). Автор книги "Обнаружение атак". Сертифицированный инструктор по безопасности компании Internet Security
Systems. Сертифицированный инженер по безопасности компании Check Point Software Technologies. Связаться с ним
можно по тел. (095) 937-3385 или e-mail: luka@infosec.ru.

14 января 2002 г.


обсудить  |  все отзывы (0)

[23907; 4; 5]




  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach