Как добавить сертификат в браузер internet explorer
режде чем говорить о настройках безопасности и конфиденциальности в Internet Explorer, следует напомнить некоторые базовые понятия, использующиеся в настройках браузера, и прежде всего рассказать о цифровых сертификатах, цифровой подписи и подписных программных компонентах.
Как работают цифровые сертификаты
беспечение безопасной коммуникации сводится прежде всего к решению трех задач:
- сохранению тайны передаваемой информации (запрет доступа к документу неавторизованных пользователей);
- аутентификации корреспондента (предотвращения отказа от совершаемых действий);
- идентификации корреспондента (подтверждение, что данные действительно получены от определенного лица).
Очевидно, что шифрование позволяет решить первую задачу — обеспечить тайну передаваемой информации, однако на основе шифрования можно решить все три задачи. Наибольшее распространение получил метод шифрования с помощью ключа, согласно которому открытый текст комбинируется с цепочкой чисел (ключом) по правилам определенного (криптографического) алгоритма.
Схема шифрования с публичным ключом
Послание можно зашифровать и частным, и публичным ключами, а расшифровать — только вторым ключом из пары. Таким образом, послание, зашифрованное частным ключом, можно расшифровать только публичным ключом, и наоборот. Частный ключ известен только владельцу, и его нельзя никому передавать, в то время как публичный ключ распространяется открыто для всех корреспондентов. Пару ключей — частный и публичный — можно использовать для решения задач как аутентификации (рис. 1), так и секретности (рис. 2).
Схема, обеспечивающая секретность или конфиденциальность, представлена на рис. 2.
Цифровая подпись
Рассмотрим конкретный пример (рис. 3). Пусть А, применив хеш-функцию, получил дайджест в виде некоего кода, который обозначен как код 1. Затем, используя свой личный ключ, А зашифровывает дайджест, который и становится аналогом подписи данного документа. Далее А отправляет открытый текст послания и цифровую подпись В. Абонент В расшифровывает подпись публичным ключом, который он получил от А, и убеждается, что письмо действительно от А. Таким образом, аутентификация состоялась.
Затем необходимо удостовериться, что послание не было изменено в процессе доставки.
В результате расшифровки В получает дайджест послания — код 1. Затем В, используя ту же хеш-функцию, что и А, хеширует текст послания и получает дайджест в виде некоторого кода 2. Если код 1 и код 2 совпадают, то В может сделать вывод о том, что текст послания не был изменен на этапе доставки.
Таким образом, цифровая подпись, или электронная подпись, — это метод аутентификации отправителя или автора подписи, подтверждающий, что содержание документа не было изменено. Цифровая подпись может быть поставлена как в зашифрованном, так и в открытом послании.
Цифровые сертификаты
При использовании схемы шифрования с открытым ключом вы можете сгенерировать открытый (публичный) и закрытый (частный) ключи и распространить открытый ключ вашим корреспондентам или выложить его в Сети на открытом сервере. Однако злоумышленник может назваться вашим именем и разослать открытый ключ от вашего лица или выложить его на открытом сервере. Как определить, кто является истинным владельцем публичного ключа, а кто мошенником? Для этого нужна третья сторона, которой доверяют все корреспонденты. С этой задачей справляются центры сертификации CA (Certification Authority). Они выдают сертификаты — цифровые данные, подписанные цифровой подписью поручителя, подтверждающие соответствие открытого ключа и информации, идентифицирующей его владельца. Сертификат содержит серийный номер, информацию о владельце ключа, название сертификационного центра, публичный ключ, время, в течение которого сертификат действителен, и т.д. Каждая копия сертификата имеет цифровую подпись организации, которая выдала сертификат, так что каждый, кто получит сертификат, может удостовериться в его подлинности.
Сертификат является неким аналогом удостоверения личности. Общеизвестно, что даже при личной встрече проблема идентификации не снимается, именно поэтому существуют паспорта, водительские удостоверения и т.д. В Сети мы обычно общаемся с партнером, которого не видим, поэтому удостоверения личности в Сети еще более необходимы.
Классы сертификатов
В Internet Explorer используется два вида сертификатов: личные сертификаты и сертификаты Web-узла. Личный сертификат используется для подтверждения личности пользователя, обратившегося на Web-узел, требующий сертификата. Сертификат Web-узла подтверждает подлинность Web-узла тем клиентам, которые обращаются к нему за сервисом.
Личные сертификаты относятся к разным уровням. Для получения сертификата низшего уровня требуется минимальная проверка владельца публичного ключа.
При выдаче сертификата высшего уровня проверяются не только личные данные владельца, но и его кредитоспособность. В этом случае сертификат может выступать аналогом кредитной карты, подтверждающим кредитоспособность при сделках в Web.
Для получения личного сертификата пользователь обязан внести плату, которая тем больше, чем выше уровень сертификата.
Подлинность сертификата подтверждается подписью сертификационного центра, выдавшего сертификат.
Система сертификации обычно имеет многоуровневый характер (рис. 4).
При обращении на защищенный Web-узел пользователь Internet Explorer получит уведомление о том, что соединение является безопасным и передаваемые пользователем данные не будут доступны третьим лицам (рис. 5).
Система информирует пользователя, что Web-узел имеет действительный сертификат и предоставляемая пользователем информация (например, номер кредитной карты) зашифрована и не может быть прочитана третьими лицами. При входе на защищенный Web-узел Internet Explorer в строке состояния отображает значок закрытого замка.
Процедура получения личного сертификата
Существует несколько категорий надежности сертификатов, которые выдаются независимыми центрами сертификации. Сертификаты выдаются теми же издателями сертификатов. Чтобы получить сертификат, необходимо зарегистрироваться у выбранного издателя сертификатов. Для получения личного сертификата нужно обратиться на Web-сервер издателя сертификатов, сообщить о себе данные, необходимые для получения конкретного сертификата, и выбрать длину закрытого ключа. Перед отправкой формы ваш браузер сгенерирует пару ключей — публичный (открытый) и частный (закрытый) — и внесет их в защищенную паролем базу данных. Закрытый ключ не должен быть известен никому, в том числе и сертификационному центру. Открытый ключ, напротив, отсылается вместе с другими данными в сертификационный центр для включения его в сертификат. После получения оплаты сертификационный центр выпускает сертификат и указывает URL, откуда его можно скачать. После получения сертификата браузер пользователя автоматически запускает процедуру установки.
Система подписанных приложений
Приобретая коробочное ПО, вы обычно не сомневаетесь, что программный продукт, находящийся внутри, принадлежит производителю. Однако, скачивая продукт из Сети, вы не можете быть уверены, что поставщик данного ПО является именно тем, за кого он себя выдает, а скачиваемое ПО не содержит вирусов.
Данная проблема решается путем внедрения в распространяемый продукт кода аутентификации (Authenticode), позволяющего разработчикам ПО посредством использования цифровой подписи включать информацию о разработчике в распространяемые программы.
Скачивая ПО, подписанное кодом аутентификации и заверенное центром сертификации, пользователи могут быть уверены, что данное ПО не было изменено после подписания.
Согласно компонентной модели, такие элементы, как ActiveX- или Java-аплеты, могут загружаться на ваш компьютер во время обращения на Web-ресурс, например, для воспроизведения анимации. Для того чтобы исключить загрузку небезопасного кода, применяется система подписанных приложений. На основе данной технологии пользователи могут безбоязненно получать подписанные ActiveX controls, Java-аплеты и другие приложения. Если пользователь Internet Explorer встретит компонент, распространяемый без подписи, программа (в зависимости от внутренних настроек безопасности браузера) либо откажется загрузить такой код, либо выдаст предупреждение о небезопасном компоненте. Если же пользователь столкнется с подписанным аплетом, клиентская программа подтвердит безопасность компонента (рис. 6).
Установка и удаление сертификатов в Internet Explorer
ля просмотра предустановленных сертификатов выберите пункт Сертификаты на панели Свойства обозревателя (рис. 7), что приведет к появлению панели Сертификаты (рис. 8). В ней доступны следующие вкладки: Личные, Другие пользователи, Промежуточные центры сертификации, Доверенные корневые центры сертификации и т.д.
Сертификаты в категории Личные имеют соответствующие частные ключи. Информация, подписанная посредством персональных сертификатов, идентифицируется частным ключом пользователя. По умолчанию, Internet Explorer размещает все сертификаты, идентифицирующие пользователя (посредством частного ключа), в категорию Личные. Во вкладке Доверенные корневые центры сертификации обычно уже предустановлены корневые сертификаты, которые можно просмотреть и получить всю информацию о них: кем они выданы, срок их действия и т.д (рис. 9).
Щелкнув мышью по каждому из сертификатов, можно получить о нем дополнительные сведения, включая состав и путь сертификации (рис. 10).
Для импорта и экспорта сертификатов в Internet Explorer имеется менеджер импорта и экспорта сертификатов — Internet Explorer Certificate Manager (рис. 11).
Для того чтобы вызвать мастера импорта сертификатов, выполните команду Сервис а Свойства обозревателя а Содержание а Сертификаты а Импорт.
Менеджер сертификатов позволяет вам инсталлировать и удалять сертификаты клиентские и сертификаты Центров Сертификации.
Средства сохранения конфиденциальности в Internet Explorer
редства сохранения конфиденциальности Internet Explorer связаны с параметрами режима обработки файлов cookiеs. Прежде чем рассказать о настройках конфиденциальности браузера, кратко напомним, что представляют собой cookiеs.
Cookies
Например, владельцам сайта важно знать, сколько человек просмотрело их сайт, желательно получить информацию, кто пришел на сайт впервые, а кто — повторно.
Просмотрев подобный файл, нетрудно убедиться, что это простые текстовые файлы. Например, файл прохоров@spylog[2].txt имеет вид:
- несовместимы с P3P, то есть не декларировали свою политику конфиденциальности;
- запрашивают личную информацию без явного согласия пользователя;
- запрашивают личную информацию без неявного согласия пользователя.
Чтобы изменить параметры конфиденциальности, во вкладке Конфиденциальность переместите ползунок вверх, чтобы установить более высокий уровень защиты, и вниз, чтобы понизить его (рис. 12).
Internet Explorer делит Интернет на зоны разного уровня безопасности, что позволяет назначить требуемый уровень защиты каждому Web-узлу. Это Зона Интернета, Местная интрасеть, Надежные узлы и Ограниченные узлы (рис. 13).
Зона Интернета
К этой зоне относятся все Web-узлы, которые не имеют отношения к вашему компьютеру или к иной зоне. По умолчанию для этой зоны назначен средний уровень защиты, который подходит для большей части узлов Интернета.
Безопасный и одновременно функциональный, он подразумевает, что неподписанные управляющие элементы ActiveX не загружаются, а перед загрузкой небезопасного содержимого появляется предупреждение.
Местная интрасеть (местная зона)
Надежные узлы
Узлы ограниченной надежности
Настройка ограничений доступа к нежелательным ресурсам
сли вы пользуетесь компьютером дома и опасаетесь, что ваши дети будут просматривать страницы, доступ к которым нежелателен, вы можете прибегнуть к настройкам, расположенным на вкладке Ограничение доступа (рис. 15).
Можно запретить доступ к тематическим группам сайтов или к конкретным сайтам.
В принципе, оградить ребенка от посещения сайтов определенной тематики достаточно сложно, но если вы знаете конкретные сайты, доступ к которым вы хотите закрыть, то сделать это значительно проще. В частности, во вкладке Разрешенные узлы вы можете указать список сайтов, запрещенных к просмотру (рис. 15).
Настройка персональных данных и контроль за ними
росматривая различные ресурсы Интернета, пользователи часто подписываются на разные службы и вынуждены при этом сообщать данные о себе. Internet Explorer позволяет создать профиль, в котором будут храниться ваши личные данные (рис. 16).
Однако если вы не хотите, чтобы вам приходило огромное количество спама, то личные данные и прежде всего e-mail не следует раздавать всем подряд. Проверьте, какой режим установлен в вашем браузере. Выполните команду Сервис®Свойства обозревателя®вкладка Дополнительно®раздел Безопасность. Если у вас установлен флажок Задействовать профиль (рис. 17), то по первому запросу сервера браузер будет сообщать ваши персональные данные, поэтому следует отключить эту опцию.
Обратите также внимание на другие пункты и установите флажки в следующих разделах: Предупреждать о недействительных сертификатах узлов, Предупреждать о переключении режима безопасности, Проверять аннулирование сертификатов издателей, Проверять аннулирование сертификатов серверов (рис. 17).
Читайте также: