Κέντρο πληροφοριών

Εξακρίβωση στοιχείων εξυπηρετητή

Όταν ορίζετε μια ασφαλή σύνδεση, το Host On-Demand παρέχει τρεις επιλογές στην καρτέλα Ασφάλεια: Ενεργοποίηση ασφάλειας, Πρωτόκολλο ασφάλειας και Αποστολή πιστοποιητικού (εξακρίβωση στοιχείων πελάτη).  

Ενεργοποίηση ασφάλειας

Επιλέξτε Ενεργοποίηση ασφάλειας για να ενεργοποιήσετε την εξακρίβωση στοιχείων εξυπηρετητή και πελάτη.

Πρωτόκολλο ασφάλειας

Η επιλογή Πρωτόκολλο ασφάλειας καθορίζει τη μέθοδο που θα χρησιμοποιείται για την εξακρίβωση στοιχείων πελάτη (client authentication) και εξυπηρετητή (server authentication). Καθορίστε μία από τις ακόλουθες τιμές:

TLS
Το πρωτόκολλο Transparent Layer Security (TLS). Με την επιλογή TLS δημιουργείται μια σύνδεση TLS μεταξύ του συστήματος πελάτη και του εξυπηρετητή. Το σύστημα πελάτη κάνει επαφή με τον εξυπηρετητή αποστέλλοντας ένα πακέτο πληροφοριών που ονομάζεται "χειραψία" (handshake), το οποίο επιτρέπει την αμοιβαία εξακρίβωση στοιχείων και τον καθορισμό του είδους κρυπτογράφησης που θα χρησιμοποιείται κατά τη διάρκεια της συνεδρίας. Όλα τα δεδομένα που ανταλλάσσονται μεταξύ του συστήματος πελάτη και του εξυπηρετητή κρυπτογραφούνται, με αποτέλεσμα να μην είναι δυνατή η ανάγνωσή τους από τρίτους. Το πρωτόκολλο παρέχει επίσης μια λειτουργία ελέγχου ακεραιότητας μηνυμάτων η οποία εξασφαλίζει την ακεραιότητα και την αξιοπιστία των δεδομένων που μεταδίδονται μεταξύ του συστήματος πελάτη και του εξυπηρετητή.
SSL
Το πρωτόκολλο Secure Sockets Layer (SSL). Με την επιλογή SSL δημιουργείται μια σύνδεση SSL μεταξύ του συστήματος πελάτη και του εξυπηρετητή. Το σύστημα πελάτης επικοινωνεί με τον εξυπηρετητή και ελέγχει αν ο εξυπηρετητής διαθέτει έγκυρο πιστοποιητικό. Αυτό το είδος σύνδεσης εξασφαλίζει ότι τα δεδομένα που ανταλλάσσει το σύστημα πελάτης με τον εξυπηρετητή κρυπτογραφούνται, και επομένως δεν είναι δυνατή η ανάγνωσή τους από άλλους χρήστες του Internet.

Εξακρίβωση στοιχείων εξυπηρετητή (SSL)

Η χρήση του SSL από μόνη της δεν εξασφαλίζει ότι το σύστημα πελάτης επικοινωνεί με το σωστό εξυπηρετητή. Το σενάριο που ακολουθεί αποτελεί ένα παράδειγμα των κινδύνων που εμπεριέχει η χρήση αυτού του πρωτοκόλλου. Υπάρχουν δύο εξυπηρετητές, ο Εξυπηρετητής 1 (hod.S1.com) και ο Εξυπηρετητής 2 (hod.S2.com), και ένα σύστημα πελάτης. Και οι δύο εξυπηρετητές έχουν έγκυρα πιστοποιητικά από μια Υπηρεσία έκδοσης πιστοποιητικών (CA) που εμπιστεύεται το σύστημα πελάτης. Το σύστημα πελάτης θέλει να πραγματοποιήσει μια ασφαλή συνεδρία με τον Εξυπηρετητή 1, αλλά ο Εξυπηρετητής 2 θέλει να υποκλέψει την επικοινωνία τους και η φυσική θέση του τού δίνει αυτή τη δυνατότητα. Το σενάριο έχει ως εξής:

Σύστημα πελάτης στέλνει αίτηση για την πραγματοποίηση συνεδρίας SSL Το σύστημα πελάτης στέλνει μια αίτηση για την πραγματοποίηση μιας ασφαλούς συνεδρίας SSL στον Εξυπηρετητή 1. Η αίτηση (καθώς και όλα τα επόμενα πακέτα δεδομένων) στην πραγματικότητα διέρχονται από τον Εξυπηρετητή 2. Αντί να διαβιβάσει την αίτηση του συστήματος πελάτη στον Εξυπηρετητή 1, ο Εξυπηρετητής 2 απαντά απευθείας στέλνοντας το δικό του πιστοποιητικό στο σύστημα πελάτη.
Σύστημα πελάτης λαμβάνει πιστοποιητικό και ελέγχει λίστα έμπιστων Υπηρεσιών CA Το σύστημα πελάτης λαμβάνει το πιστοποιητικό του Εξυπηρετητή 2 και ελέγχει τη λίστα των έμπιστων Υπηρεσιών έκδοσης πιστοποιητικών (CA). Εφόσον το πιστοποιητικό του Εξυπηρετητή 2 έχει υπογραφεί από την ίδια Υπηρεσία έκδοσης πιστοποιητικών (CA) με το πιστοποιητικό του Εξυπηρετητή 1, το σύστημα πελάτης αποδέχεται το πιστοποιητικό και δημιουργεί μια ασφαλή συνεδρία με τον Εξυπηρετητή 2.
Εξυπηρετητής ζητά και δημιουργεί δική του συνεδρία SSL Αφού δημιουργήσει την ασφαλή συνεδρία με το σύστημα πελάτη, ο Εξυπηρετητής 2 ζητά και δημιουργεί μια δική του συνεδρία SSL με τον Εξυπηρετητή 1. Από το σημείο αυτό, ο σύστημα πελάτης στέλνει κρυπτογραφημένες πληροφορίες στον Εξυπηρετητή 2. Ο Εξυπηρετητής 2 αποκρυπτογραφεί τις πληροφορίες, τις κρυπτογραφεί ξανά και τις στέλνει στον Εξυπηρετητή 1. Το ίδιο κάνει και για τις πληροφορίες που μεταδίδονται προς την αντίθετη κατεύθυνση. Το αποτέλεσμα είναι ότι, παρόλο που όλα τα δεδομένα μεταδίδονται κρυπτογραφημένα μέσω του Internet, ο Εξυπηρετητής έχει τη δυνατότητα να τα διαβάσει, ακόμα και να τα τροποποιήσει.

Για να αποφευχθεί αυτός ο κίνδυνος, παρέχεται η επιλογή Εξακρίβωση στοιχείων εξυπηρετητή (SSL). Όταν χρησιμοποιείται αυτή η επιλογή, το σύστημα πελάτης, αφού βεβαιωθεί ότι το πιστοποιητικό του εξυπηρετητή είναι έγκυρο και έμπιστο, ελέγχει αν το όνομα Internet στο πιστοποιητικό είναι ίδιο με το όνομα Internet του εξυπηρετητή. Αν το όνομα είναι ίδιο, η διαπραγμάτευση SSL θα συνεχιστεί. Αν δεν είναι, η σύνδεση τερματίζεται αμέσως.

Για να είναι έγκυρος αυτός ο έλεγχος και να δίνει αξιόπιστα αποτελέσματα, πρέπει να ισχύουν δύο προϋποθέσεις:

  1. Το λογισμικό πελάτη πρέπει να είναι τοπικά εγκατεστημένο. Αν το λογισμικό πελάτη μεταφορτώνεται μέσω http δεν μπορεί να θεωρηθεί έμπιστο για εξακρίβωση στοιχείων εξυπηρετητή. Αν η εξακρίβωση στοιχείων εξυπηρετητή έχει ζωτική σημασία, θα πρέπει να χρησιμοποιείτε μόνο τοπικά εγκατεστημένους πελάτες ή να χρησιμοποιείτε το πρωτόκολλο https στον εξυπηρετητή διαδικτύου.
  2. Το κοινό όνομα στο πιστοποιητικό του εξυπηρετητή πρέπει να είναι ίδιο με το όνομα Internet του εξυπηρετητή.

Αν έχει ενεργοποιηθεί η εξακρίβωση στοιχείων εξυπηρετητή (SSL), το σενάριο θα εξελιχθεί ως εξής:

Σύστημα πελάτης στέλνει αίτηση για την πραγματοποίηση συνεδρίας SSL 1. Το σύστημα πελάτης στέλνει μια αίτηση για την πραγματοποίηση μιας ασφαλούς συνεδρίας SSL στον Εξυπηρετητή 1. Η αίτηση (καθώς και όλα τα επόμενα πακέτα δεδομένων) στην πραγματικότητα διέρχονται από τον Εξυπηρετητή 2. Αντί να διαβιβάσει την αίτηση του συστήματος πελάτη στον Εξυπηρετητή 1, ο Εξυπηρετητής 2 απαντά απευθείας στέλνοντας το δικό του πιστοποιητικό στο σύστημα πελάτη.
Σύστημα πελάτης λαμβάνει πιστοποιητικό και ελέγχει λίστα έμπιστων Υπηρεσιών CA 2. Το σύστημα πελάτης λαμβάνει το πιστοποιητικό του Εξυπηρετητή 2 και ελέγχει τη λίστα των έμπιστων Υπηρεσιών έκδοσης πιστοποιητικών (CA). Εφόσον το πιστοποιητικό του Εξυπηρετητή 2 έχει υπογραφεί από την ίδια Υπηρεσία έκδοσης πιστοποιητικών (CA) με το πιστοποιητικό του Εξυπηρετητή 1, το σύστημα πελάτης αποδέχεται το πιστοποιητικό και δημιουργεί μια ασφαλή συνεδρία με τον Εξυπηρετητή 2.
Σύστημα πελάτης συγκρίνει το όνομα Internet στο πιστοποιητικό με το όνομα του εξυπηρετητή 3. Αφού ολοκληρωθεί η ασφαλής συνεδρία, αλλά πριν σταλούν ή ληφθούν οποιαδήποτε πραγματικά δεδομένα, το σύστημα πελάτης συγκρίνει το όνομα Internet που υπάρχει στο πιστοποιητικό που έλαβε (hod.S2.com) με το όνομα του εξυπηρετητή με τον οποίο θέλει να επικοινωνήσει (hod.S1.com). Εφόσον τα ονόματα δεν είναι ίδια, το σύστημα πελάτης ξέρει ότι η σύνδεση δεν θα πρέπει να συνεχιστεί και την τερματίζει.

Συναφή θέματα