Статьи

SSL сертификат – основа доверия к сайту

9.07.2015

/

В рамках проведенных нами аудитов и тестов, регулярно встречаются такая уязвимость web сайтов как неправильный TLS/SSL сертификат для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу.


Чаще всего проблемы TLS/SSL сертификатов связаны с:

  • использованием самостоятельно выпущенных сертификатов, которым клиент не доверяет
  • истечением срока действия сертификата
  • использование сертификата, выпущенного для другого сайта (по сути подмена сертификата)
  • использованием ненадежных алгоритмов (например, SHA1withRSA) подписи сертификата

Так как это серьёзные недостатки защиты сайта, в большинстве браузеров пользователи получают предупреждения непосредственно в адресной строке

и всплывающее на отдельной странице уведомление

Портал с неправильным TLS/SSL сертификатом будет приучать пользователей регулярно нарушать правила ИБ. Когда же клиенты столкнутся с настоящей атакой злоумышленников – перенаправлением трафика на поддельный сайт или с прослушиванием трафика, у них не возникнет подозрений и идеи связаться с администратором ИБ.

Для удобства наших заказчиков, для которых мы создаем системы защиты ГИС, ДБО, Интернет-торговли, системы взаимодействия с партнёрами, подрядчиками и клиентами, системы защищенного мобильного доступа удостоверяющий центр «РосИнтеграция» теперь выпускает ещё и правильные, с точки зрения ИБ, TLS/SSL сертификаты для сайтов.