תעודת SSL – אבטחה במסחר

‏ • 27 ביולי, 2002



במסחר האלקטרוני התפתחו במהלך השנים סטנדרטים מסוים שנועדו ליצור מנגנון של אבטחת המידע המועבר בתנועות עסקיות דרת האינטרנט.

למעשה קיימים מספר סטנדרטים לאבטחתו של מסחר אלקטרוני כאשר המפורסם ביותר הוא SSL שפירושו הוא Secure Socket Layer Protocol.
אגב אבטחת מסחר אלקטרוני במערכת בה יש העברה און ליין של סליקת כרטיס הרשאי מתבצע באמצעות SET שזה הוא Secure Electronic Transaction Protocol שעל זה לא אדון במאמר זה.
(קיימים גם אחרים כמו OBI שמיועד להזמנות רכש ו-OFX להפקת חשבונות – אך לא אדון באלה).

כשאר אנו מבקשים לאבטח מידע אנו זקוקים למעשה לזיהוי הלקוח למול זיהוי הספק ואחר כך כמובן לאימות של התשלום ובסופו של דבר אימות ההספקה. כאשר כל סוגי אימות אלה מתבצעים, אז למעשה מתבצעת העסקה.
אם כך כדי שהכול יעבוד נכון, אנחנו צרכים לוודא כי המידע שנמסר עבר באופן פרטי ולאחר שזיהה את המעורבים בעסקה כלומר מי ששולח ומי שמקבל וכי המסר שנשלח עבר ללא הפרעות ובשלמות.

הדרך לביצוע האמור לעיל היא באמצעות SSL שעושה שימוש בשיטה של מפתחות הצפנה ציבורי ופרטי – כלומר תעודות הסמכה – CA-Certificate Authorities , הללו מופקים אלי ידי חברות הסמכה כגון VeriSign ו- Thawte.

ראשית נתחיל בכך שקיימת חברה אשר מסמיכה את אותם תעודות ומעשה באמצעות תעודות אלה גורמת לתחושת ביטחון אצל הלקוח המבחין בסימן המנעול הקטן בתחתית המסך.
מה קורה למעשה בעת ביצוע העסקה בטופס מאובטח? – דיברנו על מפתחות, אם כן מפתח אחד ציבורי ידוע ולמעשה מופץ באופן חופשי ומפתח פרטי נמצא אצל הספק אימות ה – CA.

כעת הלקוח מצפין את המגיע למעשה באמצעות המפתח הציבורי אותו קיבל, המידע מגיע לספק האימות שפותח אותו באמצעות המפתח הפרטי כך מועבר המידע כאשר הוא מוצפן. אגב שיטת שתי המפתחות דומה למקובל בכספת של לקוח בבנק כאשר שם לבנק יש מפתח אחד וללקוח מפתח אחר וכאשר רוצים לפתוח את הכספת של הלקוח, נדרשים למעשה 2 מפתחות.

צריך לזכור כי המידע מוצפן רק ברמת המסר עצמו ולא במחשב הלקוח או בשרת.

איך כל זה מגיע לתכל"ס? כאשר בעל אתר מבקש אבטחת SSL לאתר שלו עם תעודת CA ע"י אחת החברות שציינתי, החברה המאחסנת את האתר תפיק לאתר או יותר לנכון לדומיין – מפתח ציבורי של הדומיין. מפתח זה יימסר לחברה המסמיכה תעודה להצפנה, החברה תייצר מפתח פרטי שישלח אל החברה המאחסנת ויקושר אל המפתח הקיים בעבור אותו דומיין.

מה הוא הליך הפקת בארץ של תעודת הסמכה שכזו מעבר לצד הטכני:
החברה המסמיכה תדרוש מסמך רשמי המעיד על הגוף המזמין את התעודה – אם מדובר על אדם פרטי יתבקש בדרך כלל צילום תעודת זהות וצילום של שיק מבוטל. אם מדובר בחברה אזי מסמכי חברה.

שם החברה או האדם בתעודה חייב להיות זהה לשם המופיע בבעלות על הדומיין. – אם אין זהות בין השניים נדרש מכתב ויתור מבעל הדומיין המאשר כי למרות אי הזהות תופק תעודה על שם הדומיין.

חייבים להימסר שמות אנשי קשר מורשים לחתימה בגוף אשר מבקש את תעודת ההסמכה ומספרי הטלפון הנמסרים חייבים להיות מאומתים על ידי בזק ותואמים לגוף המזמין.

לאחר מכן מתחיל תהליך הבדיקה של המסמכים ויתבצע הליך של הפקת תעודת הסמכה.

חשוב לציין כי לכל חברות ההסמכה יש נציגות ישראלית אשר תפקידה לבדוק ולאמת את המסמכים המקומיים. הנציגות הישראלית היא זו אשר למעשה תיתן את האישור לחברה ההסמכה, כי המסמכים אכן נכונים וכי ניתן להמשיך בהליך.

משך זמן הפקת תעודת הסמכהSSL מיום הבקשה עד ליום בו היא נמסרת כ 10 ימים עד שבועיים.
עלות תעודה כאמור יכול לנוע סביב 150$ לשנה ואת לפני העלות אותה גובה חברת אחסון האתר בגין ביצוע ההליך כולו.

בהצלחה!
www.agate.co.il

תגיות: , , , ,

תגובות בפייסבוק