Вилли Саттон (Willie Sutton) однажды сказал, что грабит банки, «потому что там деньги». Повышение количества атак из Интернета на уровень приложений происходит по тем же причинам. Стало важным шифровать секретные данные, такие как номера и пароли кредитных карт.
Если вы запрашиваете с вебсервера страницу вида http: //, то все данные, проходящие между сервером и вашим браузером, будут незашифрованными. Любой человек, имеющий доступ к промежуточным сетям, может украсть информацию. Считайте открытый доступ в сеть (например, обычную электронную почту) открыткой, а не письмом.
Стандарт SSL был разработан для шифрования сетевого трафика, и это стало важным при введении в использование огромного количества коммерческих сайтов и электронной коммерции. Apache в состоянии шифровать вебтрафик с помощью SSL, известной также как TLS (с небольшими модификациями). Вы получаете такое шифрование, заходя на сайт с префиксом https : //. Считайте зашифрованный вебтрафик запечатанным конвертом.
Настроим SSL для Apache. Исправьте файл /etc/apache2/ports. conf и добавьте следующую строку:
Listen 443
Затем включите модуль Apache SSL и прикажите Apache использовать его:
Module ssl installed: run /etc/init.d/apache2 forcereload to enable.
# /etc/init.d/apache2 forcereloadТеперь попробуйте получить доступ к домашней странице через https: //
Для работы SSL вашему серверу также требуется сертификат. Это зашифрованный файл, доказывающий пользовательскому браузеру, что вы — тот, за кого себя выдаете. Как браузер узнает, кому верить? Браузеры имеют встроенные списки источников сертификатов (ИС). Выполните следующую команду для их просмотра:
О Firefox 2.0 — Инструменты > Настройки > Шифрование > Просмотр сертификатов >
Центры сертификации; О Internet Explorer 6.0 — Сервис > Свойства обозревателя > Содержание > Сертификаты > Доверенные корневые центры сертификации.
ИС — это компании, продающие вашей организации сертификат и желающие получать деньги за кропотливую работу по подтверждению вашей личности. Коммерческие сайты практически всегда используют коммерческие источники сертификатов, поскольку браузер без возражений принимает сертификаты, созданные авторитетными источниками.
В качестве альтернативы вы можете сами стать источником сертификатов и создать самозаверяющийся сертификат. Это работает с SSL так же хорошо, как и коммерческий сертификат, но браузер напомнит пользователю подумать, принимать ли ваш сертификат. Самозаверяющиеся сертификаты обычны в небольших проектах с открытым кодом и во время тестирования больших проектов.