1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
|
<?xml version="1.0" encoding="utf-8"?>
<!-- This Source Code Form is subject to the terms of the Mozilla Public
- License, v. 2.0. If a copy of the MPL was not distributed with this
- file, You can obtain one at http://mozilla.org/MPL/2.0/. -->
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"[
<!ENTITY % brandDTD SYSTEM "chrome://branding/locale/brand.dtd" >
%brandDTD;
]>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Использование сертификатов</title>
<link rel="stylesheet" href="helpFileLayout.css"
type="text/css"/>
</head>
<body>
<h1 id="using_certificates">Использование сертификатов</h1>
<p>Сертификат представляет собой цифровой эквивалент удостоверения личности. Подобно тому, как вы можете иметь несколько удостоверений для различных целей — водительское удостоверение, пропуск на работу, кредитную карту, — вы можете располагать несколькими сертификатами, которые удостоверяют вас для различных целей.</p>
<p>В этом разделе рассказано, как выполнять различные действия, связанные с сертификатами.</p>
<div class="contentsBox">В этом разделе:
<ul>
<li><a href="#getting_your_own_certificate">Получение вашего собственного сертификата</a></li>
<li><a href="#checking_security_for_a_web_page">Проверка защищенности веб-страницы</a></li>
<li><a href="#managing_certificates">Управление сертификатами</a></li>
<li><a href="#managing_smart_cards_and_other_security_devices">Работа со смарт-картами и другими устройствами защиты</a></li>
<li><a href="#managing_ssl_warnings_and_settings">Управление предупреждениями и параметрами SSL</a></li>
<li><a href="#controlling_validation">Управление верификацией сертификатов</a></li>
</ul>
</div>
<h1 id="getting_your_own_certificate">Получение вашего собственного сертификата</h1>
<p>Подобно кредитной карте или водительскому удостоверению, сертификат представляет собой одну из разновидностей удостоверения личности, которым вы можете удостоверить свою личность в сети Интернет и других сетях. Как и другие виды удостоверений, сертификаты, как правило, выдаются специальными организациями, имеющими для этого необходимые полномочия. Организация, выдающая сертификаты, называется <strong>центром сертификации (CA).</strong></p>
<p>Вы можете получить сертификат, удостоверяющий вас, от компании, специализирующейся на выдаче сертификатов, от вашего системного администратора или корпоративного центра сертификации, от специализированного сайта, предоставляющего определенные услуги и требующего более надежной авторизации, чем ввод имени пользователя и пароля. Все эти сертификаты могут иметь различные области применения.</p>
<p>Подобно тому, как требования к получателю водительского удостоверения зависят от типа транспортного средства, требования, которые нужно выполнить для получения сертификата, могут существенно меняться в зависимости от области использования этого сертификата. В некоторых случаях достаточно посетить сайт, заполнить форму и загрузить полученный сертификат на компьютер. В других случаях могут понадобиться более сложные действия.</p>
<p>Вы можете получить ваш собственный сертификат, посетив сайт центра сертификации и следуя приведенным на нем инструкциям. Список центров сертификации приведен в онлайновом документе (на английском языке) <a href="https://certs.netscape.com/">Клиентские сертификаты</a>.</p>
<p>При получении сертификата, он автоматически сохраняется в <a href="glossary.xhtml#security_device">устройстве защиты</a>. В Seamonkey имеется встроенное программное устройство защиты. Устройство защиты также может быть аппаратным устройством, таким как, например, смарт-карта.</p>
<p>Подобно кредитной карте или водительскому удостоверению, сертификат, попавший в руки посторонних лиц, может быть использован не по назначению. После получения вашего сертификата вам следует предпринять два действия для его защиты: создать резервную копию сертификата и установить <a href="glossary.xhtml#master_password">мастер-пароль</a> для устройства защиты, на котором он хранится.</p>
<p>При получении сертификата вам может быть предложено создать его резервную копию. Если вы еще не задали мастер-пароль, вам будет предложено сделать это.</p>
<p>Дополнительные сведения о создании резервных копий и задании мастер-пароля приведены в разделе справки <a href="certs_help.xhtml#your_certificates">Ваши сертификаты</a>.</p>
<p>[<a href="#using_certificates">Вернуться к началу раздела</a>]</p>
<h1 id="checking_security_for_a_web_page">Проверка защищенности веб-страницы</h1>
<p>При просмотре любой веб-страницы значок с изображением замка в правой нижней части окна Навигатора указывает, была ли страница передана на ваш компьютер по защищенному соединению (т.е. в <a href="glossary.xhtml#encryption">зашифрованном виде</a>):</p>
<table summary="lock icons">
<tr>
<td><img alt="значок с изображением закрытого замка"
src="chrome://communicator/skin/icons/lock-secure.gif"/></td>
<td>Закрытый замок означает, что страница была передана на ваш компьютер в зашифрованном виде.</td>
</tr>
<tr>
<td><img alt="значок с изображением открытого замка"
src="chrome://communicator/skin/icons/lock-insecure.gif"/></td>
<td>Открытый замок означает, что страница была передана на ваш компьютер в незашифрованном виде </td>
</tr>
<tr>
<td><img alt="значок с изображением сломанного замка"
src="chrome://communicator/skin/icons/lock-broken.gif"/></td>
<td>Сломанный замок означает, что некоторые элементы страницы (встроенные объекты) были переданы на ваш компьютер в незашифрованном виде, хотя сама страница была зашифрована.</td>
</tr>
</table>
<p>Чтобы получить дополнительные сведения о защищенности страницы, щелкните мышью по этому значку (или выберите из меню "Вид" пункт "Информация о странице" и в открывшемся окне выберите вкладку "Безопасность").</p>
<p>На вкладке "Безопасность" окна "Информация о странице" представлена информация двух типов:</p>
<ul>
<li>В верхней половине окна указано, была ли подтверждена подлинность сайта, т.е. был ли представлен и успешно верифицирован сертификат сайта. (О процессе верификации сертификатов рассказано в разделе <a href="#controlling_validation">Управление верификацией сертификатов</a>.)</li>
<li>В нижней половине окна указано, была ли страница получена через защищенное соединение (в зашифрованном виде).</li>
</ul>
<p><strong>Важно:</strong> Значок с изображением замка отражает защищенность соединения, через которое была получена страница, при отображении страницы, т.е. уже после ее получения. Чтобы получать предупреждения <i>перед</i> получением страницы через защищенное соединение, переходом от защищенной страницы к незащищенной, отправкой информации в незашифрованном виде и т.п., настройте параметры предупреждений SSL. Информация об этом приведена в разделе справки <a href="ssl_help.xhtml">Приватность и защита информации — SSL</a>.</p>
<p>[<a href="#using_certificates">Вернуться к началу раздела</a>]</p>
<h1 id="managing_certificates">Управление сертификатами</h1>
<p>Вы можете использовать Менеджер сертификатов для управления сертификатами, которыми вы располагаете. Сертификаты могут храниться на локальном диске, <a href="glossary.xhtml#smart_card">смарт-картах</a> или других устройствах защиты, подключенных к вашему компьютеру.</p>
<p>Чтобы открыть диалоговое окно Менеджера сертификатов:</p>
<ol>
<li>Откройте меню "<span class="mac">&brandShortName;</span><span class="noMac">Правка</span>" и выберите пункт "Настройки".</li>
<li>Выберите подкатегорию "Сертификаты" категории "Приватность и защита" (при необходимости используйте значок слева от названия категории, чтобы получить доступ к списку подкатегорий).</li>
<li>В группе настроек "Упорядочение сертификатов" нажмите кнопку "Упорядочить сертификаты".</li>
</ol>
<div class="contentsBox">В этом разделе:
<ul>
<li><a href="#managing_certificates_that_identify_you">Управление вашими сертификатами</a></li>
<li><a href="#managing_certificates_that_identify_others">Управление сертификатами других лиц</a></li>
<li><a href="#managing_certificates_that_identify_websites">Управление сертификатами сайтов</a></li>
<li><a href="#managing_certificates_that_identify_certificate_authorities">Управление сертификатами центров сертификации</a></li>
</ul>
</div>
<h2 id="managing_certificates_that_identify_you">Управление вашими сертификатами</h2>
<p>Диалоговое окно Менеджера сертификатов содержит ряд вкладок. Первая вкладка, "Ваши сертификаты", содержит информацию о доступных Seamonkey сертификатах, которые удостоверяют вашу личность для каких-либо целей. Сертификаты сгруппированы по организациям, выдавшим их.</p>
<p>Чтобы выполнить действие над одним или несколькими сертификатами, выберите нужный сертификат (используйте левую кнопку мыши, удерживая клавишу <kbd class="mac">Cmd</kbd><kbd class="noMac">Ctrl</kbd>, чтобы выбрать несколько сертификатов). Нажмите кнопку "Просмотр", "Резервная копия" или "Удалить", чтобы выполнить соответствующее действие. При этом откроется диалоговое окно для выполнения этого действия. Нажмите кнопку "Справка" в диалоговом окне, чтобы получить информацию по его использованию.</p>
<p>Следующие кнопки на вкладке "Ваши сертификаты" могут быть нажаты независимо от того, выбраны ли какие-нибудь сертификаты:</p>
<ul>
<li><strong>Восстановить</strong>: Нажмите эту кнопку, чтобы восстановить сертификат из ранее созданной резервной копии или из файла, перенесенного с другого компьютера.</li>
<li><strong>Резервные копии всех</strong>: Нажмите эту кнопку, чтобы создать резервные копии всех сертификатов, хранящихся в вашем <a href="glossary.xhtml#software_security_device">программном устройстве защиты</a>.</li>
</ul>
<p><strong>Вы не сможете создать резервную копию сертификата, хранящегося на смарт-карте.</strong> Независимо от того, нажимаете ли вы кнопку "Резервная копия", выбрав несколько сертификатов, или кнопку "Резервные копии всех", созданная резервная копия не будет включать сертификаты, находящиеся на смарт-картах или других внешних устройствах защиты. Вы можете создавать резервные копии только тех сертификатов, которые хранятся во встроенном программном устройстве защиты.</p>
<p>Дополнительная информация о выполнении этих задач приведена в разделе <a href="certs_help.xhtml#your_certificates">Ваши сертификаты</a>.</p>
<p>[<a href="#managing_certificates">Вернуться к началу раздела</a>]</p>
<h2 id="managing_certificates_that_identify_others">Управление сертификатами других лиц</h2>
<p>При составлении почтового сообщения вы можете подписать его при помощи цифровой подписи. <a href="glossary.xhtml#digital_signature">Цифровая подпись</a> позволяет получателям сообщения убедиться в том, что оно действительно отправлено вами и не было изменено в процессе передачи.</p>
<p>Всякий раз, когда вы отправляете сообщение, подписанное цифровой подписью, к нему автоматически добавляется ваш сертификат шифрования (сертификат открытого ключа шифрования). Лицо, располагающее этим сертификатом, может посылать вам зашифрованные сообщения.</p>
<p>Один из простейших способов получить сертификат шифрования какого-либо лица — получить от него сообщение, подписанное цифровой подписью. Менеджер сертификатов автоматически сохраняет сертификаты, полученные таким образом.</p>
<p>Чтобы просмотреть все сертификаты других лиц, выберите вкладку "Другие" диалогового окна Менеджера сертификатов. На вкладке представлен список сертификатов, сгруппированных по организациям, выдавшим их. Вы можете отправить зашифрованное сообщение владельцу любого действительного сертификата.</p>
<p>Чтобы выполнить действие над одним или несколькими сертификатами, выберите нужный сертификат (используйте левую кнопку мыши, удерживая клавишу <kbd class="mac">Cmd</kbd><kbd class="noMac">Ctrl</kbd>, чтобы выбрать несколько сертификатов). Нажмите кнопку "Просмотр" или "Удалить", чтобы выполнить соответствующее действие. При этом откроется диалоговое окно для выполнения этого действия. Нажмите кнопку "Справка" в диалоговом окне, чтобы получить информацию по его использованию.</p>
<p>Дополнительная информация об управлении сертификатами других лиц приведена в разделе справки <a href="certs_help.xhtml#other_peoples_certificates">Другие</a>.</p>
<p>[<a href="#managing_certificates">Вернуться к началу раздела</a>]</p>
<h2 id="managing_certificates_that_identify_websites">Управление сертификатами сайтов</h2>
<p>Некоторые сайты используют сертификаты, удостоверяющие их подлинность (подлинность имени сайта и его принадлежность определенной организации). Такой сертификат необходим для установления защищенного соединения между браузером и сайтом (веб-сервером). При этом браузер и веб-сервер обмениваются данными в зашифрованном виде, что значительно затрудняет их прочтение для третьих лиц, которые могли бы перехватить поток этих данных.</p>
<p>Если адрес (URL) сайта начинается с префикса <tt>https://</tt>, это означает, что сайт имеет собственный сертификат. Если при посещении такого сайта выясняется, что его сертификат выдан центром сертификации (CA), который неизвестен Менеджеру сертификатов, или которому не следует доверять согласно настройкам Менеджера сертификатов, Seamonkey спросит вас, следует ли принять сертификат сайта и установить с ним соединение. Если вы принимаете новый сертификат (и указываете, что его следует принимать в дальнейшем), Менеджер сертификатов добавляет его к списку сертификатов сайтов.</p>
<p>Чтобы просмотреть все сертификаты сайтов, сохраненные вашим браузером, выберите вкладку "Сайты" диалогового окна Менеджера сертификатов.</p>
<p>Чтобы выполнить какое-либо действие над одним или несколькими сертификатами, выберите нужный сертификат (используйте левую кнопку мыши, удерживая клавишу <kbd>Shift</kbd>, чтобы выбрать несколько сертификатов). Нажмите кнопку "Просмотр", "Изменить" или "Удалить", чтобы выполнить соответствующее действие. При этом откроется диалоговое окно для выполнения соответствующего действия.</p>
<p>Нажав кнопку "Изменить", вы сможете указать, следует ли доверять данному сертификату сайта в будущем.</p>
<p>Дополнительная информация об управлении сертификатами сайтов приведена в разделе справки <a href="certs_help.xhtml#web_site_certificates">Сайты</a>.</p>
<p>[<a href="#managing_certificates">Вернуться к началу раздела</a>]</p>
<h2 id="managing_certificates_that_identify_certificate_authorities">Управление сертификатами центров сертификации</h2>
<p>Подобно любому удостоверению личности, сертификаты выдаются организацией, имеющей для этого признанные полномочия. Организация, выдающая сертификаты, называется <a href="glossary.xhtml#certificate_authority">центром сертификации (CA)</a>. Подлинность самого центра сертификации также подтверждается специальным сертификатом.</p>
<p>Как правило, сразу после установки Seamonkey уже располагает целым рядом сертификатов центров сертификации. Эти сертификаты позволяют Seamonkey распознавать сертификаты, выданные этими центрами, и работать с ними. Однако присутствие центра сертификации в этом списке <em>не означает</em> автоматического доверия сертификатам, выданным этим центром. Вы или ваш системный администратор можете, исходя из вашей политики безопасности, принять решение, стоит ли доверять сертификатам каждого типа, выданным каждым центром.</p>
<p>Чтобы просмотреть все сертификаты центров сертификации, доступные для Seamonkey, выберите вкладку "Центры сертификации" диалогового окна Менеджера сертификатов.</p>
<p>Чтобы выполнить действие над одним или несколькими сертификатами, выберите нужный сертификат (используйте левую кнопку мыши, удерживая клавишу <kbd class="mac">Cmd</kbd><kbd class="noMac">Ctrl</kbd>, чтобы выбрать несколько сертификатов). Нажмите кнопку "Просмотр", "Изменить" или "Удалить", чтобы выполнить соответствующее действие. При этом откроется диалоговое окно для выполнения этого действия. Нажмите кнопку "Справка" в диалоговом окне, чтобы получить информацию по его использованию.</p>
<p>При нажатии кнопки "Изменить" откроется диалоговое окно, позволяющее просматривать и изменять настройки доверия для сертификата. С помощью этих настроек можно задать, каким типам сертификатов, выданных этим центром, вы доверяете.</p>
<p>Дополнительная информация об управлении сертификатами центров сертификации приведена в разделе справки <a href="certs_help.xhtml#authorities">Центры сертификации</a>.</p>
<p>[<a href="#managing_certificates">Вернуться к началу раздела</a>]</p>
<h1 id="managing_smart_cards_and_other_security_devices">Работа со смарт-картами и другими устройствами защиты</h1>
<p>Смарт-карта представляет собой небольшое устройство, сравнимое по размеру с кредитной картой, которое содержит микропроцессор и способно хранить информацию, идентифицирующую своего владельца (например, <a href="glossary.xhtml#private_key">закрытые ключи</a> и <a href="glossary.xhtml#certificate">сертификаты</a>), а также выполнять криптографические операции.</p>
<p>Чтобы использовать смарт-карты при работе на компьютере, необходимо специальное считывающее устройство, подключенное к компьютеру, а также программное обеспечение, управляющее работой этого устройства.</p>
<p>Смарт-карта представляет собой лишь одну из разновидностей устройства защиты — программного или аппаратного устройства, которое предоставляет криптографические сервисы, и хранит информацию, идентифицирующую своего владельца. В Seamonkey для работы с устройствами защиты используется Менеджер устройств.</p>
<div class="contentsBox">В этом разделе:
<ul>
<li><a href="#about_security_devices_and_modules">Об устройствах защиты и модулях</a></li>
<li><a href="#using_security_devices">Использование устройств защиты</a></li>
<li><a href="#using_security_modules">Использование модулей защиты</a></li>
<li><a href="#enable_fips_mode">Активизация режима использования FIPS</a></li>
</ul>
</div>
<h2 id="about_security_devices_and_modules">Об устройствах защиты и модулях</h2>
<p>В окне Менеджера устройств перечислены все доступные устройства защиты. С помощью Менеджера устройств вы можете управлять любыми устройствами защиты, которые поддерживают спецификацию криптографии с открытым ключом PKCS #11, включая смарт-карты.</p>
<p><a href="glossary.xhtml#pkcs_11_module">Модуль PKCS #11</a> (иногда называемый модулем защиты) управляет одним или несколькими устройствами защиты подобно тому, как программа-драйвер управляет внешними устройствами, например, принтером или модемом. Если вы предполагаете использовать смарт-карты, вы должны не только подключить к компьютеру считывающее устройство, но и установить на нем модуль PKCS #11.</p>
<p>По умолчанию Менеджеру устройств доступны два внутренних модуля PKCS #11, которые управляют тремя устройствами защиты:</p>
<ul>
<li><strong>&brandShortName; Internal PKCS #11 Module:</strong> Управляет двумя устройствами защиты:
<ul>
<li><strong>Общие сервисы шифрования:</strong> Специальное устройство защиты, которое выполняет все криптографические операции, необходимые для работы модуля &brandShortName; Internal PKCS #11 Module.</li>
<li><strong>Программное устройство защиты:</strong> Это устройство хранит сертификаты и ключи, не находящиеся на внешних устройствах защиты, включая те сертификаты центров сертификации (CA), которые вы установили самостоятельно.</li>
</ul>
</li>
<li><strong>Встроенный основной модуль:</strong> Управляет специальным устройством защиты, называемым <q>Builtin Object Token</q>. Это устройство хранит <a href="glossary.xhtml#ca_certificate">сертификаты центров сертификации (CA)</a>, которые входят в поставку Seamonkey.</li>
</ul>
<p>[<a href="#managing_smart_cards_and_other_security_devices">Вернуться к началу раздела</a>]</p>
<h2 id="using_security_devices">Использование устройств защиты</h2>
<p>Менеджер устройств позволяет выполнять различные действия над устройствами защиты. Чтобы получить к нему доступ, выполните следующие действия:</p>
<ol>
<li>Откройте меню "<span class="mac">&brandShortName;</span><span class="noMac">Правка</span>" и выберите пункт "Настройки".</li>
<li>Выберите подкатегорию "Сертификаты" категории "Приватность и защита" (при необходимости используйте значок слева от названия категории, чтобы получить доступ к списку подкатегорий).</li>
<li>Нажмите кнопку "Упорядочить устройства".</li>
</ol>
<p>Модули PKCS #11 и устройства защиты представлены в окне Менеджера устройств в виде дерева, причем устройства являются потомками соответствующего модуля PKCS #11 и перечислены под его названием.</p>
<p>Когда вы выбираете из списка какое-либо устройство защиты, информация о нем появляется в средней части окна, а также становятся доступны некоторые из кнопок, расположенных в правой части окна. Например, выбрав "Программное устройство защиты", вы сможете выполнить следующие действия:</p>
<ul>
<li>Нажмите кнопку "Начать сеанс" или "Закончить сеанс", чтобы начать или закончить сеанс работы с программным устройством защиты. Если вы нажали кнопку "Начать сеанс", вам будет предложено ввести мастер-пароль для данного устройства защиты. Вам необходимо начать сеанс работы с устройством защиты, прежде чем Seamonkey сможет использовать его криптографические сервисы или информацию, сохраненную с его помощью.</li>
<li>Нажмите кнопку "Сменить пароль", чтобы сменить мастер-пароль для выбранного устройства защиты.</li>
</ul>
<p>Вы можете выполнить аналогичные действия для большинства устройств защиты. Однако вы не сможете выполнить их для устройств "Builtin Object Token" и "Общие сервисы шифрования". Это — специальные устройства защиты, которые должны быть активны постоянно.</p>
<p>Дополнительные сведения о работе с менеджером устройств приведены в разделе справки <a href="certs_help.xhtml#device_manager">Менеджер устройств</a>.</p>
<p>[<a href="#managing_smart_cards_and_other_security_devices">Вернуться к началу раздела</a>]</p>
<h2 id="using_security_modules">Использование модулей защиты</h2>
<p>Если вы хотите использовать смарт-карту или другое внешнее устройство защиты, вам необходимо установить программный модуль защиты и, при необходимости, физически подключить к компьютеру внешнее устройство. В процессе установки следуйте инструкциям производителя устройства.</p>
<p>После того, как новый модуль установлен на вашем компьютере, выполните следующие действия, чтобы загрузить его:</p>
<ol>
<li>Откройте меню "<span class="mac">&brandShortName;</span><span class="noMac">Правка</span>" и выберите пункт "Настройки".</li>
<li>Выберите подкатегорию "Сертификаты" категории "Приватность и защита" (при необходимости используйте значок слева от названия категории, чтобы получить доступ к списку подкатегорий).</li>
<li>Нажмите кнопку "Упорядочить устройства".</li>
<li>В окне Менеджера устройств нажмите кнопку "Загрузить".</li>
<li>В диалоговом окне "Загрузка устройства PKCS #11" нажмите кнопку "Обзор", найдите файл модуля и нажмите кнопку "Открыть".</li>
<li>Введите имя модуля в поле "Имя модуля" и нажмите кнопку "OK".</li>
</ol>
<p>Загруженный модуль будет добавлен к списку модулей в окне Менеджера устройств под именем, указанным вами.</p>
<p>Чтобы выгрузить модуль PKCS #11, выберите его в списке Менеджера устройств и нажмите кнопку "Выгрузить".</p>
<p>[<a href="#managing_smart_cards_and_other_security_devices">Вернуться к началу раздела</a>]</p>
<h2 id="enable_fips_mode">Активизация режима использования FIPS</h2>
<p>Публикации федерального стандарта по обработке информации (FIPS PUBS) 140-1 являются государственным стандартом США для реализации криптографических модулей — программного или аппаратного обеспечения, которое шифрует данные, расшифровывает их или выполняет другие криптографические операции (например, создание или проверку цифровых подписей). Многие категории продуктов, используемые правительством США, должны соответствовать одному или нескольким стандартам FIPS.</p>
<p>Чтобы активизировать режим использования FIPS, используйте Менеджер устройств:</p>
<ol>
<li>Откройте меню "<span class="mac">&brandShortName;</span><span class="noMac">Правка</span>" и выберите пункт "Настройки".</li>
<li>Выберите подкатегорию "Сертификаты" категории "Приватность и защита" (при необходимости используйте значок слева от названия категории, чтобы получить доступ к списку подкатегорий).</li>
<li>Нажмите кнопку "Упорядочить устройства".</li>
<li>В окне Менеджера устройств нажмите кнопку "Использовать FIPS". Если режим использования FIPS уже активизирован, вместо названия модуля <q>NSS Internal PKCS #11 Module</q> в списке отображается название <q>NSS Internal <strong>FIPS</strong> PKCS #11 Module</q>. Вместо кнопки "Использовать FIPS" появляется кнопка "Отключить FIPS".</li>
</ol>
<p>Чтобы отключить режим использование FIPS, нажмите кнопку "Отключить FIPS".</p>
<p>[<a href="#managing_smart_cards_and_other_security_devices">Вернуться к началу раздела</a>]</p>
<h1 id="managing_ssl_warnings_and_settings">Управление предупреждениями и параметрами SSL</h1>
<p>Протокол защищенных сокетов (SSL) позволяет вашему компьютеру устанавливать защищенное соединение с другими компьютерами через Интернет, т.е. обмениваться данными в зашифрованном виде. Это существенно затрудняет прочтение данных для третьих лиц, которые могут перехватить их. Кроме того, протокол SSL может использоваться для идентификации (проверки подлинности сетевых имен) компьютеров при помощи <a href="glossary.xhtml#certificate">сертификатов</a>.</p>
<p>Транспортный защищенный протокол (TLS) является новым стандартом, в основу которого положен протокол SSL. По умолчанию Seamonkey поддерживает как SSL, так и TLS. Этот подход в большинстве случаев является оптимальным, так как обеспечивает совместимость практически со любым программным обеспечением, которое поддерживает какую-либо версию SSL или TLS.</p>
<p>Однако в некоторых случаях системный администратор или другое компетентное лицо может счесть необходимым провести тонкую настройку параметров SSL, чтобы обеспечить специальные потребности защиты или возможность соединения с устаревшими программами, которые могут содержать ошибки.</p>
<p>Вам не следует самостоятельно изменять настройки SSL вашего браузера, если вы не знаете в точности, что и зачем вы хотите сделать, или не пользуетесь помощью квалифицированного специалиста. Если вам все же необходимо изменить эти настройки, выполните следующие действия:</p>
<ol>
<li>Откройте меню "<span class="mac">&brandShortName;</span><span class="noMac">Правка</span>" и выберите пункт "Настройки".</li>
<li>Выберите подкатегорию "SSL" категории "Приватность и защита" (при необходимости используйте значок слева от названия категории, чтобы получить доступ к списку подкатегорий).</li>
</ol>
<p>Дополнительные инструкции по настройке параметров SSL приведены в разделе <a href="ssl_help.xhtml">Настройки SSL</a>.</p>
<p>[<a href="#using_certificates">Вернуться к началу раздела</a>]</p>
<h1 id="controlling_validation">Управление верификацией сертификатов</h1>
<p>Как уже было сказано в разделе <a href="#getting_your_own_certificate">Получение вашего собственного сертификата</a>, сертификат является разновидностью удостоверения и во многом сходен, например, с водительским удостоверением. Вы можете использовать сертификат для того, чтобы удостоверить вашу личность при передаче информации через Интернет или другие сети. Однако, подобно водительскому удостоверению, сертификат может стать недействительным вследствие истечения срока действия или других причин. Поэтому ваше программное обеспечение должно иметь возможность проверить действительность любого сертификата, прежде чем доверять ему в качестве удостоверения какого-либо лица, организации или устройства.</p>
<p>В этом разделе рассказано о том, каким образом Менеджер сертификатов выполняет верификацию (подтверждение действительности) сертификатов и какие настройки влияют на этот процесс. Чтобы понимать, как происходит верификация, вы должны быть знакомы хотя бы с общими принципами <a href="glossary.xhtml#public-key_cryptography">криптографии с открытым ключом</a>. Если вы не представляете себе принципов использования сертификатов, вам следует проконсультироваться с вашим системным администратором, прежде чем изменять любые настройки верификации сертификатов в браузере.</p>
<div class="contentsBox">В этом разделе:
<ul>
<li><a href="#how_validation_works">Как происходит верификация сертификата</a></li>
<li><a href="#managing_crls">Управление списками отозванных сертификатов</a></li>
<li><a href="#configuring_ocsp">Настройка OCSP</a></li>
<li><a href="validation_help.xhtml">Настройки подтверждения действительности</a></li>
</ul>
</div>
<h2 id="how_validation_works">Как происходит верификация сертификата</h2>
<p>Всякий раз, когда вы используете или просматриваете какой-либо сертификат, сохраненный при помощи Менеджера сертификатов, Seamonkey предпринимает определенные действия по верификации (подтверждению действительности) этого сертификата. Как минимум, Менеджер сертификатов убеждается в том, что сертификат подписан цифровой подписью центра сертификации (CA), чей собственный сертификат (1) присутствует в списке сертификатов CA, доступных Менеджеру сертификатов, и (2) отмечен как заслуживающий доверия для выдачи типа сертификатов, к которому относится проверяемый сертификат.</p>
<p>Если сертификат CA, выдавшего проверяемый сертификат, отсутствует, <a href="glossary.xhtml#certificate_chain">цепочка сертификатов</a> для сертификата CA должна включать сертификат CA более высокого уровня, который доступен Менеджеру сертификатов и обладает надлежащим уровнем доверия. Менеджер сертификатов также убеждается в том, что сам проверяемый сертификат, если он уже сохранен на вашем компьютере, отмечен как заслуживающий доверия. Если какая-либо из этих проверок оказывается неудачной, Менеджер сертификатов помечает сертификат как неверифицированный и не рассматривает его как удостоверение подлинности субъекта сертификата.</p>
<p>Однако сертификат, успешно проходящий все эти проверки, может, тем не менее, быть недействительным. Например, сертификат может быть скомпрометирован и отозван по причине того, что постороннее лицо получило доступ к закрытому ключу сертификата. Располагая закрытым ключом, это лицо (или сайт) сможет выдать себя за владельца сертификата.</p>
<p>Одним из способов снижения риска, связанного с подобными ситуациями, является использование списков отозванных сертификатов (CRL) в процессе верификации (см. раздел <a href="#managing_crls">Управление списками отозванных сертификатов</a>). Как правило, вы можете загрузить CRL какого-либо центра сертификации, щелкнув по соответствующей ссылке. Если CRL загружен на компьютер, Менеджер сертификатов в процессе верификации проверяет с его помощью любые сертификаты, выданные этим центром, чтобы убедиться в том, что они не были отозваны.</p>
<p>Эффективность использования CRL зависит от периодичности их обновления центром сертификации, а также от того, как часто клиент (браузер) обновляет локальную копию списка. Вы можете установить <a href="validation_help.xhtml#automatic_crl_update_preferences">Настройки автоматического обновления CRL</a> таким образом, что актуальная копия списка будет автоматически загружаться с сервера с определенной периодичностью.</p>
<p>Другой способ своевременного получения информации о скомпрометированных сертификатах — использование специального сервера, который поддерживает протокол просмотра статуса сертификатов (OCSP). Такой сервер способен отвечать на клиентские запросы о действительности конкретных сертификатов (см. раздел <a href="#configuring_ocsp">Настройка OCSP</a>).</p>
<p>OCSP-сервер (сервер статуса сертификатов) периодически получает списки отозванных сертификатов от центра (или центров) сертификации. Вы можете настроить Менеджер сертификатов таким образом, чтобы при верификации сертификата он обращался к OCSP-серверу за подтверждением его действительности.</p>
<p>[<a href="#controlling_validation">Вернуться к началу раздела</a>]</p>
<h2 id="managing_crls">Управление списками отозванных сертификатов</h2>
<p>В списке отозванных сертификатов (CRL) перечислены сертификаты, которые были аннулированы. <a href="glossary.xhtml#certificate_authority">Центр сертификации (CA)</a> может аннулировать сертификат, если он был скомпрометирован каким-либо образом, подобно тому, как платежная система аннулирует вашу кредитную карту, если вы сообщите о том, что она похищена.</p>
<p>В этом разделе рассказано, как импортировать списки отозванных сертификатов и управлять ими.</p>
<p>Общие сведения о верификации сертификатов приведены в разделе <a href="#how_validation_works">Как происходит верификация сертификата</a>.</p>
<p>Настройки Seamonkey, относящиеся к спискам отозванных сертификатов, подробно описаны в разделе <a href="validation_help.xhtml">Настройки верификации</a>.</p>
<div class="contentsBox">В этом разделе:
<ul>
<li><a href="#about_the_next_update_date">О дате <q>Следующего обновления</q></a></li>
<li><a href="#importing_crls">Импорт списков отозванных сертификатов</a></li>
<li><a href="#viewing_and_managing_crls">Просмотр и настройка списков отозванных сертификатов</a></li>
</ul>
</div>
<h3 id="about_the_next_update_date">О дате <q>Следующего обновления</q></h3>
<p>Seamonkey использует доступные списки отозванных сертификатов при проверке действительности сертификатов, выданных соответствующими центрами сертификации. Если сертификат включен в список как отозванный, Seamonkey не будет рассматривать его как подтверждение подлинности субъекта сертификата.</p>
<p>Как правило, центр сертификации публикует обновленные списки отозванных сертификатов с определенной периодичностью. Каждый список содержит поле "Следующее обновление", в котором приводится дата, когда центр сертификации выпустит обновленную версию этого списка. Как правило, если в поле "Следующее обновление" списка, находящегося на вашем компьютере, указана уже прошедшая дата, вам следует получить обновленную версию списка. О том, как просмотреть свойства списка отозванных сертификатов и настроить автоматическое обновление списков, рассказано в разделе <a href="#viewing_and_managing_crls">Просмотр и настройка списков отозванных сертификатов</a>.</p>
<p>Центр сертификации обязан выпустить обновленную версию списка не позднее даты следующего обновления, указанной в последнем опубликованном списке. Однако отсутствие на компьютере последней версии списка само по себе не приводит к отказу в верификации сертификата. В этой ситуации сертификат может быть верифицирован даже в том случае, если, согласно последней версии списка, он уже отозван. Автоматическое обновление списка отозванных сертификатов позволяет избежать подобных ситуаций и обеспечить постоянную доступность актуальной версии списка на вашем компьютере.</p>
<h3 id="importing_crls">Импорт списков отозванных сертификатов</h3>
<p>Вы можете импортировать (загрузить) последнюю версию списка отозванных сертификатов с сервера центра сертификации, сделав ее доступной для Seamonkey. Чтобы импортировать список, выполните следующие действия:</p>
<ol>
<li>Откройте в Навигаторе страницу, адрес (URL) которой указан центром сертификации или вашим системным администратором. Щелкните по ссылке, указывающей на список отозванных сертификатов (CRL), который вы хотите импортировать.
<p>Откроется диалоговое окно "Статус импорта CRL".</p>
</li>
<li>Если вы увидите сообщение о том, что список (CRL) импортирован успешно, и убедитесь в том, что это именно тот список, который вам нужен, нажмите одну из кнопок в диалоговом окне. В большинстве случаев вам следует нажать кнопку "Да", что обеспечит автоматическое обновление импортированного списка в дальнейшем.</li>
<li>Следующие действия зависят от того, какую кнопку вы нажали в диалоговом окне "Статус импорта CRL":
<ul>
<li><strong>Да:</strong> Откроется диалоговое окно "Настройки автоматического обновления CRL".В этом случае переходите к п.4 данной инструкции.</li>
<li><strong>Нет:</strong> Диалоговое окно закроется, автоматических обновлений загруженного списка производиться не будет. Если в дальнейшем вы измените свое решение и захотите активизировать автоматическое обновление списка, следуйте инструкциям раздела <a href="#viewing_and_managing_crls">Просмотр и настройка списков отозванных сертификатов</a>.</li>
</ul>
</li>
<li>Установите флажок <q>Использовать автоматическое обновление этого CRL</q>.</li>
<li>Задайте режим автоматического обновления:
<ul>
<li><strong>Обновлять за __ дней до следующего обновления:</strong> Выберите этот вариант, если вы хотите обновлять локальную копию списка примерно с той же периодичностью, с которой центр сертификации публикует обновленную версию списка (CRL).</li>
<li><strong>Обновлять каждые __ дней:</strong> Выберите этот вариант, если вы хотите периодически проверять наличие обновленной версии (и загружать ее, если она доступна), независимо от даты следующего обновления, указанной в списке.</li>
</ul>
</li>
<li>Нажмите кнопку "OK", чтобы подтвердить сделанный выбор.</li>
</ol>
<h3 id="viewing_and_managing_crls">Просмотр и настройка списков отозванных сертификатов</h3>
<p>Вы можете просматривать списки отозванных сертификатов (CRL) и изменять их свойства, используя раздел настроек "Подтверждение действительности". Чтобы получить к нему доступ:</p>
<ol>
<li>Откройте меню "<span class="mac">&brandShortName;</span><span class="noMac">Правка</span>" и выберите пункт "Настройки".</li>
<li>Выберите подкатегорию "Подтверждение" категории "Приватность и защита" (при необходимости используйте значок слева от названия категории, чтобы получить доступ к списку подкатегорий).</li>
<li>Нажмите кнопку "Упорядочить CRL…".</li>
</ol>
<p>Откроется окно, в котором перечислены доступные списки отозванных сертификатов. Чтобы удалить список или обновить его, загрузив актуальную версию, выберите нужный список и нажмите соответствующую кнопку.</p>
<p>Чтобы задать параметры автоматического обновления CRL, выберите нужный список и нажмите кнопку "Параметры". Откроется диалоговое окно "Настройки автоматического обновления CRL":</p>
<ol>
<li>Установите флажок <q>Использовать автоматическое обновление этого CRL</q> (или сбросьте его, если вы хотите отключить режим автоматического обновления).</li>
<li>Задайте режим автоматического обновления:
<ul>
<li><strong>Обновлять за __ дней до следующего обновления:</strong> Выберите этот вариант, если вы хотите обновлять локальную копию списка примерно с той же периодичностью, с которой центр сертификации публикует обновленную версию списка (CRL).</li>
<li><strong>Обновлять каждые __ дней:</strong> Выберите этот вариант, если вы хотите периодически проверять наличие обновленной версии (и загружать ее, если она доступна), независимо от даты следующего обновления, указанной в списке.</li>
</ul>
</li>
<li>Нажмите кнопку "OK", чтобы подтвердить сделанный выбор.</li>
</ol>
<p>[<a href="#controlling_validation">Вернуться к началу раздела</a>]</p>
<h2 id="configuring_ocsp">Настройка OCSP</h2>
<p>Параметры, которые определяют использование протокола просмотра статуса сертификатов (OCSP), доступны в разделе настроек "Подтверждение действительности". Чтобы получить к нему доступ:</p>
<ol>
<li>Откройте меню "<span class="mac">&brandShortName;</span><span class="noMac">Правка</span>" и выберите пункт "Настройки".</li>
<li>Выберите подкатегорию "Подтверждение" категории "Приватность и защита" (при необходимости используйте значок слева от названия категории, чтобы получить доступ к списку подкатегорий).</li>
</ol>
<p>Доступные настройки описаны в разделе справки <a href="validation_help.xhtml#ocsp">OCSP</a>.</p>
<p>[<a href="#controlling_validation">Вернуться к началу раздела</a>]</p>
<p>Локализация произведена компанией ALTLinux и участниками проекта Mozilla Russia</p>
</body>
</html>
|