Pitanja koja se najčešće postavljaju
Pitanja koja se najčešće postavljaju u vezi sa sigurnošću registrara
- Kako registar kontroliše pristup Zajedničkom sistemu registra?
- Kako da precizno opišem IP adrese koje imaju pristup SRS-u?
- Šta je SSL sertifikat?
- Gdje mogu da dobijem SSL sertifikat?
- Koja je svrha zahtjeva "SSL Client:YES" za sertifikat koji kupujem?
- Koje su serije šifri prihvaćene?
- Kada dobijam korisničko ime/lozinku za proizvodni SRS?
- Koji SSL programski alat bi trebalo da koristim?
- Kako registar kontroliše pristup Zajedničkom sistemu registra?
Pristup zajedničkom sistemu registra je ograničen pomoću 3 mehanizma:- Kontrola pristupa proizvodnom SRS-u je ograničena filterima IP adresa.
- SSL kodiranje je neophodno za komunikacione kanale između sistema klijenata registrara i OT&E-a i proizvodnih sistema.
- Potvrda pristupa putem korisničkog imena i lozinke je neophodna za uspostavljanje aktivnosti.
SRS-u je potrebna tačna kombinacija za tri navedena mehanizma prije nego što nekom registraru odobri pristup. - Kako da precizno opišem IP adrese koje imaju pristup SRS-u?
Obrazac sa podacima o registraru ima odeljak u kome se mogu precizno opisati IP pod-mreže za pristupanje proizvodnom SRS-u. Pod-mreže moraju biti precizirane uz poštovanje sledećih pravila:- Maksimum od dvije pod-mreže.
- maksimum od 64 IP adrese između dvije pod-mreze
- Preciziranje pod-mreža mora biti u CIDR formatu (npr. 192.168.1.0/27) pri čemu je "/27" dužina pod-mreže. Ograničenje na maksimum od 64 IP adrese znači da dužina nikad neće iznositi manje od /26.
- Primjeri funkcionalnih pod-mreža su:
- Jedna pod-mreža 64 hosta (e.g. 192.168.1.0/26)
- Dvije pod-mreže sa 32 hosta ili manje (npr. pod-mreža #1 kao 192.168.2.0/27, koja predstavlja 32 adrese 192.168.2.0 do 192.168.2.31; i pod-mreža #2 kao 192.168.3.0/27, koja predstavlja 32 adrese 192.168.3.0 do 192.168.3.31)
- Precizirane pod-mreže moraju da budu u skladu sa važećim ograničenjima bita. Primjera radi, pod-mreža precizirana kao 192.168.2.1/27 je neprihvatljiva jer ".1" nije važeće ograničenje za pod-mrezu /27 . sljedjeća tabela definise važeća ograničenja za dužinu svake pod-mreže.
Dužina pod-mreže Broj hostova Ograničenja /26 64 0,64,128,192 /27 31 0,32,64,96,128,160,192,224 /28 16 0,16,32,48,64,80,96,112,128, 144,160,176,192,208,224,240 /29 8 0,8,16,24,32,40,...,248
(povecanje od 8)/30 4 0,4,8,12,16,20,...,252
(povećanje od 4)/31 2 0,2,4,6,8,12,...,254
(povećanje od 2)/32 1 0 through 255
(povećanje od 1)
- Šta je SSL sertifikat?
Digitalna izjava je ustvari izjava koja je digitalno potpisana od strane nezavisne i pouzdane treće strane nadležne za izdavanje sertifikata. To je obično izjava tačno određenom formatu koji je propisan standardom koji se naziva x.509, tako da se ponekad naziva i X.509 izjavom .
Sertifikat je neophodan radi uspostavljanja vjerodostojnog i kodiranog komunikacionog kanala između servera registrara i SRS registra. - Gdje mogu da dobijem SSL sertifikat?
X.509 SSL sertifikate Vam može izdati jedan od priznatih nadležnih organa za izdavanje sertifikata. Molimo da obratite pažnju na to da sertifikat koji dobijete nije individualni/lični sertifikat. Priznati nadležni organi za izdavanje sertifikata su:Molimo Vas da obratite pažnju na detalje u vezi sa sertifikatima Starfield Intermediate-a i Root-a
Detalji sertifikata Intermediate-a :
Izdavač:
C=SAD, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification Authority
Važi:
Ne prije: 16 novembra 01:15:40 2006 GMT
Ne nakon : 16 novembra 01:15:40 2026 GMT
Predmet:
C=SAD, ST=Arizona, L=Scottsdale, O=Starfield Technologies, Inc., OU=http://certificates.starfieldtech.com/repository, CN=Starfield Secure Certification Authority/serialNumber=10688435Detalji sertifikata Root-a:
Izdavač:
C=US, O=Starfield Technologies, Inc., OU=Starfield nadlezni organ za izdavanje sertifikata druge klase
Važi:
Ne prije: 29 juna 17:39:16 2004 GMT
Ne nakon : 29 juna 17:39:16 2034 GMT
Subject:
C=US, O=Starfield Technologies, Inc., OU=Starfield nadlezni organ za izdavanje sertifikata druge klaseUkoliko želite da koristite usluge Organa za izdavanje sertifikata koji nije na ovoj listi, molimo Vas pozovite .ME tehničku podršku support@registry.me
- Koja je svrha zahtjeva "SSL Client:YES" za sertifikat koji kupujem?
Ovo definise svrhu sertifikata kao i to da li može da se koristi kao sertifikat klijenta.Ovo što slijedi je primjer očekivanih izlaznih podataka nakon unesene naredbe: openssl x509 -in your_cert.filename -purposeSvrha sertifikata:
- SSL client : Yes
- SSL client CA : No
- SSL server : No
- SSL server CA : No
- Netscape SSL server : Yes
- Netscape SSL server CA : No
- S/MIME signing : No
- S/MIME signing CA : No
- S/MIME encryption : No
- S/MIME encryption CA : No
- CRL signing : Yes
- CRL signing CA : No
- Any Purpose : Yes
- Any Purpose CA : No
- OCSP helper : Yes
- OCSP helper CA : Yes
Molimo da se uvjerite da na sertifikatu koji ste kupili stoji "YES" za SSL klijenta. Kao što je napomenuto, ovaj sertifikat mogu koristiti i klijenti i server.
- WKoje su serije šifri prihvaćene?
Da bi se uspostavila SSL konekcija za SSR, sistem klijenta Registrara mora da odabere seriju šifri koju podržava SSR. SRS podržava sljedjeće šifre:- SSL_RSA_WITH_RC4_128_MD5
- SSL_RSA_WITH_RC4_128_SHA
- SSL_DHE_DSS_WITH_DES_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DH_anon_WITH_RC4_128_MD5
- SSL_DH_anon_WITH_DES_CBC_SHA
- SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
- Kada dobijam korisničko ime/lozinku za proizvodni SRS?
Korisničko ime i lozinka za proizvodni SRS se izdaje pošto se uspješno popuni akreditacija. - WKoji SSL programski alat bi trebalo da koristim?
Registrari su dužni da obezbijede SSL programski alat koji je kompatibilan sa razvojem jezika i platforme sistema njihovog klijenta. Minimalni zahtjev je da podržava SSL verziju 3.
For C, C++ or Perl Environments- OpenSSL je optimalno rješenje otvorenog softvera za SSL.
Za Javu
- Sun's Java Secure Socket Extension
- SSLava from Phaos Technology
SSLava je takođe programski alat koji se koristi u razvoju SRS-a.