Паспорт транспортного средства — ПТС: получение, замена, дубликат, проверка, восстановление
Эта статья расскажет вам все, что нужно знать водителю о паспорте транспортного средства. В этом документе указана полная информация об автомобиле, его характеристиках и всех владельцах.
Практически в 100% случаях свой паспорт транспортного средства водитель держит в руках только 2 раза: во время покупки машины и когда она продается.
Этот документ выполнен в виде листа А4, который заполняется с обеих сторон. Его конструкция имеет линию изгиба, таким образом, превращая лист в своеобразную книжечку.
Справа указывается детальная информация о транспортном средстве. Она заполняется предприятием, которое выдает документ. Сюда относится: производитель, органы таможенного контроля и ГИБДД.
Слева располагаются две прямоугольные области, которые предназначены для внесения данных о владельце транспортного средства. На обратной стороне расположены еще четыре таких же области.
Стоит упомянуть степень защиты самого бланка ПТС. Этот документ при изготовлении очень сильно защищается. По всему листу нанесены голограммы, имеющие мелкие детали и узоры, которые выполнены определенной краской. Но, не смотря на это, встречаются умельцы, которые неплохо подделывают этот документ. Ниже будет рассказано, как же отличить подделку от оригинала.
Дубликат и оригинал ПТС
Оригиналом паспорта считается документ, который был выдан либо заводом-производителем, либо таможенными службами (если машина производится заграницей).
Дубликатом считается документ, который был получен у органов ГИБДД по причине потери оригинала или же при замене паспорта, в котором больше нет места для указания владельцев. При этом с точки зрения приобретателя эти документы имеют просто огромную разницу.
Различить эти два документа очень просто. Все что нужно сделать — это обратить внимание на название организации выдавшей техпаспорт. Если в графе №23 указано любое подразделение ГИБДД, вы имеете дело с копией, если же здесь числится завод изготовитель или же таможенный контроль – перед вами оригинал. Также история относится и к печатям: печать завода или таможни указывает на оригинальный ПТС, а печать ГИБДД – на копию.
Имея дело с дубликатом, следует обратить внимание на графу особые отметки, в которой указывается причина выдачи этого документа. Их может быть две:
- -ПТС выдан взамен утилизированного. Это указывает на то, что в оригинале просто закончилось место для указания новых владельцев. И собственник передал оригинал сотруднику ГИБДД для утилизации.
- -ПТС выдан взамен утраченного. В этом случае в органы ГИБДД не был передан оригинал, так как со слов владельца он был потерян.
Теперь стоит рассмотреть, что может скрываться за тем или иным вариантом паспорта транспортного средства:
- -Оригинал. Это самый идеальный вариант, таким образом, можно отследить всех владельцев автомобиля.
- -Давно выданный дубликат, имеющий записи о нескольких владельцах тоже является хорошим вариантом, так как это указывает на то, что у автомобиля проблем с ГИБДД нет никаких.
- -Дубликат взамен утилизированного техпаспорта, который был недавно получен. Здесь тоже ничего страшного не может быть, ведь место в нем может рано или поздно попросту закончиться.
Дубликат взамен утраченного ПТС, который выдан недавно. С такими техническими паспортами лучше дела не иметь. Владелец действительно мог потерять оригинал документа и запросить в ГИБДД получение нового. Но это также может указывать на криминальное прошлое автомобиля. Вот вам несколько примеров этого:
Одним словом, приобретать машину с недавно выданным дубликатом техпаспорта лучше не стоит. Все остальные случаи также могут скрывать мошеннические комбинации, но шанс на них попасться, очень невысок. А вот если дубликат техпаспорта был недавно выдан взамен утраченного, шанс оказаться обманутым станет максимальным. Поэтому в таком случае лучше отказаться от покупки.
Как восстановить утерянный ПТС?
Теперь стоит посмотреть на ситуацию со стороны продавца. В случае потери техпаспорта, его нужно восстановить в кротчайшие сроки. Процедура восстановления полностью идентична процессу замены ПТС, даже заявления пишутся аналогичные. Поэтому повторно рассказывать об этом не стоит.
Но опять-таки стоит упомянуть, что если вы восстановите паспорт транспортного средства, большинство покупателей будут бежать от вашей машины как от прокаженной. Поэтому лучше всего поискать оригинал и проверить каждый закоулок, где он мог оказаться.
И если все-таки найти оригинал не предоставляется возможным, его следует восстановить в ближайшем отделении ГИБДД. Но и здесь есть вариант избежать негодования потенциальных покупателей. Вместе с дубликатом можно предоставить сделанную ранее копию оригинала.
Таким образом, встретившись с покупателем, вы можете предъявить вместе с дубликатом копию оригинала, в которой четко видны все владельцы машины. После этого покупатель может проверить подлинность данных на портале ГИБДД. Если данные сайта совпадают с данными копии, сразу же снимается половина вопросов.
Проверка ПТС при покупке автомобиля
Официально существуют и имеют юридическую силу только два варианта ПТС: дубликат и оригинал. Но, к сожалению, есть еще один вариант, который был, упомянут ранее это подделка.
Приобретение машины с таким техническим паспортом ничего хорошего не сулит. Уже на стадии оформления транспортного средства в ГИБДД у вас возникнет преграда. Чаще всего такие автомобили числятся в угоне и машину либо сразу вернут владельцу, либо оставят «горепреобретателю» на хранение пока не найдется владелец. В любом случае вы не получите ни машины, ни денег за нее.
Разберемся, как выявить поддельный ПТС на практике:
Все что нужно, это тщательно осмотреть бланк техпаспорта. Люди, которые часто имеют дело с разными бланками ПТС, отличат оригинал от подделки в считанные секунды. Если же у вас нет такого опыта, тогда можно детально его осмотреть и сравнить с другим бланком, одолженным у друга или родственника. В первую очередь следует обращать внимание на качество материала и надписей. Воспользуйтесь лупой для более детального осмотра. Но если вы все равно сомневаетесь можно воспользоваться самым верным вариантом.
Для этого вам с владельцем следует подъехать к ближайшему стационарному посту ДПС и попросить сотрудников ГИБДД проверить подлинность ПТС. Подделку плохого качества они вычислят в считанные секунды, так как постоянно держат в руках оригиналы. Более детально подтвердить подлинность можно пробив номер документа по базам и сравнив информацию с указанной на ПТС.
Как заполнить ПТС при продаже автомобиля
Есть еще один важный пункт, который относится к документу паспорта транспортного средства. Имеется в виду указание нового владельца после заключенного договора купли-продажи и передачи права владения автомобиля другому лицу.
Не стоит бояться этого пункта, ведь на самом деле все предельно просто. Все что нужно, это выбрать пустое место в техническом паспорте, а именно свободный прямоугольник для нового владельца и указать в нем данные приобретателя. Стоит учесть, что вначале заполняются прямоугольники, которые расположены с обратной стороны листа, а потом уже лицевые.
Нынешним и будущим владельцами автомобиля заполняется только 6 граф:
Все остальные данные в паспорте технического средства заполнять не нужно, так как это делается сотрудниками ГИБДД, когда новый владелец регистрирует автомобиль на себя.
Паспорт технического средства — это крайне важный документ любого автомобиля, но нужен он только тогда, когда необходимо изменить регистрационные данные транспортного средства. Останавливая автомобиль, работники ГИБДД не должны проверять наличие техпаспорта у водителя, поэтому постоянно возить его с собой не имеет никакой нужды.
Приобретая транспортное средство нужно всегда проверять подлинность техпаспорта самостоятельно или же обратившись на ближайший пост ГИБДД. Максимально осторожно следует относиться к продавцам, которые предъявляют дубликат паспорта технического средства, выданный недавно по причине потери предыдущего. Очень часто, таким образом, владельцы проворачивают противозаконные махинации, и покупка такой машины ни к чему хорошему не приведет. По этой причине мы советуем вовсе отказаться от подобного рода сделки. Некоторое доверие можно выразить только тем продавцам, которые в состоянии предъявить копию потерянного техпаспорта.
При передаче прав владения транспортным средством другому лицу путем продажи или дарения данные о получателе в этом документе продавец заполняет собственноручно. Действия эти несложные и времени много не займут.
Проверка ПТС в 2020 году
ПТС – паспорт транспортного средства – обязательный документ, оформляемый еще на этапе изготовления автомобиля. Представляет собой содержание информации о всех владельцах авто.
С его помощью можно восстановить «историю» перехода транспортного средства – нередко представленным образом выявляется факт конфискации. Для чего необходима проверка ПТС и как ее осуществить?
Для чего нужно
Действующее законодательство предусматривает возможность приобретения транспортного средства в одном регионе, а его регистрацию в другом.
Получается, что покупатель, уже отдельно после совершения сделки, обращается в отделение ГИБДД по месту регистрации для постановки автомобиля на учет.
Наличие поддельного ПТС влечет неприятности для нового владельца:
- транспортное средство не регистрируют на имя покупателя и не ставят на учет;
- автомобиль может оказаться в угоне, а это его конфискация до выяснения обстоятельств;
- авто находится в залоге банка на основании кредитного договора, что также требует конфискации.
В таких ситуациях покупатель остается без приобретенного товара и денег. Чтобы избежать подобных неприятностей, следует проверять ПТС на подлинность.
Где можно осуществить
Проверить подлинность ПТС можно тремя способами:
самостоятельно визуально | для этого необходимо знать основные метки документа, которые утверждены законодательно и являются индикатором подлинности |
в отделении ГИБДД | здесь предлагаются 2 варианта: приехать лично с документом или позвонить по номеру отделения |
через интернет | на официальной сайте ГИБДД предоставляется информация о подлинности ПТС по введенному в форму номеру VIN |
Все приведенные способы не требуют денежных затрат и много времени на проверку. Достаточно все сделать правильно – проверить только нужную информацию.
Пошаговая инструкция
Для защиты от мошенников следует изучить инструкцию проверки ПТС различными способами.
По вин
VIN-код – это уникальный набор цифр и букв, который присваивается кузову автомобиля и прописывается в паспорт транспортного средства сразу после производства. При покупке необходимо уточнить: находится ли транспортное средство на учете ГИБДД.
Если нет, значит, проверка осуществляется следующим образом:
- зайти на официальный порта ГИБДД gibdd.ru;
- выбрать вкладку «Сервисы», «Проверка автомобиля»;
- в появившуюся форму вводят VIN-код, указанный в ПТС;
- выбрать необходимую информацию, нажать на «Запросить проверку».
На подлинность
Проверить ПТС на подлинность можно, обратив внимание на следующие метки документа:
орнамент паспорта | присутствует на всей площади листа, который при детальном рассмотрении не прерывается и не содержит прочих дефектов |
голограмма | основная метка документа, которая должна быть четкой и легко читаемой |
объемный рисунок | находится на обратной стороне паспорта – это розочка, которая определяется на ощупь и имеет свойство менять цвет от зеленого до серого, если рассматривать лист под разными углами |
водяной знак | документ можно рассмотреть на свету, что позволит увидеть соответствующий водяной знак («RUS») |
Представленные метки можно проверить самостоятельно – их совокупность для мошенников является неподъемной задачей. В подделанном ПТС одна из меток не будет выполнена качественно, зачастую это голограмма.
На ограничения
Проверить автомобиль на наличие ограничений по совершению сделок можно вышеуказанным способом на сайте ГИБДД.
Представленные действия можно осуществлять как в случаях постановки автомобиля на учет, так и при его снятии.Предложенный метод дает возможность узнать всю информацию о транспортном средстве по VIN-коду, номеру шасси или кузова. Из предложенных услуг на сервисе выбирается пункт «Проверка наличия ограничений».
Проверить автомобиль на ограничения можно по государственному номеру. Сделать это можно при помощи специальных сервисов, которые предлагают бесплатную проверку или за небольшую оплату работы сервера.
Дубликат
Мошенники зачастую продают транспортное средство с предоставлением дубликата ПТС. Большинство продавцов не имеют информации о наличии различий между копией и оригиналом. З
десь только отмечается – дубликат имеет те же отметки и водяные знаки, что и оригинал. Единственным отличием в данном случае выступает наличие характерной для документа отметки «Дубликат», которая ставится сразу под голограммой.
Как проверить подлинность визуально
Подлинность ПТС можно проверить визуально, рассмотрев все перечисленные выше отметки.
Если они в норме, значит, перед покупателем оригинал или дубликат документа, который имеет юридическую силу и дает возможность осуществить сделку с последующей регистрацией авто в отделении ГИБДД.
При визуальном осмотре ПТС следует обратить внимание на следующие данные:
количество владельцев | если их много, значит, автомобиль может потребовать дополнительные траты на ремонт, особенно внимательно рассматривают даты продажи (если владелец желает избавиться от авто сразу после приобретения, значит, машина доставляет неприятности в эксплуатации) |
наличие записи «договор залога» | это указывает на приобретение транспортного средства в кредит, поэтому вероятнее, что ПТС подделан (автомобиль находится в кредите, а владелец мог стать злостным неплательщиком) |
наличие соответствующих меток уплаты госпошлины по факту перегона авто из заграницы | если при указании подобной операции отсутствует печать оплаты пошлины, приобретать его не следует |
в ПТС указываются все коды транспортного средства | кузова, шасси и прочих – их необходимо сверить |
страна производитель | в паспорте обязательно указывают страну производителя транспортного средства, не следует приобретать авто из Белоруссии и других бедных стран Евросоюза (они зачастую ремонтируют авто после ДТП и предоставляют России в виде новых) |
Представленные данные также могут помочь выявить факт мошенничества в виде предоставления поддельного документа.
Кредитные и зарубежные машины
Зачастую приходится приобретать зарубежные авто или транспортные средства, ранее находившиеся в залоге по кредитному договору с банком. В этом случае также следует внимательно рассмотреть соответствующие метки в ПТС.
Если автомобиль иностранного производства, то паспорт транспортного средства выдается таможенной службой – это определенная запись в документе.
Помимо прочего, будут присутствовать подпись таможенника, стоять печать службы. О странах производителях уже оговаривалось выше.
Потенциальный покупатель должен также определить вид авто – кредитное оно или нет. На это указывает следующая информация:
- дата выпуска транспортного средства – зачастую в кредит берут новые автомобили;
- пробег – если автомобиль новый, значит, он небольшой;
- наличие транзитных номеров.
Представленные данные необязательны – они лишь косвенно указывают на наличие факта оформления кредита на транспортное средство.
Основным признаком является наличие дубликата ПТС. При обнаружении подобной отметки в документе необходимо осуществить проверку, что указано выше – сделать запрос на наличие ограничений в совершении сделки.
Проверка мотоцикла по ПТС
Продажа угнанного мотоцикла далеко не редкое явление, поэтому важно осуществить проверку представленного продавцом ПТС. В данном случае документ не отличается от паспорта, выданного на транспортное средство.
Проверить подлинность можно с помощью изучения всех приведенных выше меток, а также сравнив VIN-код с номером «кузова» мотоцикла.Номер кузова указан на раме. Мошенники предпочитают схему продажи мотоцикла по представленному ПТС от другого транспортного средства той же модели.
Проверить наличие факта угона или ограничения в сделках можно на сайте ГИБДД, введя в соответствующую графу VIN-код. Инструкция самостоятельной проверки была представлена выше.
Из вышесказанного следует – мошенники настолько предприимчивые, что могут подделать такой важный документ, как паспорт транспортного средства.
Зачастую подобная продажа осуществляется по предоставлению чужого документа. В качестве проверки подлинности следует проверять все данные в ПТС с номерами, выбитыми на деталях автомобиля.
Видео: Как проверить документы перед покупкой автомобиля
Внимание!
- В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
- Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.
Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!
- Задайте вопрос через форму (внизу), либо через онлайн-чат
- Позвоните на горячую линию:
ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.
Как проверить ПТС на подлинность по базе ГИБДД онлайн
Общая информация
Рассмотрим, как можно проверить ПТС.
- Путем личного обращения в ГИБДД. Сотрудники Госавтоинспекции предоставят максимум информации по вашему запросу. Для этого вам необходимо будет предъявить сотруднику ГИБДД документы на автомобиль.
- Позвонив по телефону в Госавтоинспекцию и назвав основные данные из ПТС.
- Воспользовавшись онлайн-сервисом ГИБДД.
- Воспользовавшись сторонними ресурсами, предлагающими узнать больше информации о вашем ТС, например, о том, не пребывает ли выбранный автомобиль в угоне.
Воспользоваться можно и другими интернет-сервисами, благо, их в интернете много. Но стоит сказать, что все они грешат недостоверностью данных.
Сервисы онлайн проверки, которые не относятся к государственным, в лучшем случае будут черпать информацию из государственных сайтов, в худшем – будут давать искаженные сведения. Так, не лучше ли самостоятельно воспользоваться надежным источником? Тем более, так вы будете уверены, что получили самые свежие данные.
Если вам срочно необходимо раздобыть как можно больше информации о ТС, то можете воспользоваться проверкой авто по госномеру и сервисами, предоставляющими возможность отыскать сведения об авто по ВИН-коду.
По государственному номеру доступна лишь проверка штрафов, которые не уплатил водитель. Информацию можно найти на сайте ГИБДД в соответствующем разделе. Кроме госномера, необходимо в специальное поле вписать также номер свидетельства о регистрации.
✔ Проверка по VIN.
С помощью ВИН-кода можно узнать множество полезной информации. Например, с помощью VIN-кода на сайте Федеральной нотариальной палаты можно узнать, находится ли автомобиль в залоге. Также можно проверить, не числится ли авто в международном розыске. Для поиска этой информации существует достаточно много различных сервисов.
Во-первых, уже несколько лет существует возможность проверки ряда информации по автомобилям и их владельцам на официальном сайте ГИБДД по единым базам данных.
- Проверка по базе штрафов ГИБДД
- Проверка транспортного средства по VIN номеру
- Проверка подлинности водительского удостоверения по номеру
В настоящий момент вы легко можете проверить задолженности по штрафам ГИБДД, имея на руках государственный номер авто и данные СТС, причем есть несколько способов:
- Во-первых, можно позвонить по телефону в ГИБДД, продиктовать личные данные и номер СТС и после проверки по базе данных штрафов вам сообщат, есть ли у вас задолженность;
- Есть возможность проверить штрафы на сайте ГИБДД, где по государственному номерному знаку автомобиля и номеру СТС можно выяснить информацию о штрафах по данному автомобилю;
Кстати, на текущий момент многие крупные банки в России дают возможность проверить штрафы ГИБДД онлайн в личном кабинете и тут же их оплатить. Помимо этого на сайте государственных услуг в личном кабинете также можно увидеть неоплаченные штрафы за нарушение ПДД или за неправильную парковку.
Если говорить о проверке авто по VIN-коду, то официальный сайт ГИБДД позволяет:
- Проверить историю регистраций авто в ГИБДД — получить основные сведения о ТС и периодах его регистрации в ГАИ за различными собственниками.
- Проверить на участие автомобиля в ДТП — вы можете получить сведения о дорожно-транспортных происшествиях с участием автомобиля с указанным VIN-номером, произошедших с начала 2015 года (но только те ДТП, которые оформлялись при участии сотрудников полиции и были внесены в федеральную базу АИУС ГИБДД)
- Проверить нахождения машины в розыске — вы можете получить сведения о федеральном розыске автомобиля правоохранительными органами.
- Проверить наличие ограничений на регистрационные действия с ТС в ГАИ — с помощью данной проверки вы можете получить сведения о наличии тех или иных ограничений на проверяемое транспортное средство.
Еще одним онлайн-сервисом на официальном сайте ГИБДД является «проверка подлинности водительского удостоверения по номеру», чтобы воспользоваться этой бесплатной онлайн-услугой вам необходимы данные и номер ВУ.
Из базы ГИБДД при личном обращении в подразделения Госавтоинспекции можно получить не только сведения о штрафах и долгах по ним, но и такие данные как:
- Дата регистрации автомобиля, юридическая история автомобиля и информация обо всех его прежних владельцах;
- Все идентификационные сведения автомобиля для сверки данных, внесенных в ПТС, с данными, имеющимися в ГИБДД, а именно:
— Данные о марке автомобиля;
— Производителе автомобиля;
— Массе автомобиля;
— Номере модели автомобиля;
— Цвете автомобиля и коде окраски;
— VIN-коде;
— Дате выпуска автомобиля;
— Номере шасси;
— Номере двигателя;
— Мощности двигателя;
— Государственном номере. - Информацию о наличии запрета на действия по регистрации собственности в отношении автомобиля;
- Данные о наличии наложенного ареста на автомобиль;
- Данных обо всех авариях, в которых ваш автомобиль принимал участие, кроме факта аварии, можно выяснить, где произошла авария, в какое время и кто был ее участником;
- Данные о нахождении автомобиля или его частей (двигателя, кузова) в розыске.
В отдельных городах России, таких как Москва и Санкт-Петербург, например, можно получить справочную информацию по числящимся за автолюбителем задолженностям по оплате штрафов по телефону. Для этого достаточно продиктовать госномер транспортного средства и водительского удостоверения.
Существует также приложение для мобильных телефонов, с помощью которого можно получить информация по штрафам, помимо этого существует сервисный короткий номер, отправив СМС-сообщение на который также можно получить информацию из базы штрафов.
На текущий момент такой возможности нет, нельзя проверить ПТС автомобиля через интернет по базе ГИБДД ни на официальном сайте Госавтоинспекции, ни на сторонних онлайн-сервисах.
Будьте бдительны и не доверяйте сомнительным сайтам, обещающим проверить ПТС по номеру онлайн по базе ГИБДД, личную персональную информацию, и тем более не вводите свои платежные данные банковских карт.
Не стоит забывать о том, что риски возможны и при приобретении поддержанного транспортного средства. Как и в любой другой сфере, в сфере купли-продажи транспорта постоянно орудуют мошенники.
Стоит помнить о том, что желание сэкономить может обернуться для покупателя неприятностями. Собственник не только лишится своего автомобиля, но и будет вынужден длительное время разбираться с судом, доказывая, что это не он был инициатором неправомерных действий.
Один из самых распространенных вариантов мошенничества – продажа авто с поддельным ПТС. За счет этого можно легко скрыть предыдущую, как правило криминальную, историю машины.
Не стоит пренебрегать принципами безопасности при покупке поддержанного транспорта. Большинство покупателей проверяют только автомобиль, не обращая никакого внимания на документы, Да, таким образом можно купить качественное авто, которое не участвовало в авариях, но имело отношение к иному правонарушению требований закона (автомобиль был угнан или водитель скрылся на нем после ограбления).
Поэтому перед тем, как приобретать поддержанное транспортное средство, необходимо проверить его ПТС.
Большинство случаев продажи транспорта с подделанным ПТС выявляется именно при продаже поддержанных иностранных автомобилей. Причем опасаться стоит не только недорогих автомобилей, но и авто премиум-класса (как правило, такие транспортные средства не прошли таможню).
Достаточно часто встречаются случаи, когда на территорию страны привозится так называемый «конструктор», который собирается под данные, указанные в ПТС. В таком случае все, что остается мошенникам, перебить старый номер ПТС в особых отметках.
Существует несколько косвенных признаков, при помощи которых можно определить «чистоту» приобретаемого транспортного средства:
- Продавец передает два комплекта оригинальных ключей от авто.
- В ПТС нечастая смена владельцев.
Подозрительна ситуация, когда дубликат паспорта на техническое средство был получен спустя небольшой промежуток времени после получения оригинала этого документа и в районе, который сильно удален от места первоначального оформления ПТС.
Также лучше всего не приобретать автомобиль, в паспорте которого указаны в качестве стран-производителей Беларусь или Литва. Высока вероятность, что транспорт был восстановлен после дорожно-транспортного происшествия или собран из нескольких частей.
Проверка авто по номеру ПТС на сайте ГИБДД
Сервис Госавтоинспекции разработан недавно (в 2013 году) и является достаточно простым в использовании.
- Зайдите на официальный сайт ГИБДД.
- Откройте раздел «Сервисы».
- В открывшемся меню выберите «Проверка автомобиля».
- Введите номер VIN, или номер кузова, или номер шасси.
К сожалению, по серийному номеру ПТС поиск возможен только для жителей Москвы. Для этого следует:
- Зайти на сайт мэра города.
- Зайти в раздел «Транспорт».
- Выбрать «Проверка ПТС».
- Ввести серию и номер ПТС.
Информация черпается из баз ГИБДД, поэтому сведениям можно доверять.
С помощью ВИН-кода, номеров кузова или шасси можно узнать следующую информацию:
- Об основных характеристиках авто.
- Об ограничениях, наложенных на ТС.
- О датах перерегистраций машины на новых владельцев.
- О пребывании авто в розыске.
- Об авариях, в которых участвовала машина.
Проверка по серийному номеру ПТС введена относительно недавно и пока что показывает москвичам такие данные:
- Количество владельцев, даты перерегистраций.
- Основные характеристика авто – марка, тип, год выпуска, категория ТС, цвет, параметры двигателя, грузоподъемность.
- цвет автомобиля;
- модель и марка;
- госномер;
- объём двигателя — обычно указывается на шильдике на задней стороне авто;
- дата выпуска — также может указываться на шильдике под капотом;
- масса автомобиля — можно проверить в ближайшем автосервисе;
- номер шасси.
- неоплаченные штрафы;
- является ли авто в угоне;
- есть ли запрет на изменение регистрационных данных;
- информацию о данных автомобиля.
http://vinformer.su/ru/ident/title/ — сервис для проверки автомобилей, ввезённых из другой страны после 1996 года.
http://shtrafy-gibdd.ru/ — ещё один сервис, который выдаст всю информацию о неоплаченных штрафах.
Также в сети существует множество других сервисов для проверки авто, но принцип работы практически не отличается. Минусом такой проверки является то, что информация может быть неактуальной (за исключением официального портала ГИБДД). Таким образом, наиболее точную и актуальную информацию Вам смогут предоставить лично в ГИБДД.
Также рекомендуем вам ознакомиться с другими полезными и бесплатными онлайн сервисами для автомобилистов в этой статье —
« Предыдущая запись Следующая запись »
Как проверить ПТС и прочие документы на автомобиль перед покупкой. #6 | Автоподбор Полякова
Всем привет!
Это часть 6 большого руководства «Как выбрать и проверить автомобиль с пробегом перед покупкой».
Часть 5: Толщиномер и диагностический сканер. Оборудование для проверки автомобиля перед покупкой.
Часть 4: Как проверить автомобиль по VIN номеру. Проверка базам данных перед покупкой.
Часть 3: Обзвон продавцов. Что спросить у продавца автомобиля перед осмотром.
Часть 2: Как выбрать автомобиль по объявлению. Анализ объявлений.
Часть 1: Как подобрать автомобиль самостоятельно. Вводная.
Текстовая версия статьи ниже под видео. Выбирайте, что удобней.
Проверку автомобиля на месте стоит начинать не с кузова и не с компьютерной диагностики, а с проверки с документов.
Проверьте подлинность Паспорта транспортного средства (ПТС). Перед выездом на осмотр тщательно изучите заведомо подлинный ПТС на предмет того, как должны выглядеть элементы защиты от подделки. Или же возьмите ПТС с собой, чтобы сравнить на месте осмотра. Проверьте простейшие признаки подлинности ПТС:
Бумага бланка ПТС сильно отличается от обычной офисной – и на ощупь и визуально. Сравните качество бумаги проверяемого ПТС с эталоном.
Голограмма на первой странице должна быть чёткой, яркой. Переливы элементов, при наклоне – контрастные. Линии автомобиля на голограмме должны быть видны отчётливо. Проведите по голограмме пальцем, она не должна выступать над поверхностью бумаги, границы перехода должны быть не ощутимы.
На бланках старого образца, которые также являются действительными, голограмма выполнена в виде прерывистой линии и расположена на первой странице вдоль линии сгиба.
Непосредственно над голограммой , на серо-голубых стрелках указывающих влево, если хорошенько присмотреться можно найти аббревиатуру ПТС. Чтобы увидеть буквы, стоит посмотреть на эту область под углом, а с другой стороны подсветить эту область фонарем по направлению к себе.
Проведите пальцем по заголовку документа «Паспорт транспортного средства», надпись выполнена объемным тиснением и это должно явно ощущаться при касании.
Строкой ниже расположена выпуклая аббревиатура «ПТС», на фоне рельефной узорной линии.
На четвертой странице бланка ПТС, в левом верхнем углу расположен зеленый ромбовидный узор, который меняет цвет на серый, при взгляде на него под острым углом. Также этот узор выполнен рельефно, что можно ощутить проведя по нему пальцем.
На просвет должны быть отчётливо видны водяные знаки в виде повторяющейся надписи RUS и изображение пятиконечных звёзд.
Год изготовления бланка ПТС, напечатанный внизу последней страницы не должен быть свежее года выдачи ПТС или года выпуска автомобиля. Также сверьте регион выдачи ПТС и серию документа. Серия документа – это код региона выдачи ПТС.
Для более детального исследования бланка ПТС вам понадобится карманный микроскоп или мощная лупа, ультрафиолетовый фонарь, инфракрасный детектор.
Карманный микроскоп откроет многое на голограмме – вы увидите то, что не видно невооруженным глазом. Например, на лобовом стекле автомобиля, который расположен по центру голограммы есть микротекст «РОССИЯ». Это не единственный микротекст на голограмме.
Ровно над автомобилем в центре, немного ниже микроскопического прямоугольничка, есть еще одна машинка –точная копия той, что вы видите в центре, но многократно уменьшенная. Как раз над ней можно найти микротекст МВД РФ.
Карманный микроскоп поможет заметить, что некоторые разделяющие линии между строк данных на первой странице ПТС, а также линия после слова «подпись» — это микротекст, неразрывная надпись «паспорттранспортногосредства».
А на шрифте серии и номера ПТС, который выполнен в красном цвете, не должно быть никаких вкраплений посторонних цветов. Серия и номер ПТС — это штамп (высокая печать). Если присмотреться, то можно заметить, что символы серии и номера вдавлены в бланк. Стоимость китайского карманного микроскопа около $5-10. Требуется микроскоп не менее 60-кратного увеличения.
Ультрафиолетовый фонарь поможет проверить свечение нитей (волокон) «вживленных» в бланк ПТС. В бланке используются хаотично расположенные нити трех цветов. Свечение нитей должно быть ярким. На первой страницы ПТС есть узор, проявляющийся в ультрафиолетовом свете, а на третьей странице крупная надпись «ГИБДД», выполненная вертикально, но это возможно увидеть только с очень мощным ультрафиолетовым фонарём.
На старых версиях бланков ПТС, надпись «ГИБДД» может отсутствовать. Стоимость ультрафиолетового фонаря от $5. Если решите купить – выбирайте яркий, мощный фонарь. Мелкие фонарики-брелки обладают недостаточной яркостью.
Проверить инфракрасные метки на бланке ПТС позволит ИК-детектор. Инфракрасной меткой, к примеру, является изображение автомобиля, на первой и второй странице бланка, в верхнем углу. Также инфракрасный детектор отлично демаскирует исправления внесенные в данные подлинного ПТС, так называемая «перемывка». Стоимость этого девайса уже не так мизерна – от $50. Не сказал бы, что это вещь обязательна к приобретению для разового поиска авто.
Любые проверки на подлинность не выявят никаких проблем, если сам бланк ПТС подлинный, но в него внесены несанкционированные изменения под конкретный автомобиль, так называемая «перемывка». Здесь еще раз пригодится карманный микроскоп, если у вас нет ИК-детектора. Микроскопом следует проверить не только элементы защиты бланка, но и текст документа, номер документа – на предмет корректировки (подтирания, химического вытравливания), если есть малейшие подозрения.
Дела обстоят еще хуже, если ПТС полностью оригинален, а вот изменения внесены в идентификационные маркировки на самом автомобиле. Злоумышленники покупают за бесценок не подлежащий восстановлению автомобиль, у которого маркируемые детали кузова не пострадали критически.
Маркируемые области вырезаются и ввариваются на точно такой же угнанный автомобиль. Это называется ввар.
Второй вариант несанкционированного внесения изменений в маркируемые поверхности – это перебивка номера. Злоумышленники шлифуют маркируемую поверхность, удаляя оригинальный номер и битами наносят необходимый. Как вариант, на оригинальный номер может быть наплавлен тонкий слой металла, а затем наносится новый идентификационный номер.
Проверьте документы на соответствие тому, что было указано в объявлении и что вы слышали от продавца.
Кто владелец автомобиля? Первое что нужно выяснить — кто юридически является владельцем автомобиля. Нередко бывает так, что продавец не является владельцем автомобиля и не имеет никаких юридических прав на его продажу.
Сверьте данные продавца в его личном паспорте и документе, на основании которого продавец заявляет своё право собственности или право распоряжаться автомобилем – ПТС, договор купли продажи (ДКП) или доверенность от физического либо юридического лица.
Первый и лучший вариант: Продавец вписан в ПТС последним и запись имеет штампы ГИБДД, значит автомобиль стоит на учете. Это единственный вариант, когда перед вами тот самый собственник, который владел и распоряжался, ездил и обслуживал автомобиль с момента постановки на учет. Очередность записей смотрите по датам, так как порядок записей в ПТС, бывает, весьма причудливый.
Второй вариант. Продавец может быть вписан в ПТС, но машина не стоять на учете, если регистрационное действие не было произведено. В этом случае печати ГИБДД у последней записи будут отсутствовать, а продавец должен предъявить договор купли-продажи с прежним владельцем. Скорее всего, перед вами перекупщик, который купил автомобиль недавно для перепродажи. Юридически, это нормальная ситуация – продавец полноправный собственник.
Покупая машину у такого продавца, договор купли-продажи вы заключите с ним, но свой договор от прежнего собственника продавец тоже должен будет вам отдать. Оба договора «от прежнего собственника к перекупу» и «от перекупа к вам» будут необходимы для постановки автомобиля на учет. Если вы покупаете автомобиль в автосалоне, который вписал себя в ПТС, но не ставил машину на учёт, то последняя запись будет иметь печать автосалона.
ЭТО НЕ КОНЕЦ! 🙂
Статья получилась слишком большая.
ЗДЕСЬ ПРОДОЛЖЕНИЕ!
Проверка авто перед покупкой в Красноярске
Покупка авто — важный и ответственный шаг, тем более если речь идет о вторичном рынке. Провести проверку автомобиля надлежащим образом способен далеко не каждый будущий владелец. Допустить досадную ошибку, не имея профессионального оборудования и специфических знаний, очень легко. Количество финансовых средств, которое потребуется вложить в, казалось бы, исправную машину, значительно увеличит ее цену, а то и удвоит.
На сегодняшний день услуга помощи эксперта при покупке автомобиля с пробегом становится все более востребованной. Специалисты автосалона «СИАЛАВТО» с радостью проведут все необходимые тесты и диагностику, начиная от внешнего осмотра кузова и салона на предмет механических повреждений до силовых агрегатов и подвески. Не рискуйте и доверьте проверку авто перед покупкой в Красноярске в опытные руки!
Предпродажная проверка автомобиля
Существует множество мельчайших нюансов и секретов тщательной проверки авто перед покупкой. Это касается не только технической стороны, но и документальной. Подтвердить легитимность эксплуатации автомобиля и убедиться в юридической чистоте будущей сделки поможет предпродажная проверка автомобиля сразу по нескольким пунктам.
Во-первых, проверка документов транспортного средства. Главным среди них является ПТС. Ведь если нет паспорта, значит, и нет машины. Основное, на что надо обратить внимание, — оригинальность: документ не должен быть дубликатом или же заменой утерянного. В последнем случае от покупки лучше воздержаться.
Также необходимо провести проверку ПТС автомобиля на подлинность. Бланк должен быть произведен на предприятии Гознака и иметь все степени защиты: бумага с вкраплениями, как на банкнотах Банка России, хорошо просматриваемые водяные знаки RUS, голограмма в виде кружка и полоски.
При проверке авто перед покупкой не стоит упускать из вида и то, есть ли в паспорте пометки о внесенных конструкционных изменениях (если таковые присутствуют) и соответствующее разрешение на них.
Ваш выбор пал на импортный автомобиль? ПТС каждой машины, ввезенной из-за границы, даже если это детище отечественного автопрома, выдается таможней. Удостовериться, что были пройдены все необходимые процедуры по «растаможке», можно, внимательно изучив документ на предмет наличия таможенной печати и подписи сотрудника.
Во-вторых, убедиться в законности своих прав можно, благодаря важнейшему инструменту предпродажной проверки автомобиля — базе ГИБДД. С помощью нее можно проверить подлинность и происхождение VIN-кода транспортного средства, не числится ли авто в розыске и/или угоне, нет ли судебных запретов и ограничений регистрационных действий в ГИБДД.
В-третьих, обязательно наличие свидетельства о регистрации транспортного средства и нотариально заверенной доверенности на имя продавца (если продавец не является непосредственно владельцем авто).
Помощь эксперта при покупке автомобиля с пробегом
Доскональной проверке в авто перед покупкой подлежит его внешнее и внутреннее состояние. Многие неисправности зачастую настолько хорошо замаскированы недобросовестным продавцом, что обнаружить их непрофессиональным взглядом попросту невозможно. Помощь эксперта при покупке автомобиля с пробегом позволит избежать всех возможных подводных камней.
Как и в случае с документацией автомобиля, объективная оценка его технической пригодности зависит от многих аспектов. Это касается как подходящих условий (теплое и светлое помещение), так и наличия диагностического оборудования. В автоцентре «СИАЛАВТО» есть все необходимое для того, чтобы вы смогли сделать правильный выбор подержанного авто.
Наши специалисты не только смогут обеспечить прозрачность вашей будущей сделки, но и осуществят полную проверку авто перед покупкой по 90 пунктам. Посмотрят, нет ли следов повреждений и ремонта на кузове, проверят целостность ЛКП, протестируют двигатель, подвеску, коробку передач и тормозную систему, а также проведут диагностику бортовой электроники.
Выгодное вложение
Если вам требуется независимая проверка авто перед покупкой в Красноярске, смело обращайтесь в «СИАЛАВТО»! Квалифицированные сотрудники и безупречный сервис вам обеспечены. Задать интересующие вас вопросы можно по телефону +7 (391) 274-90-20.
ПТС автомобиля, проверить на штрафы по базе ГИБДД
Собственная машина – это истинная гордость каждого автолюбителя. Чтобы иметь возможность наслаждаться комфортной ездой, заранее побеспокойтесь об оформлении всех необходимых документов, в частности ПТС на машину.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 110-89-42. Это быстро и бесплатно!
Что такое ПТС?
ПТС – в обиходе именуемый техпаспортом, служит ярким отражением технических характеристик, комплектации и прочих данных о машине, а кроме того:
- Наличие ПТС – прямой повод для того чтобы прибегнуть к государственной регистрации авто.
- В ПТС фиксируются все данные о владельце авто и указана регистрация. Каждому транспортному средству – свой паспорт, имеющий уникальный номер, как и сам автомобиль. На заводе машине должны присвоить собственный VIN код. Читайте о том, как проверить машину по вин коду здесь.
- ПТС – это своего рода подтверждение права владения автотранспортом. С его наличием вам будет подвластно решение многих задач.
- Все мы знаем, что количество машин в нашей стране не соизмерить. Поэтому каждому авто положен свой код. Так происходит идентификация всего транспорта. Это роль первостепенной важности, которую выполняет ПТС.
- А еще ПТС нужен владельцу, чтобы обезопасить авто от угона или кражи. На вид ПТС – простой документ, напечатан он на специальном бланке, снабженном различными степенями защиты. Паспорт содержит в себе 24 графы.
Получение и условия выдачи
Ситуаций, когда на транспорт положен технический паспорт, пруд пруди, но вот основные из них:
- Покупка новой машины в автосалоне. Задачи по оформлению документа возлагают на свои плечи работники торговой организации. Готовый паспорт выдают в паре с машиной;
- Ввоз из-за рубежа автомобилей, выпущенных на территории другого государства. Техпаспорт в этом случае обязан выдать таможенный орган. При этом могут поставить определенные отметки, к примеру, на запрет продажи автомобиля;
- В случае если вы решили приобрести поддержанное авто с рук или же в случае утраты новый ПТС выдают сотрудники ГИБДД;
- Если желаете подвергнуть автомобиль модернизации. Такие мероприятия влекут за собой изменение технических параметров.
- Самостоятельная сборка авто – тоже повод для получения нового ПТС. Для получения паспорта в этом случае надо первым делом пройти сертификацию в предприятии, специализирующемся на переделке транспорта. Проводится ряд испытаний, которые станут доказательством безопасности авто. Лишь после этой процедуры выдают на руки ПТС.
Данные ПТС
Паспорт транспортного средства с точностью до мелочей говорит о данных автомобиля. Первое, на чем необходимо зациклиться – это проверка совпадения VIN-номера в паспорте с номером, указанным на машине.
Номер содержит в себе 17 знаков, которыми буквально усыпан автомобиль. Эти символы располагаются в нескольких участках – под капотом и на металлической раме машины. В документе обозначают номер двигателя.
В самой машине его можно увидеть на шильдике силового агрегата.
ПТС также располагает следующими данными об автомобиле:
- Номером шасси;
- Маркой и моделью;
- Массой, которую не составит труда определить в автосервисе.
- Датой выпуска.
- Цветом авто.
- Объемом двигателя.
Первое, на что стоит обратить внимание в ПТС
Как выглядит ПТС?
При изучении ПТС особое внимание обратите на:
- Отметку «Дубликат», которая должна быть напечатана в графе «Особые отметки». Дубликат выдается в случае утери оригинала ПТС. При приобретении автомобиля вас может ждать неожиданность – дубликат ПТС может находиться в залоге у банка. Проверить это довольно проблематично, и именно по этой причине в дальнейшем вы не сможете продать авто с дубликатом ПТС.
- Регион регистрации машины должен быть тем же, что и регион, где был зарегистрирован прежний владелец.
- Бланк техпаспорта. Его заполняют на компьютере.
- Мошенников можно вывести на «чистую воду», запросив у них личный паспорт. Также можно намекнуть на выполнение совместной проверки в ГИБДД данных об автомобиле. Скажите, пожалуйста, есть ли резон честному продавцу избегать данных процедур? Безусловно, нет. А если он отказался, то перед вами – натуральный мошенник!
- В случае снятия авто с регистрации, в записи о снятии с учета не должна присутствовать отметка о последующей утилизации. В противном случае регистрация невозможна.
- Не надейтесь на помощь посредников, которые действуют по доверенности.
Проверка в ГИБДД
Иногда отличить поддельный ПТС от оригинального по плечу лишь профессионалу. Поэтому единственно верным выходом из этой ситуации является визит в отделение ГИБДД и проверка ПТС по базе ГИБДД. Если хозяин машины всячески уклоняется от этого мероприятия, то будьте осмотрительны с таким человеком, ведь можно реально угодить в лапы к мошенникам!
В ГИБДД вас ознакомят со всеми данными об автомобиле. Можно узнать, значился ли он когда-нибудь в угоне, проверить наличие неоплаченных штрафов.
Также в ГИБДД можно без труда узнать актуальность сверки элементов машины, к примеру, кузова или шасси. Узнать обо всем подробнее можно, совершив телефонный звонок в подразделение ГИБДД.
Онлайн-сервисы
Стандартная проверка в ГИБДД – конечно, хороший способ узнать больше об автомобиле, но никто не отменял специальные онлайн-сервисы. К их помощи можно прибегнуть, если желаете получить сведения, касающиеся автомобиля.
Самые популярные ресурсы из них:
- http://www.gibdd.ru/check/auto/. Официальная база ГИБДД обрела хорошую славу среди автолюбителей. По VIN-номеру автомобиля можно узнать о наличии неоплаченных штрафов, а также получить данные насчет угона.
- http://shtrafy-gibdd.ru/. Не менее авторитетный сайт, где можно узнать о наличии неоплаченных задолженностей.
- http://vinformer.su/ru/ident/title/. К услугам посетителей – проверка авто, которые были ввезены из-за рубежа после 1996 года.
Учтите, что информация на этих сайтах может быть неточной, поэтому лучше заявиться в подразделение ГИБДД, чем заморачивать себе голову, бродя по ресурсам.
Помните, что аферисты сегодня удивительно точны в плане изобретения способов обмана, поэтому не попадитесь в ловушку!
Подлинность
Чтобы выяснить подлинность техпаспорта, пристальное внимание обратите на наличие следующих элементов:
- Голограммы, которая должна быть ясной и легко читаемой.
- Орнамента паспорта. Представлен специфическим узором, который при доскональном рассмотрении не теряет четкости.
- Водяного знака. Просто посветите на документ телефоном или поднесите ПТС к окну, чтобы увидеть объемный водяной знак «RUS».
- Объемного рисунка в виде розочки. Рассмотреть его можно на обратной стороне ПТС. На ощупь его невозможно ни с чем спутать. Цвет рисунка колеблется от зеленого до серого в зависимости от освещения.
Дубликат ПТС
Одна из самых распространенных уловок мошенников – это продажа авто с дубликатом вместо оригинала. Простительно, когда хозяин авто терял оригинал ПТС. Но если машина в угоне или она является предметом кредитного договора – то это проявление явного хамства со стороны продавца.
Эффективный способ проверки документа на подлинность – это осмотр его внешнего вида. Дубликат ПТС практически ничем не отличается от оригинала – то же объемное изображение, водяные знаки.
Кредитное авто
Продавец может утаить от вас, что автомобиль взят в кредит и держать это под завесой тайны.
Чтобы не попасть впросак, не упустите из виду такие факты:
- Пробег. Он может быть незначительным;
- Дату выпуска. Как правило, кредитные авто имеют молодой возраст;
- Транзитный номер машины;
- Продавец предъявляет дубликат ПТС вместо оригинала. Ведь не всем известно, что оригинал ПТС хранит банк.
Ранее мы писали о том, как пробить машину по ГОС номеру.
Зарубежные авто
Обилие транспортных средств в нашей стране было выпущено иностранными компаниями. Либо возможен вариант, когда авто было привезено из другой страны. В таком случае выдачу ПТС берет в свои руки таможенная служба.
Обратите свой взор на страну-производителя: если в графе стоит Беларусь либо Литва, то надо быть очень внимательным. Это может означать одно – авто подвергалось процессу восстановления после ДТП.
В выданном таможней техпаспорте существуют особые отметки, говорящие об ограничениях на продажу авто или же на отчуждение. ПТС заверяют специальной печатью и подписью, которую должен поставить таможенник.
Также ранее мы подробно говорили о том, как проверить авто на ограничения.
Теперь вы знаете все секреты того, как не попасться в лапы к мошенникам и не дать себя обмануть. Пусть радость не покидает вас в увлекательных поездках по ночному городу на новом автомобиле!
Бесплатная консультация юриста
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:+7 (499) 110-89-42 (Москва)
+7 (812) 385-56-34 (Санкт-Петербург)
Это быстро и бесплатно! Вы из другого региона?
Задайте вопрос онлайн →
Проверить номер птс
Сообщества › Выбор Автомобиля › Блог › Как проверить ПТС на подлинность, оригинал или дубликат. Документы автомобиля при покупке. #6
Как проверить ПТС
Всем привет!
Это часть 6 большого руководства «Как выбрать и проверить автомобиль с пробегом перед покупкой»: Как проверить ПТС и другие документы автомобиля при покупке. Подлинность ПТС, как проверить оригинал ПТС, дубликат и другое.
Пятая часть: Оборудование для проверки автомобиля перед покупкой.
Текстовая версия статьи ниже под видео. Выбирайте, что удобней.
Проверку автомобиля на месте стоит начинать не с кузова и не с компьютерной диагностики, а с проверки с документов.
Проверьте подлинность Паспорта транспортного средства (ПТС). Перед выездом на осмотр тщательно изучите заведомо подлинный ПТС на предмет того, как должны выглядеть элементы защиты от подделки. Или же возьмите ПТС с собой, чтобы сравнить на месте осмотра. Проверьте простейшие признаки подлинности ПТС:
Бумага бланка ПТС сильно отличается от обычной офисной – и на ощупь и визуально. Сравните качество бумаги проверяемого ПТС с эталоном.
Полный размер
Как проверить ПТС
Голограмма на первой странице должна быть чёткой, яркой. Переливы элементов, при наклоне – контрастные. Линии автомобиля на голограмме должны быть видны отчётливо. Проведите по голограмме пальцем, она не должна выступать над поверхностью бумаги, границы перехода должны быть не ощутимы.
Полный размер
Как проверить ПТС
На бланках старого образца, которые также являются действительными, голограмма выполнена в виде прерывистой линии и расположена на первой странице вдоль линии сгиба.
Полный размер
Как проверить ПТС
Непосредственно над голограммой, на серо-голубых стрелках указывающих влево, если хорошенько присмотреться можно найти аббревиатуру ПТС. Чтобы увидеть буквы, стоит посмотреть на эту область под углом, а с другой стороны подсветить эту область фонарем по направлению к себе.
Полный размер
Как проверить ПТС
Проведите пальцем по заголовку документа «Паспорт транспортного средства», надпись выполнена объемным тиснением и это должно явно ощущаться при касании.
Строкой ниже расположена выпуклая аббревиатура «ПТС», на фоне рельефной узорной линии.
Полный размер
Как проверить ПТС
На четвертой странице бланка ПТС, в левом верхнем углу расположен зеленый ромбовидный узор, который меняет цвет на серый, при взгляде на него под острым углом. Также этот узор выполнен рельефно, что можно ощутить проведя по нему пальцем.
Полный размер
Как проверить ПТС
На просвет должны быть отчётливо видны водяные знаки в виде повторяющейся надписи RUS и изображение пятиконечных звёзд.
Полный размер
Как проверить ПТС дубликат
Год изготовления бланка ПТС, напечатанный внизу последней страницы не должен быть свежее года выдачи ПТС или года выпуска автомобиля. Также сверьте регион выдачи ПТС и серию документа. Серия документа – это код региона выдачи ПТС.
Полный размер
Как проверить ПТС и документы автомобиля
Для более детального исследования бланка ПТС вам понадобится карманный микроскоп или мощная лупа, ультрафиолетовый фонарь, инфракрасный детектор.
Полный размер
Как проверить документы на авто
Карманный микроскоп откроет многое на голограмме – вы увидите то, что не видно невооруженным глазом. Например, на лобовом стекле автомобиля, который расположен по центру голограммы есть микротекст «РОССИЯ». Это не единственный микротекст на голограмме.
Ровно над автомобилем в центре, немного ниже микроскопического прямоугольничка, есть еще одна машинка –точная копия той, что вы видите в центре, но многократно уменьшенная. Как раз над ней можно найти микротекст МВД РФ.
Полный размер
Как проверить документы автомобиля
Полный размер
Как проверить документы на автомобиль
Карманный микроскоп поможет заметить, что некоторые разделяющие линии между строк данных на первой странице ПТС, а также линия после слова «подпись» — это микротекст, неразрывная надпись «паспорттранспортногосредства».
Полный размер
Проверка ПТС автомобиля
А на шрифте серии и номера ПТС, который выполнен в красном цвете, не должно быть никаких вкраплений посторонних цветов. Серия и номер ПТС — это штамп (высокая печать). Если присмотреться, то можно заметить, что символы серии и номера вдавлены в бланк. Стоимость китайского карманного микроскопа около $5-10. Требуется микроскоп не менее 60-кратного увеличения.
Полный размер
Проверка документов авто при покупке
Полный размер
Проверка документов авто при покупке
Ультрафиолетовый фонарь поможет проверить свечение нитей (волокон) «вживленных» в бланк ПТС. В бланке используются хаотично распо
www.drive2.ru
Как проверить авто по номеру ПТС онлайн на сайте ГИБДД?
Подержанный автомобиль — это всегда «кот в мешке». Внешняя ухоженность и наличие всех документов ни о чем не говорит: современные технологии позволяют легко и быстро превратить запущенное и с многочисленными дефектами авто в привлекательное транспортное средство вполне товарного вида. Что касается документов, то они подделываются повсеместно и массово, причем распознать факт подделки во многих случаях можно лишь путем проведения сложной экспертизы.
Даже при покупке машины в автосалоне или автохаусе нельзя быть полностью уверенным в том, что она:
- является юридически чистой;
- не числится в угоне и не находится в розыске, например — за участие в ДТП;
- не имеет претензий со стороны таможни, банковских и страховых компаний;
- не находится под арестом или в залоге;
- не является предметом гражданско-правовых, судебных или иных споров;
- не имеет ограничений на пользование и отчуждение, а также прочих обременений.
Но в настоящее время имеется возможность бесплатно проверить авто по номеру ПТС на сайте ГИБДД в режиме онлайн. Данная услуга является реально действенной мерой против мошенничества и недобросовестности продавцов, и позволяет всего за несколько минут получить развернутую и актуальную информацию об интересующем транспортном средстве.
Что такое ПТС и зачем он нужен?
Паспорт транспортного средства — документ, в котором хранятся все основные данные по автомобилю, достаточные для его однозначной идентификации. К ним относится vin-код, состоящий из 17 символов и указанный не только в ПТС, но и на самом автомобиле, в зависимости от модели он может находиться на раме, под капотом, под лобовым стеклом и пр. При покупке подержанной машины в первую очередь сверяется именно vin-код.
Кроме этого, в паспорте транспортного сведения указывается марка, модель и цвет авто, его государственный номер, объем и номер двигателя, масса машины, номер шасси, дата выпуска.
Перед тем как проверить авто по номеру ПТС в базе ГИБДД, нужно убедиться в подлинности данного документа. Для этого обратите внимание на следующие особенности.
- Орнамент паспорта. Это специфический узор, который не должен терять четкости при детальном рассмотрении.
- Голограмма. Она также должна быть легко читаемой и четкой. Подделка данного реквизита является для мошенников самой большой проблемой.
- Объемный рисунок. Он находится на обратной стороне документа, выполнен в виде своеобразной «розочки» и определяется на ощупь, а также меняет свой цвет под разными углами обзора.
- Водяной знак. Он просматривается на просвет и представляет собой надпись RUS.
Паспорт транспортного средства может оформляться заводом-изготовителем автомобиля или организациями, занимающимися переделкой транспортных средств в спецтехнику, органами ГИБДД или таможенной службой. В последнем случае следует быть особо бдительным, если в качестве страны происхождения автомобиля указана Литва или Беларусь. В этих странах хорошо развит бизнес по восстановлению транспортных средств после серьезных дорожно-транспортных происшествий, а также по сборке автомобилей из фрагментов нескольких разных машин.
Что нужно знать о копии ПТС?
Проверить авто по номеру ПТС в режиме онлайн можно на основании как оригинала, так и копии документа.
Однако при покупке автомобиля с копией паспорта транспортного средства следует соблюдать осторожность. Использование дубликата — одна из распространенных схем продажи проблемных автомобилей. В частности, так обычно реализуются кредитные машины (поскольку оригинал ПТС в данном случае остается в банке), а также транспортные средства, числящиеся в угоне.
Распознать проблемный кредитный автомобиль можно по совокупности следующих признаков:
- небольшой возраст;
- малый пробег;
- дубликат ПТС;
- транзитные номера.
Знайте, что копия ПТС имеет структуру и реквизиты, идентичные оригинальному документу (водяные знаки, объемное изображение и пр.). Единственным отличием является наличие штампа «Дубликат» в графе для особых пометок.
Что касается законных случаев использования копии ПТС, то обычно это происходит из-за утери оригинала документа, либо при смене регистрационных или личных данных. Также дубликат оформляется, если в паспорте транспортного средства закончились поля, предназначенные для внесения записей о различных регистрационных действиях. В данной ситуации оригинал документа подлежит утилизации в порядке, который определен для таких случаев действующим законодательством.
Проверка авто по ПТС онлайн
Проверить авто по ПТС можно как при личном обращении в органы Госавтоинспекции, так и через интернет. Преимущества последнего варианта очевидны: соответствующие онлайн-сервисы доступны круглосуточно, результат выдается сразу после отправки запроса (иногда приходится подождать пару минут), сведения обновляются автоматически. Такая проверка позволяет:
- получить информацию о штрафах за нарушения ПДД, совершенных на данном автомобиле:
- проверить сведения, указанные в ПТС;
- узнать, не находится ли машина под арестом и не имеет ли каких-либо ограничений на совершение регистрационных действий;
- проверить, не числится ли данный автомобиль в угоне;
- получить сведения о ДТП, совершенных на этой машине (при наличии таковых).
В настоящее время существует несколько онлайн-сервисов, позволяющих быстро проверить транспортное средство по его паспорту. Но лучше всего для этого пользоваться соответствующим разделом сайта ГИБДД, поскольку здесь содержится самая полная, точная и свежая информация о транспортных средствах. На остальных ресурсах обновление базы данных может происходить с определенной задержкой.
Проверка авто по номеру ПТС на сайте ГИБДД
Проверить авто по ПТС на сайте ГИБДД можно всего за несколько минут. Процесс осуществляется в пошаговом режиме, услуга предоставляется бесплатно, круглосуточно и без выходных. Проверка может осуществляться на основании следующих данных:
- номер шасси автомобиля;
- vin-код транспортного средства;
- номер кузова.
Чтобы выполнить проверку, нужно зайти на сайт ГИБДД по адресу http://www.gibdd.ru. В правой части страницы находится раздел «Онлайн-сервисы ГИБДД» — в нем нужно выбрать пункт «Проверка автомобиля».
Далее в соответствующем поле нужно ввести vin-код автомобиля или номер его кузова либо шасси, после чего щелкнуть на ссылке «Запросить проверку» в том разделе, который интересует в данный момент.
После щелчка на ссылке потребуется также ввести код подтверждения. Через минимальное время на экране отобразится информация о результатах проверки, в том числе ее дата и время.
Проверку можно проводить неоднократно. Следует учитывать, что самые последние изменения могут отобразиться в базе данных не сразу, а по истечении некоторого промежутка времени. Необходимо понимать, что мошенники стремятся избавиться от проблемных автомобилей как можно быстрее — пока они не успели попасть в соответствующие базы ГИБДД. Поэтому даже если проверка авто по ПТС показала, что транспортное средство является юридически чистым, не имеет никаких ограничений на пользование/отчуждение, а также претензий со стороны ГИБДД и других органов — рекомендуется через определенное время провести ее повторно.
В любом случае приступать к переоформлению автомобиля желательно в присутствии его нынешнего собственника.
Проверить авто в Госавтоинспекции
Проверить авто по ПТС владелец может и непосредственно в Госавтоинспекции. В данном случае все документы на транспортное средство передаются уполномоченному сотруднику ГИБДД. Он получает по ним информацию из соответствующих баз данных.
Этот метод считается неудобным, поскольку для этого необходимо тратить время на посещение отделения Госавтоинспекции, стоять в очереди, ждать уполномоченного сотрудника и т. п. Однако в то же время он признается наиболее надежным способом получения информации об автомобиле. Сведения поступают непосредственно от работника ГИБДД, причем они являются наиболее актуальными. В то же время поступление информации на онлайн-сервисы может потребовать определенного времени, соответственно — изменения могут отобразиться не сразу.
В некоторых отделениях Госавтоинспекции можно осуществить проверку машины по телефону. В данном случае ее собственник называет реквизиты документов на данное транспортное средство. Некоторые инспекции предлагают воспользоваться специальными приложениями для мобильных телефонов.
Когда нужна проверка авто по ПТС?
Проверка транспортного средства по его паспорту чаще всего востребована при покупке подержанного автомобиля. Однако она может потребоваться и в других случаях.
Характерный пример — когда одним автомобилем пользуется двое или больше человек. Если кто-то из водителей нарушил ПДД и заработал штраф, он может скрыть этот факт от коллег и руководства, и установить истину в такой ситуации поможет проверка авто по ПТС на предмет его нахождения в базах данных по штрафам ГИБДД. То же самое касается информации о попадании транспортного средства в ДТП, а проверка истории регистрации машины поможет получить информацию о ее несанкционированном переоформлении на другого человека.
Проверить штрафы ГИБДД вы также можете на нашем сайте. Предлагаются и другие онлайн-сервисы, в числе которых — оплата услуг Росреестра, погашение задолженностей по налогам и пр.
oplatagosuslug.ru
как пробить машину по номеру ПТС в ГИБДД
Паспорт транспортного средства – документ, который содержит информацию о технических характеристиках автомобиля, данные о владельце и пр. Выдается заводом-изготовителем, и официальными органами, включая ГИБДД и Таможенную службу. У водителей, которые приобретают машину с пробегом, проверка ПТС является приоритетом.
Для чего нужна проверка ПТС
Проверка ПТС дает возможность защититься от приобретения авто:
- В залоге — если предыдущий владелец не выплатил кредит, банк может забрать транспортное средство уже у нового хозяина. Как проверить машину на залог и кредит при покупке – читайте в нашей отдельной статье;
- После ДТП – нередко аварийные ТС продают после проведения косметического ремонта;
- Угнанного — если собственники менялись слишком часто, то это может говорить об угоне;
- Снятого с учета для утилизации. Новому хозяину поставить авто на учет будет невозможно.
Специально для вас мы рассмотрели способы проверки ВИН-кода автомобиля перед покупкой — самостоятельно, онлайн, платно и бесплатно.
Проверка машины по ПТС в ГИБДД – в меру надежный споcоб узнать о прошлых авариях.Как пробить авто по паспорту технического средства
Проверить автомобиль по ПТС можно несколькими способами. Рассмотрим их подробно.
По базе ГИБДД очно
Обратившись в ГИБДД, вы получите детальные сведения – наличие неоплаченных штрафов, участвовало ли авто в ДТП и другое. Чтобы посмотреть эту информацию, нужно предъявить номер ПТС и документ, удостоверяющий вашу личность.
Госуслуги
Бытует мнение, что возможно проверить авто через сервис госуслуг. Однако, на данный момент сайт не предлагает такого сервиса. Возможна лишь постановка транспорта на учет.
Онлайн
С помощью других интернет ресурсов. На данный момент в сети есть множество сервисов, предоставляющих подобные услуги. Некоторые из них предлагают и дополнительные сведения за которые потребуется заплатить.
Таблица 1. Сводная таблица интернет-ресурсов для проверки автомобиля онлайн.
Проверка Автокодом надежна настолько, что ее добавили отдельной опцией в фильтры выдачи объявлений в мобильной версии приложения АВТО. РУКак проверить автомобиль через сайт ГИБДД
Для получения подробных сведений потребуется выполнить следующие действия:
- Зайти на сайт ГИБДД;
- Зайти в раздел «Сервисы», где можно начать проверку по четырем предложенным вариантам;
- Далее введите номер ПТС, номерные данные или номер шасси. После этого вы сможете увидеть результаты запроса.
На сайте сохраняется вся история ваших запросов, поэтому к ним можно вернуться позже. Основным недостатком данного сервиса является несвоевременное обновление данных.
Способы проверки ПТС на подлинность
Нередки случаи, когда после приобретения водитель выявляет, что документы на него поддельные, а номера агрегатов перебиты. Чтобы этого не произошло, при осмотре паспорта технического средства обратите внимание на:
- Орнамент паспорта. При детальном осмотре он не должен терять четкости;
- Голограмма. Она должна хорошо читаться. Фальсификация голограммы является самым сложным процессом для мошенников, поэтому несоответствие должно бросаться в глаза;
- Водяной знак «RUS». Чтобы увидеть его, поднесите бумагу к окну либо посветите телефоном;
- Рисунок в виде розочки. Находится на тыльной стороне. В зависимости от освещения рисунок меняет цвет.
Чтобы убедиться в том, что ПТС не подделан, лучше воспользоваться сайтом инспекции безопасности дорожного движения, как описано в пункте выше.
Также, если вы решите проверить машину про покупке/продаже через сервис площадки АВТО.РУ, вам заодно проверят не только состояние ТС, но и сам ПТС.
Дубликат ПТС
У многих покупателей вызывает сомнение ситуация, когда продавец вместо оригинала предоставляет дубликат. Он почти ничем не отличается от исходника, кроме записи «Дубликат. Выдан взамен №……». Также на нем указывается номер и серия оригинального документа.
Дубликат выдается в следующих случаях:
- Когда количество прежних владельцев настолько велико, что уже отсутствует место для новых;
- Если оригинал был потерян;
- Когда собственник изменил личные данные.
Чтобы узнать подлинный ли дубликат, обратите внимание на те же элементы, что при проверке самого ПТС.
Как узнать, в залоге машина или нет
Покупая машину с небольшим пробегом, есть риск того, что продавец выявится мошенником.
Есть несколько факторов, которые могут подтвердить факт нахождения машины в залоге:
- Продавец предоставляет копию ПТС. Если транспорт в залоге, то оригинал, скорее всего, находится в банке;
- Продажа происходит спустя небольшой временной промежуток после покупки машины;
- Стоимость занижена на 10-20 процентов;
- Продавец не предоставляет документы на приобретение — вероятно, там присутствует информация, что он был куплен в залог.
Особенности ПТС для зарубежных машин
Большинство автомобилей в России — иномарки. При покупке посмотрите, есть ли ограничения на продажу. Чтобы сделать это, изучите 20 пункт ПТС, там указаны все таможенные ограничения. Если такие присутствуют, то это говорит о том, что предыдущий владелец не выполнил требования таможни.
Также, у вас должны появится подозрения если:
- Дубликат был выдан через минимальное время после выдачи исходника;
- Страной-производителем ТС является Литва или Белоруссия. Есть высокая вероятность, что автомобиль был восстановлен после ДТП или собран из разных частей.
В нашей отдельной статье мы также описали, как правильно проверить постановку либо снятие автомобиля с учета после продажи.
Требуйте, чтобы собственник показал оригинал паспорта технического средства. Если предоставить оригинал невозможно, то ответственно подойдите к сверке всех данных, проведите визуальный осмотр дубликата. Кроме этого рекомендуется пробить автомобиль по ВИН-коду и регистрационным номерам.
car-fact.ru
Пробить ПТС по номеру
Пробить ПТС по номеруНаши клиенты и партнеры доверяют свою безопасность профессионалам
ПТС (паспорт транспортного средства) является важным документом, несущим информацию об автомобиле. В ПТС содержатся следующие данные транспортного средства: Марка и модель; Год выпуска; Страна-производитель; Номер кузова; ВИН-код; Модель и номер двигателя; Объем и мощность двигателя; Тип потребляемого топлива; Данные о настоящем и прошлых собственниках. Раздел ПТС, имеющий информацию о владельцах автомобиля, заполняется сотрудниками ГИБДД при постановке транспортного средства на регистрационный учет. Зная номер ПТС можно узнать любую информацию об автомобиле, в том числе наличие арестов и залогов, участие в ДТП, технические данные и т. д. Сложность состоит в том, что узнать номер и серию ПТС не всегда представляется возможным, в то время как государственный регистрационный номер автомобиля всегда находится на виду. Существует возможность пробить ПТС по номеру автомобиля, а затем узнать всю интересующую информацию о нем. Получение информации, содержащейся в паспорте транспортного средства, а также данных из баз ГИБДД позволяет принять верное решение о покупке, обезопасить себя от действий мошенников, избежать возможных проблем при постановке автомобиля на регистрационный учет и его дальнейшей эксплуатации. На сегодняшний день существует огромное множество сайтов, осуществляющих проверку автомобилей. Следует помнить, что многие из них не имеют доступа к актуальным базам данных, поэтому не могут гарантировать достоверность результата проверки. Кроме того, некоторые из них предоставляют неполные или неактуальные данные о транспортном средстве. Обратитесь к нам чтобы получить всю информацию об интересующем вас автомобиле. Проверка осуществляется по любым данным, известным о транспортном средстве: Гос. номер; Номер ПТС; Номер свидетельства о регистрации; ФИО владельца; Паспортные данные; Номер телефона и т.д. Проверка осуществляется по самым свежим и актуальным источникам, мы гарантируем достоверность результатов. По результатам проверки заказчику предоставляется полный отчет, содержащий все данные об интересующем транспортном средстве. Отчет включает информацию о юридическом состоянии автомобиля: является ли транспортное средство предметом залога; есть ли на нём аресты, наложенные судебными приставами; числится ли автомобиль разыскиваемым и тд. Также наш сервис позволяет узнать подробности о техническом состоянии, участии в ДТП и другие данные, которые могут помочь в принятии решения о покупке.
Посмотреть все услугиproverk.ru
Как проверить Электронный ПТС | На автомобиль
Сегодня уже можно встретить Электронные Паспорта Транспортных Средств, на конец 2019 года уже выпущено более 100 тысяч ЭПТС. Помимо его использования важно знать как проверить Электронный ПТС, перед покупкой или переоформленнии транспортного средства.
Уже сейчас можно проверить информацию о ЭПТС через официальный портал Систем Электронный Паспортов. На данный момент портал работает в тестовом режиме. Узнать информацию о транспортном средстве вы можете по номеру ЭПТС или по номеру VIN:
Где проверить автомобиль Электронный ПТС
На сегодняшний день можно проверить Электронный Паспорт Транспортного Средства в трёх уполномоченных организация.
Карта России с аккредитованными удостоверяющими центрами здесь.
- Системы Электронных Паспортов. Акционерное общество «Электронный Паспорт» создано в структуре Государственной корпорации «Ростех». Оно в первую очередь осуществляет полноценную деятельность Электронных Паспортов. Занимается организацией и обеспечением функционирования систем по оформлению, проверке, внесению изменений в ЭПТС в РФ. Ссылка: elepts.ru
- ГосУслуги. Официальный интернет-портал государственных услуг. Сайт ГосУслуги предоставляет все виды государственных услуг, здесь можно записаться в любое гос учреждение, сразу оплатить госпошлину, заказать необходимые выписки или документы. Так же здесь будет доступ к получению информаци о Электронном ПТС. Ссылка: gosuslugi.ru
- МФЦ. Государственный Много Функциональные Центры «Мои Документы» предоставляют все государственные документы в одном месте, от гражданских паспортов до справок о отсутствия (наличия) судимости. МФЦ так же занимается оформлением транспортных средств. Зная номер ЭПТС и ВИН можно заказать информацию о данных электронного ПТС. Ссылка: моидокументы.рф
Чтобы проверить информацию в Электронном ПТС необходимо знать номер ЭПТС или ВИН транспортного средства.
Проверить Электронный ПТС по номеру
Каждый ранее выданный бумажный ПТС имеет свою серию и номер. Новые Электронный ПТС так же имеет свой номер. Он предоставляется при оформлении ЭПТС. Чтобы проверить электронный ПТС прежде всего необходимо знать его номер. Например его можно получить при покупке нового автомобиля, так его можно спросить у собственника при продаже транспортного средства.
Далее, чтобы проверить электронный ПТС, необходимо обратиться в уполномоченные организации, которые предоставляю эти данный. Официальными представителями являются «Системы Электронных Паспортов», «ГосУслуги» и мфц «Мои Документы».
Проверить Электронный ПТС по вин
Помимо номера Электронного ПТС, информацию из него можно проверить по Вин номеру транспортного средства. Перед покупкой или переоформленном определённого транспортного средства необходимо узнать ВИН номер. Далее обратившись в Государственные Учреждения можно проверить Электронный ПТС по вин номеру и получит всю подробную информаци о транспортном средстве.
Например точные характеристики транспортного средства, дату и место производства или расстаможки ТС, количество прежних собственником, наличие особых отметок, ограничений и другой важной информации. Эти сведения можно получить через ГосУслуги, МФЦ или портал Электронный Паспорт.
Уже сейчас можно проверить информацию о ЭПТС через официальный портал Систем Электронный Паспортов. На данный момент портал работает в тестовом режиме. Узнать информацию о транспортном средстве вы можете по номеру ЭПТС или по номеру VIN:
elektronpts.ru
Проверка ПТС в 2020 году
Автомобиль имеет несколько основных документов, по которым его можно проверить на всевозможные проблемные факторы при покупке с рук.
Большое количество информации в себе содержит паспорт транспортного средства, но его не всегда предоставляют покупателю, а продавец вполне может показать дубликат.
Человек, который хочет приобрести не проблемный автомобиль, должен разобраться, как осуществляется проверка ПТС в 2020 году, и какую информацию может дать этот документ при изучении.
Общие сведения
Подержанные автомобили перед продажей всегда приводятся в порядок, какие-то больше, какие-то — меньше, и не всегда продавец сообщает правду о происхождении авто, его особенностях эксплуатации и прочих деталях.
Существует сводная база ГИБДД, в которой отображается не только количество собственников машины и наличие ее в базах угона, но и можно проверить штрафы по ПТС.
Проверка ПТС также делается для минимизации подделки этого документа, ведь такое встречается довольно часто.
Проверка информации в ПТС — это одна из основных процедур, которые нужно проделать при покупке машины, но вместе с тем, желательно знать о том, как определить подлинность самого документа.
Подозрения должен вызвать документ с разными шрифтами и цветами букв, а также если на нем нет защитных знаков или печатей ГИБДД.
Дубликат тоже довольно опасен, и чтобы не приобрести машину у мошенника, важно провести более глубокую проверку товара.
Для чего она необходима
Паспорт автомобиля подвергается проверке для добычи нужной информации о владельце и истории владения машиной, а еще позволяет узнать о возможных проведенных переоборудованиях и прочих деталях.
Но также при проверке ПТС можно узнать:
Подлинный ли документ | Который предъявляется продавцом |
Сколько владельцев было у машины | Этот вопрос актуален, если текущий хозяин машины предоставляет дубликат ПТС |
Находится ли авто под арестом | Обычно автомобили, которые были предоставлены банку в качестве залога по кредиту, который не удается выплатить, арестовываются приставами, чтобы владелец погасил задолженность |
Легальность | Если автомобиль был угнан вместе с документами, и теперь продается мошенниками, это можно будет узнать при проверке |
Есть ли штрафы | Покупатели редко интересуются этим, ведь взыскания не переходят с автомобилем, зато сам владелец может проверить авто на наличие штрафов и оплатить их |
Какие данные хранит в себе паспорт
Паспорт транспортного средства содержит в себе 24 пункта, которые информируют должностное лицо или покупателя о том, какие характеристики имеет автомобиль, и есть ли в нем переоборудования.
В перечень информации, которая указывается в ПТС, входят:
- VIN-код машины — он уникален и состоит из 17-ти знаков, а машина получает его прямо на заводе. В некоторых автомобилях он может отсутствовать, например японские авто не получают подобного обозначения и в графе ставится запись об отсутствии;
- марка и модель авто;
- тип автомобиля — иногда также говорится о типе кузова;
- категория ТС;
- год производства;
- модель и номер мотора;
- номер шасси;
- номер кузова;
- цвет автомобиля;
- мощность мотора;
- рабочий объем двигателя;
- тип мотора;
- разрешенная максимальная масса;
- вес без нагрузки;
- страна-производитель.
Следующие 9 пунктов представляют собой указание экологического класса машины, страны вывоза, серии и номера декларации на таможне.
Личные данные собственника тоже указываются, это его ФИО и адрес, и последние 3 графы занимаются организацией, которая выдала ПТС, ее адресом и датой выдачи ПТС.
Действующая нормативная база
На данный момент оформление и выдачу паспортов транспортных средств оговаривают приказы МВД, Минпромэнерго и Минэкономразвития России под номерами 496, 192 и 134.
Их содержание идентично, и называются они одинаково “Об утверждении Положения о паспортах транспортных средств и паспортах шасси транспортных средств”.
Этот документ оговаривает не только общие тезисы документов, но и процедуру их оформления, а также отмечает, какие коды применяются для ПТС, выданных в разных регионах страны.
С 1 июля 2020 года в России прекратится выдача бумажных автомобильных паспортов и они станут электронными, согласно решению Коллегии Евразийской экономической комиссии 122 “Об утверждении Порядка функционирования систем электронных паспортов транспортных средств”.
Согласно ему, на замену стандартным ПТС приходят электронные записи, которые лучше защитят информацию и ограничат доступ к персональным данным.
Необходимости в замене бумажных вариантов нет, но получить их после 1 июля 2020 года будет проблематично, будь это дубликат или оригинал.
Особенности проверки авто по ПТС
Проверять автомобиль можно как в порядке личного обращения, так и с помощью телефона, но все популярнее становится вариант проверки, в котором услуга предоставляется на особых онлайн-ресурсах.
Это может быть как база данных сайта ГИБДД, так и сторонние сервисы, подключенные к системе, доступные в большинстве случаев бесплатно.
Более точная информация может даваться по базе ГИБДД, но воспользоваться проще сторонними сайтами.
Если сайт ГИБДД выдает отсутствие сведений о ПТС, это не всегда означает, что документ поддельный, ведь плохая проработка программной части может приводить к таким проблемам.
При выборе сторонних сервисов следует выбирать только бесплатные, ведь платными в большинстве случаев управляют мошенники.
Сайтов, которые не требуют оплаты достаточно много, и они доступны любому желающему.
Как пробить машину по серии и номеру
Основной информацией, на основании которой выполняется поиск, являются серия и номер документа, уникальные в каждом случае.
Выше уже говорилось, что информацию можно получить несколькими способами — воспользовавшись телефоном, обратившись лично в ГИБДД, либо использовав интернет-сайты.
Самым верным способом для владельца авто будет обращение непосредственно в ГИБДД, то есть управление этой службы или на стационарные посты.
Предоставив документы, удостоверяющие личность и ПТС, человек сможет узнать от сотрудников о всех особенностях конкретной машины.
Но дистанционные способы будут гораздо более быстрыми и не требуют поездки в ГИБДД, поэтому следует выбрать именно их.
Консультация в телефонном режиме
Некоторые регионы, к примеру Москва и Санкт-Петербург, действительно позволяют узнать некоторую информацию по ПТС.
Для этого следует позвонить в местный отдел ГИБДД и попросить проверить машину по техпаспорту, скорее всего человеку откажут и попросят прибыть туда лично.
Ведь кроме характеристик автомобиля, также могут разглашены персональные данные, но в Москве и СПб консультацию по телефону практикуют, правда узнать можно только об имеющихся штрафах на автомобиле.
В Москве нужно звонить на номер дежурной части (495) 623-70-70, в СПб дозвониться в ГИБДД можно по номеру (812) 234-90-21.
По базе официального сайта ГИБДД
Самым надежным и правдивым методом проверки ПТС будет официальный сайт ГИБДД, на котором есть специальный раздел “Проверка автомобиля”.
Фото: официальный сайт ГИБДД
После нажатия откроется поле проверки машины по VIN-коду, номерам кузова или шасси, самым удобным из них будет вин-код.
По серии и номеру ПТС провести проверку нельзя, но из техпаспорта вполне можно получить запрашиваемые данные, и уже за счет них узнать нужную информацию.
Фото: страница проверки автомобиля на сайте ГИБДД
База ГИБДД позволяет увидеть историю регистрации в ГИБДД, кроме марки и модели авто, года регистрации, цвета и количества собственников, можно даже увидеть мощность мотора.
Отдельный интерес для потенциальных покупателей будет представлять количество собственников и периоды владения автомобилем, ведь мошенники часто заметают следы, перерегистрируя машины.
Фото: таблица с нужной информацией на сайте ГИБДД
По официальной базе можно также проверить машину на участие в авариях, нахождение в розыске и ограничения, связанные с невозможностью регистрации.
Если интересует, находится ли машина в залоге, то сайт ГИБДД отсылает пользователя к сервису ФНП, а когда требуются данные о страховке, его перенаправляют на сайт РСА. С помощью последнего можно даже проверить по ПТС, какая страховая оформляла полис.
Сторонние онлайн-сервисы
В интернете есть масса сервисов, которые позволяют провести проверку автомобиля по информации из ПТС, но не по его серии и номеру.
Кроме вин-кода чаще всего будут запрашивать государственный номер, а перечень данных будет таким же, как и в случае с официальным сайтом ГИБДД.
Сторонние ресурсы хороши тем, что собирают всю информацию о машине, в которую входят отчеты о ТО, серии и номере ПТС, таможенной истории, пробеге и расшифровке VIN-кода.
Сайты, которые действительно могут помочь, обычно бесплатны, и более того, позволяют узнать о штрафах, подлежащих уплате.
Оплатить взыскание можно на большинстве таких ресурсов, платежные инструменты позволяют это сделать быстро и без проблем.
Среди таких ресурсов самыми популярными являются:
- Автокод.
- Avtobot.
- Vinformer.su.
- A-3.ru.
- Shtrafy-gibdd.ru.
Фото: проверка авто на сайте Avtobot
Способы сверки документа на подлинность
Прежде всего, для подтверждения подлинности ПТС следует сверить данные VIN-кода, который должен быть идентичным как в паспорте, так и на самой машине, найти его можно под капотом или на раме авто, некоторые ТС имеют его под водительской дверью.
Номер двигателя тоже может рассказать о подлинности авто, как и госномер, цвет, а также модель и марка машины.
Внешние признаки тоже могут много рассказать о подлинности техпаспорта, и прежде всего, это орнамент, который идет по периметру листа.
Этот узор специфический, и в случае оригинала не теряет четкости, как и голограмма, которую подделать тяжелее всего. Элементы голограммы также должны быть легко различимы, вне зависимости от угла обзора.
Объемный рисунок, находящийся на обороте документа, имеет вид розы, и его можно не только нащупать, но и сменить угол обзора, цвета при этом варьируются от зеленого до серого.
Несмотря на давность способа, водяные знаки все еще используются на ПТС, и при просвечивании можно будет увидеть объемную надпись RUS.
Видео: сверка автомобиля по базе ГИБДД
В каких случаях выдается дубликат
Дубликат часто вызывает подозрения в нечестности продавца, ведь такая версия ПТС часто используется мошенниками или просто нечестными людьми.
Дубликат техпаспорта будет выдан, если оригинальный документ был украден, потерян, пришел в негодность или же владелец поменял что-то в автомобиле.
Причиной выдачи дубликата вполне может быть вмешательство в конструкцию машины, а также смена фамилии или места прописки владельца.
Не исключено, что дубликат документа был выдан преступникам, которые угнали машину, или ее нынешний владелец хочет избавиться от залогового имущества, чтобы с него не взыскали деньги.
Проверка дубликата ПТС на подлинность возможна так же, как и оригинала — водяные знаки, изображения и голограммы, это все присутствует и на нем, единственное, чем отличается этот документ от первоначального — это отметка “дубликат” в разделе особых пометок.
Фото: дубликат ПТС
На угон и нахождение в кредитном залоге авто можно проверить по другим базам.
Как узнать в залоге машина или нет
Если автомобиль продается от хозяина, то его нужно проверить на залог, ведь при неосмотрительном приобретении это может быть поводом для отбора машины даже у нового хозяина.
Прежде всего, такая отметка о залоге ставится в страховом полисе, который должен быть у продавца, отсутствие оригинала ПТС тоже должно насторожить, ведь он вполне может находиться в банке.
Продавец может подать в ГИБДД заявление об утере ПТС, там ему выдадут дубликат и мошенник сможет реализовать авто.
Из онлайн-сервисов можно обратиться к сайту Федеральной нотариальной палаты, где поиск проводится по VIN-номеру.
ФНП не всегда имеет необходимые данные, поэтому всегда можно обратиться к Базе залоговых автомобилей, а также нотариусу.
Последний проверяет владельца авто на предмет закладывания машины в залог, но и этот метод тоже не отличается надежностью, ведь проверка ведется только по последнему владельцу, а обременение может быть наложено еще более давним собственником.
ПТС является важнейшим документом для автомобиля, в котором отображаются его основные характеристики, но в то же время, покупателю подержанного авто нужно проверить его по ПТС.
Поиск возможен по официальной базе ГИБДД, а также сторонним сайтам, так можно выявить не только угнанные авто, но и залоговые, а также определить, попадали ли они в аварию.
Внимание!
- В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
- Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.
Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!
- Задайте вопрос через форму (внизу), либо через онлайн-чат
- Позвоните на горячую линию:
ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.
autolab24.ru
Как проверить документы на автомобиль перед покупкой. #6 — DRIVE2
Всем привет!
Это часть 6 большого руководства «Как выбрать и проверить автомобиль с пробегом перед покупкой».
Часть 5: Оборудование для проверки автомобиля перед покупкой.
Часть 4: Как проверить автомобиль по базам данных перед покупкой.
Часть 3: Обзвон продавцов. Что спросить у продавца автомобиля перед осмотром.
Часть 2: Как выбрать автомобиль по объявлению. Анализ объявлений.
Часть 1: Как подобрать автомобиль самостоятельно. Вводная.
Текстовая версия статьи ниже под видео. Выбирайте, что удобней.
Проверку автомобиля на месте стоит начинать не с кузова и не с компьютерной диагностики, а с проверки с документов.
Проверьте подлинность Паспорта транспортного средства (ПТС). Перед выездом на осмотр тщательно изучите заведомо подлинный ПТС на предмет того, как должны выглядеть элементы защиты от подделки. Или же возьмите ПТС с собой, чтобы сравнить на месте осмотра. Проверьте простейшие признаки подлинности ПТС:
Бумага бланка ПТС сильно отличается от обычной офисной – и на ощупь и визуально. Сравните качество бумаги проверяемого ПТС с эталоном.
Полный размер
Голограмма на первой странице должна быть чёткой, яркой. Переливы элементов, при наклоне – контрастные. Линии автомобиля на голограмме должны быть видны отчётливо. Проведите по голограмме пальцем, она не должна выступать над поверхностью бумаги, границы перехода должны быть не ощутимы.
Полный размер
На бланках старого образца, которые также являются действительными, голограмма выполнена в виде прерывистой линии и расположена на первой странице вдоль линии сгиба.
Полный размер
Непосредственно над голограммой, на серо-голубых стрелках указывающих влево, если хорошенько присмотреться можно найти аббревиатуру ПТС. Чтобы увидеть буквы, стоит посмотреть на эту область под углом, а с другой стороны подсветить эту область фонарем по направлению к себе.
Полный размер
Проведите пальцем по заголовку документа «Паспорт транспортного средства», надпись выполнена объемным тиснением и это должно явно ощущаться при касании.
Строкой ниже расположена выпуклая аббревиатура «ПТС», на фоне рельефной узорной линии.
Полный размер
На четвертой странице бланка ПТС, в левом верхнем углу расположен зеленый ромбовидный узор, который меняет цвет на серый, при взгляде на него под острым углом. Также этот узор выполнен рельефно, что можно ощутить проведя по нему пальцем.
Полный размер
На просвет должны быть отчётливо видны водяные знаки в виде повторяющейся надписи RUS и изображение пятиконечных звёзд.
Полный размер
Год изготовления бланка ПТС, напечатанный внизу последней страницы не должен быть свежее года выдачи ПТС или года выпуска автомобиля. Также сверьте регион выдачи ПТС и серию документа. Серия документа – это код региона выдачи ПТС.
Полный размер
Для более детального исследования бланка ПТС вам понадобится карманный микроскоп или мощная лупа, ультрафиолетовый фонарь, инфракрасный детектор.
Полный размер
Карманный микроскоп откроет многое на голограмме – вы увидите то, что не видно невооруженным глазом. Например, на лобовом стекле автомобиля, который расположен по центру голограммы есть микротекст «РОССИЯ». Это не единственный микротекст на голограмме.
Ровно над автомобилем в центре, немного ниже микроскопического прямоугольничка, есть еще одна машинка –точная копия той, что вы видите в центре, но многократно уменьшенная. Как раз над ней можно найти микротекст МВД РФ.
Полный размер
Полный размер
Карманный микроскоп поможет заметить, что некоторые разделяющие линии между строк данных на первой странице ПТС, а также линия после слова «подпись» — это микротекст, неразрывная надпись «паспорттранспортногосредства».
Полный размер
А на шрифте серии и номера ПТС, который выполнен в красном цвете, не должно быть никаких вкраплений посторонних цветов. Серия и номер ПТС — это штамп (высокая печать). Если присмотреться, то можно заметить, что символы серии и номера вдавлены в бланк. Стоимость китайского карманного микроскопа около $5-10. Требуется микроскоп не менее 60-кратного увеличения.
Полный размер
Полный размер
Ультрафиолетовый фонарь поможет проверить свечение нитей (волокон) «вживленных» в бланк ПТС. В бланке используются хаотично расположенные нити трех цветов. Свечение нитей должно быть ярким. На первой страницы ПТС есть узор, проявляющийся в ультрафиолетовом свете, а на третьей странице крупная надпись «ГИБДД», выполненная вертикально, но это возможно увидеть только с очень мощным ультрафиолетовым фонарём.
www.drive2.ru
Autopoisk23 › Блог › Криминалистическая проверка авто, как и на что смотреть? Часть 1. Проверка ПТС на подлинность.
Полный размер
Вот мы с вами и нашли объявление которое удовлетворяет всем нашим с вами требованиям, мы выполнили юридическую проверку, и продавец по телефону ответил на все вопросы так как надо.
Вы приехали на место осмотреть автомобиль и с чего же собственно начать осмотр? Наши эксперты всегда начинают проверку автомобиля с оценки подлинности номеров кузова, мотора и иных агрегатов, которые предусмотрены производителем на большинстве автомобилей и сверке их с указанными в документах, в том числе и с проверкой на подлинность самих документов на автомобиль.
Начнем с проверки ПТС – паспорта транспортного средства.
Что такое ПТС и как распознать подделку?
Настоящий техпаспорт выполнен на синем бланке размером 20 на 31 см. Если вы хоть раз держали в руках приложение к диплому или свидетельство о браке, то узнаете плотную бумагу, из которой он сделан.
Страницы имеют водяные знаки RUS, защитную полосу, микротекст, объёмный рисунок и голограмму (смотрите фото №1 в картинках к посту). Последняя на документах нового образца (после 2008 года) круглая, внутри изображена машина. На старых документах выполнена в виде прерывистой полосы.
Как выглядит ПТС автомобиля с прерывистой голограммой, смотрите на фото №2 к данному посту.
Дубликат выглядит также, как оригинал, только имеет соответствующую печать на титульном листе. Его выдают в ГИБДД взамен сданного или утраченного оригинала.
Сдают ПТС, когда не хватает места для собственников. Если история автомобиля и его владельцев известна, то переживать не нужно. Если дубликат выдан взамен утраченного, нужно тщательно проверять машину на юридическую чистоту.
Возьмите бланк в руки. Вам также понадобятся лупа и фонарик. В настоящем техпаспорте:
• Вы увидите водяные знаки RUS на просвет;
• Голограмма не выпирает и имеет чёткие границы;
• В углу над голограммой есть подпись «ПТС». Чтобы увидеть её, подсветите бумагу фонариком и слегка наклоните документ от себя;
• Микротекст при увеличении лупой — это неразрывная надпись «паспорттранспортногосредства».
• Объёмный рисунок при смене угла обзора меняет цвет от зелёного к серому.
«Чуть ниже слов «паспорт транспортного средства» проходит узорная линия, которая доходит до середины бланка и является невидимой, но отчетливо ощущаемой пальцами в виде этого самого узора. Также ПТС светится в ультрафиолете ворсинками, как на денежных купюрах».
Опытные жулики не попадаются на защитных элементах, потому что используют оригинальные бланки: крадут новенькие с «Гознака» или находят подставной автомобиль с нормальным ПТС.
Сверьте данные в ПТС:
Помимо информации о хозяевах машины, в техпаспорте прописаны: номер и серия, VIN авто, марка, модель и тип ТС, категория (a, b, c, …), год производства, модель и номер двигателя, шасси, рама, номер и цвет кузова, мощность, рабочий объем и тип ДВС, разрешенная максимальная масса автомобиля, масса без нагрузки, страна-изготовитель, экологический класс, страна вывоза, серия и номер таможенной декларации, таможенные ограничения, адрес собственника автомобиля, название и адрес тех, кто выдал ПТС, а также дата выдачи.
ПТС подделка, если:
Номер техпаспорта не совпадает с кодом региона, где его выдавали.
На фото №3 номер правильный:
• VIN в бланке не соответствует автомобильному. Узнать номер VIN просто: на современных машинах он расположен в специальной рамке за лобовым стеклом и на водительской стойке двери. Также его оставляют в виде таблички на двигателе машины, на торпедо или под обшивкой пола, это зависит от производителя.
• Год создания бланка меньше, чем год выдачи паспорта.
Навигация по блогу здесь
Сайт нашей компании
Наш Instagram
Группа VK
www.drive2.ru
Как самому проверить ПТС по номеру онлайн? Процедура проверки в ГИБДД.
Если вы приобретаете автомобиль с рук, то вам необходимо как можно детальней изучить его историю. Вполне возможно, что, узнав подноготную транспортного средства, вы вовсе откажетесь от сделки.
Документ, на который бы я вам рекомендовал обратить особое внимание, — это ПТС. Именно из него вы сможете узнать максимум полезной информации о приобретаемом авто. В статье я расскажу о том, что это за документ, где и как проверить его онлайн. Итак, поехали!
○ Что такое ПТС?
Автомобиль является вещью индивидуальной. У каждого ТС есть свой заводской идентификационный номер, который в совокупности с другими характеристиками и обозначениями не дает его спутать с другой машиной.
Этот набор характеристик автомобиля вписывается в основной документ автомобиля – паспорт транспортного средства. ПТС можно сравнить с паспортом человека. В нем отражена информация обо всех владельцах авто, датах перерегистраций, заводских особенностях ТС, таможенных ограничениях и так далее.
Кроме того, зная данные, занесенные в ПТС, можно узнать историю практически каждого автомобиля, например, сколько раз он побывал в авариях. Хотя в самой бумаге информации не так много, зато из онлайн-базы ГИБДД можно добыть большое количество ценных сведений.
Вернуться к содержанию ↑
○ Для чего необходима проверка ПТС?
Чтобы не купить «кота в мешке», каждый ПТС необходимо не только тщательно изучить на предмет его содержания, но и проверить на подлинность, ведь если документ ненастоящий, следовательно, и верить написанному в нем нечего.
Кроме проверки ПТС на подлинность и ознакомления с техническим состоянием ТС, проверить перед покупкой необходимо и наличие различных ограничений, например, ограничение на регистрацию авто. Это можно сделать с помощью ПТС, также почерпнув информацию из сайта ГИБДД. Допустим, вам полезно будет узнать, что предыдущий собственник не погасил штраф или не оплатил пошлину, что сделает постановку ТС на учет невозможной и, следовательно, покупку – неудачной.
Вернуться к содержанию ↑
○ Существующие способы проверки ПТС.
Рассмотрим, как можно проверить ПТС.
- Путем личного обращения в ГИБДД. Сотрудники Госавтоинспекции предоставят максимум информации по вашему запросу. Для этого вам необходимо будет предъявить сотруднику ГИБДД документы на автомобиль.
- Позвонив по телефону в Госавтоинспекцию и назвав основные данные из ПТС.
- Воспользовавшись онлайн-сервисом ГИБДД.
- Воспользовавшись сторонними ресурсами, предлагающими узнать больше информации о вашем ТС, например, о том, не пребывает ли выбранный автомобиль в угоне.
Вернуться к содержанию ↑
○ Проверка ПТС по базе данных ГИБДД в режиме онлайн.
Сервис Госавтоинспекции разработан недавно (в 2013 году) и является достаточно простым в использовании.
✔ Пошаговая инструкция.
- Зайдите на официальный сайт ГИБДД.
- Откройте раздел «Сервисы».
- В открывшемся меню выберите «Проверка автомобиля».
- Введите номер VIN, или номер кузова, или номер шасси.
К сожалению, по серийному номеру ПТС поиск возможен только для жителей Москвы. Для этого следует:
- Зайти на сайт мэра города.
- Зайти в раздел «Транспорт».
- Выбрать «Проверка ПТС».
- Ввести серию и номер ПТС.
Информация черпается из баз ГИБДД, поэтому сведениям можно доверять.
✔ Что можно узнать по номеру ПТС?
С помощью ВИН-кода, номеров кузова или шасси можно узнать следующую информацию:
- Об основных характеристиках авто.
- Об ограничениях, наложенных на ТС.
- О датах перерегистраций машины на новых владельцев.
- О пребывании авто в розыске.
- Об авариях, в которых участвовала машина.
Проверка по серийному номеру ПТС введена относительно недавно и пока что показывает москвичам такие данные:
- Количество владельцев, даты перерегистраций.
- Основные характеристика авто – марка, тип, год выпуска, категория ТС, цвет, параметры двигателя, грузоподъемность.
Вернуться к содержанию ↑
○ Можно ли узнать на других онлайн-сервисах?
Воспользоваться можно и другими интернет-сервисами, благо, их в интернете много. Но стоит сказать, что все они грешат недостоверностью данных.
Сервисы онлайн проверки, которые не относятся к государственным, в лучшем случае будут черпать информацию из государственных сайтов, в худшем – будут давать искаженные сведения. Так, не лучше ли самостоятельно воспользоваться надежным источником? Тем более, так вы будете уверены, что получили самые свежие данные.
Вернуться к содержанию ↑
○ Плюсы и минусы проверки онлайн.
К плюсам можно отнести:
- Удобство.
- Оперативность.
- Возможность сравнить информацию сразу в нескольких источниках.
- Бесплатный характер, если информация берется из государственных открытых систем.
Минусы:
- Информация не всегда обновляется быстро.
- Не всегда информация может быть полной.
- Возможность технической ошибки оператора при внесении данных.
- Необходимость получения дополнительных консультаций (хотя, конечно, это требуется не всегда).
Вернуться к содержанию ↑
○ Какими дополнительными способами можно узнать информацию об автомобиле онлайн?
Если вам срочно необходимо раздобыть как можно больше информации о ТС, то можете воспользоваться проверкой авто по госномеру и сервисами, предоставляющими возможность отыскать сведения об авто по ВИН-коду.
✔ Проверка по госномеру.
По государственному номеру доступна лишь проверка штрафов, которые не уплатил водитель. Информацию можно найти на сайте ГИБДД в соответствующем разделе. Кроме госномера, необходимо в специальное поле вписать также номер свидетельства о регистрации.
✔ Проверка по VIN.
С помощью ВИН-кода можно узнать множество полезной информации. Например, с помощью VIN-кода на сайте Федеральной нотариальной палаты можно узнать, находится ли автомобиль в залоге. Также можно проверить, не числится ли авто в международном розыске. Для поиска этой информации существует достаточно много различных сервисов.
Вернуться к содержанию ↑
○ Советы юриста:
✔ Можно ли с помощью ПТС узнать задолженности по штрафам?
Задолженность по штрафам с помощью одного лишь ПТС узнать нельзя. Для получения информации по неоплаченным денежным взысканиям необходимо знать госномер авто и номер свидетельства о регистрации ТС. Тем не менее, если вы такими данными не обладаете, на сайте ГИБДД будет отображена информация о том, наложено ли на ТС ограничение, хотя более подробной информации по количеству и размеру платежа вы там не увидите.
✔ Помогает ли данная проверка узнать украден автомобиль или нет?
Да. С помощью сервиса ГИБДД вы сможете увидеть пребывает ли ТС в розыске. Конечно же, приобретать такое авто опасно, о нем сразу необходимо заявить в правоохранительные структуры.
Вернуться к содержанию ↑
Спецвыпуск автоблога «АВТО-ПОДБОР». В этом видео Вы узнате, где и как проверить ПТС онлайн на юридическую чистоту.
Вернуться к содержанию ↑
Опубликовал : Вадим Калюжный, специалист портала ТопЮрист.РУ
topurist.ru
Как проверить ПТС по номеру онлайн в базе ГИБДД?
Каждый автовладелец обязан иметь паспорт транспортного средства (ПТС) с уникальным номером на свою машину. В ПТС записаны все основные характеристики автомобиля, включая номер кузова, VIN двигателя авто, цвет покраски и другая информация в полной мере идентифицирующая автомобиль. Это очень полезно, когда вы собираетесь купить машину с рук или приобрести подержанную автомашину в одном из автоцентров, или даже у автодилера, который выкупает транспортные средства по схеме трейд-ин и затем реализует их своим клиентам.
И так, вы собрались купить машину (новую или подержанную), вы запросили у продавца номер паспорта автомобиля, можете ли вы по этому номеру ПТС узнать остальную важную информацию об этом транспортном средстве и сверить с автомобилем, который вы собираетесь купить? Давайте разбираться, сейчас рассмотрим, как проверить ПТС при покупке авто по базам ГИБДД, можно ли сделать это онлайн, или придется звонить или ехать в госавтоинспекцию.
Какие существуют проверки авто по базам ГИБДД?
Во-первых, уже несколько лет существует возможность проверки ряда информации по автомобилям и их владельцам на официальном сайте ГИБДД по единым базам данных.
- Проверка по базе штрафов ГИБДД
- Проверка транспортного средства по VIN номеру
- Проверка подлинности водительского удостоверения по номеру
В настоящий момент вы легко можете проверить задолженности по штрафам ГИБДД, имея на руках государственный номер авто и данные СТС, причем есть несколько способов:
- Во-первых, можно позвонить по телефону в ГИБДД, продиктовать личные данные и номер СТС и после проверки по базе данных штрафов вам сообщат, есть ли у вас задолженность;
- Есть возможность проверить штрафы на сайте ГИБДД, где по государственному номерному знаку автомобиля и номеру СТС можно выяснить информацию о штрафах по данному автомобилю;
Кстати, на текущий момент многие крупные банки в России дают возможность проверить штрафы ГИБДД онлайн в личном кабинете и тут же их оплатить. Помимо этого на сайте государственных услуг в личном кабинете также можно увидеть неоплаченные штрафы за нарушение ПДД или за неправильную парковку.
Если говорить о проверке авто по VIN-коду, то официальный сайт ГИБДД позволяет:
- Проверить историю регистраций авто в ГИБДД — получить основные сведения о ТС и периодах его регистрации в ГАИ за различными собственниками.
- Проверить на участие автомобиля в ДТП — вы можете получить сведения о дорожно-транспортных происшествиях с участием автомобиля с указанным VIN-номером, произошедших с начала 2015 года (но только те ДТП, которые оформлялись при участии сотрудников полиции и были внесены в федеральную базу АИУС ГИБДД)
- Проверить нахождения машины в розыске — вы можете получить сведения о федеральном розыске автомобиля правоохранительными органами.
- Проверить наличие ограничений на регистрационные действия с ТС в ГАИ — с помощью данной проверки вы можете получить сведения о наличии тех или иных ограничений на проверяемое транспортное средство.
Еще одним онлайн-сервисом на официальном сайте ГИБДД является «проверка подлинности водительского удостоверения по номеру», чтобы воспользоваться этой бесплатной онлайн-услугой вам необходимы данные и номер ВУ.
Информация о транспортном средстве в базе ГИБДД
Из базы ГИБДД при личном обращении в подразделения Госавтоинспекции можно получить не только сведения о штрафах и долгах по ним, но и такие данные как:
- Дата регистрации автомобиля, юридическая история автомобиля и информация обо всех его прежних владельцах;
- Все идентификационные сведения автомобиля для сверки данных, внесенных в ПТС, с данными, имеющимися в ГИБДД, а именно:
— Данные о марке автомобиля;
— Производителе автомобиля;
— Массе автомобиля;
— Номере модели автомобиля;
— Цвете автомобиля и коде окраски;
— VIN-коде;
— Дате выпуска автомобиля;
— Номере шасси;
— Номере двигателя;
— Мощности двигателя;
— Государственном номере. - Информацию о наличии запрета на действия по регистрации собственности в отношении автомобиля;
- Данные о наличии наложенного ареста на автомобиль;
- Данных обо всех авариях, в которых ваш автомобиль принимал участие, кроме факта аварии, можно выяснить, где произошла авария, в какое время и кто был ее участником;
- Данные о нахождении автомобиля или его частей (двигателя, кузова) в розыске.
Запрос информации в ГИБДД по телефону
В отдельных городах России, таких как Москва и Санкт-Петербург, например, можно получить справочную информацию по числящимся за автолюбителем задолженностям по оплате штрафов по телефону. Для этого достаточно продиктовать госномер транспортного средства и водительского удостоверения.
Существует также приложение для мобильных телефонов, с помощью которого можно получить информация по штрафам, помимо этого существует сервисный короткий номер, отправив СМС-сообщение на который также можно получить информацию из базы штрафов.
Можно ли проверить ПТС автомобиля через интернет по базе ГИБДД?
На текущий момент такой возможности нет, нельзя проверить ПТС автомобиля через интернет по базе ГИБДД ни на официальном сайте Госавтоинспекции, ни на сторонних онлайн-сервисах.
Будьте бдительны и не доверяйте сомнительным сайтам, обещающим проверить ПТС по номеру онлайн по базе ГИБДД, личную персональную информацию, и тем более не вводите свои платежные данные банковских карт.
www.pilotov.net
Как проверить ПТС перед покупкой на подлинность и дубликат? По номеру, по базе ГИБДД
Покупка подержанного автомобиля имеет несомненный плюс — адекватная стоимость. Однако при этом можно наткнуться на множество подводных камней — скрытые повреждения, износ деталей вследствие большого пробега, проблемы с документами.
Последнее встречается чаще всего. В статье мы разберёмся, как проверить ПТС перед покупкой — самый главный документ на автомобиль. Данные ПТС Паспорт транспортного средства хранит в себе множество различных данных об автомобиле.
Первое, что необходимо проверить — это совпадение VIN-номера в паспорте и на автомобиле. Это 17-значное число, размещается на автомобиле в нескольких местах — под капотом, на металлической раме автомобиля.
В зависимости от модели, номера могут расположить ещё в других местах. В ПТС также указан номер двигателя — в самом ТС он располагается соответственно на шильдике силового агрегата.
Кроме таких основных данных необходимо сравнить следующие данные, указанные в ПТС:
- цвет автомобиля;
- модель и марка;
- госномер;
- объём двигателя — обычно указывается на шильдике на задней стороне авто;
- дата выпуска — также может указываться на шильдике под капотом;
- масса автомобиля — можно проверить в ближайшем автосервисе;
- номер шасси.
Как проверить ПТС на подлинность
Паспорт должен содержать следующие элементы:
- Орнамент паспорта — специфический узор, который при детальном рассмотрении не должен терять чёткости;
- Голограмма — должна быть чёткой и легко читаемой. Подделка голограммы — самая большая проблема для мошенников;
- Объёмный рисунок — на обратной стороне ПТС в углу находится своеобразный объёмный узор — розочка. Его возможно определить наощупь. Также он меняет цвет от зелёного до серого при разных углах обзора;
- Водяной знак — если просветить ПТС, на нём можно найти объёмный водяной знак «RUS».
Зарубежные авто
Множество транспортных средств в нашей стране иностранного производства либо же привезены из других стран. В таком случае ПТС может быть выдан только таможенной службой. В данном случае необходимо обратить внимание на страну-производителя — если в этой графе указана Литва или Беларусь, то надо быть крайне осторожным, поскольку это часто означает, что авто могло быть восстановлено после ДТП либо банально собрано из нескольких частей.
В ПТС, выданном таможней, указываются определённые ограничения, например, на отчуждение либо продажу авто. Паспорт, выданный таможней, заверяется подписью таможенника и печатью.
Кредитное авто
Тут надо обратить внимание на следующее:
- дата выпуска — обычно кредитные авто имеют сравнительно малый возраст;
- пробег — ввиду первого пункта пробег тоже может быть небольшим, хотя это необязательно;
- транзитные номера авто.
Также, как показывает практика, если авто является кредитным, то оригинал ПТС остаётся у банка, водителю выдаётся дубликат.
Дубликат ПТС Одна из распространённых схем мошенников — продажа автомобиля не с оригиналом, а с дубликатом ПТС.
Самое безобидное, почему у владельца находится дубликат, а не оригинал, — это если оригинал был утерян или владелец менял регистрационные или личные данные.
Гораздо чаще бывает, что автомобиль является предметом кредитного договора либо же находится в угоне.
Самый простой способ, как проверить дубликат ПТС — посмотреть на его внешний вид. Дубликат ПТС имеет такую же структуру, как и оригинал структуру — водяные знаки, объёмные изображения и прочие отличительные признаки, присущие оригиналу. Единственное отличие — в графе для пометок стоит надпись «Дубликат».
Проверка в ГИБДД
Наиболее верный способ узнать подлинность и прочие данные — проверить ПТС по базе ГИБДД. Там Вам выдадут развернутую информацию — есть ли неоплаченные штрафы за авто, является ли оно в угоне, ДТП с участием автомобиля, актуальность сверки номеров двигателя, кузова, шасси и прочего, запрет на изменение регистрационных данных. Некоторые отделения ГИБДД позволяют выяснить эту информацию в телефонном режиме.
Онлайн-сервисы для проверки ПТС
Кроме личного общения с сотрудниками ГИБДД сейчас есть возможность проверить ПТС автомобиля в режиме онлайн.
http://www.gibdd.ru/check/auto/ — официальная база ГИБДД, работает сравнительно недавно. Достаточно ввести регистрационные данные авто (номер кузова, шасси или VIN-номер).
После этого сайт выдаст Вам следующие данные:
- неоплаченные штрафы;
- является ли авто в угоне;
- есть ли запрет на изменение регистрационных данных;
- информацию о данных автомобиля.
Кроме официального источника, существуют и другие сервисы, позволяющие узнать историю автомобиля по его ПТС:
http://vinformer.su/ru/ident/title/ — сервис для проверки автомобилей, ввезённых из другой страны после 1996 года.
http://shtrafy-gibdd.ru/ — ещё один сервис, который выдаст всю информацию о неоплаченных штрафах.
Также в сети существует множество других сервисов для проверки авто, но принцип работы практически не отличается. Минусом такой проверки является то, что информация может быть неактуальной (за исключением официального портала ГИБДД). Таким образом, наиболее точную и актуальную информацию Вам смогут предоставить лично в ГИБДД.
Также рекомендуем вам ознакомиться с другими полезными и бесплатными онлайн сервисами для автомобилистов в этой статье —>>
Источник статьи ресурс - pravo-auto.com
Как проверить документы перед покупкой автомобиля. Видео
koreetc.ru
Заголовок аутентификации — обзор
Основы IPsec
Заголовок аутентификации (AH)
AH, один из протоколов безопасности IPSec, обеспечивает защиту целостности заголовков пакетов и данных, а также аутентификацию пользователя. Опционально он может обеспечивать защиту от воспроизведения и защиту доступа. AH не может зашифровать какую-либо часть пакетов.
Режимы AH
AH имеет два режима: транспорт и туннель . В туннельном режиме AH создает новый IP-заголовок для каждого пакета; в транспортном режиме AH не создает новый заголовок IP.В архитектурах IPSec, в которых используется шлюз, истинный IP-адрес источника или назначения для пакетов должен быть изменен на IP-адрес шлюза. Поскольку транспортный режим не может изменить исходный IP-заголовок или создать новый IP-заголовок, транспортный режим обычно используется в архитектурах «хост-хост».
Инкапсуляция полезной нагрузки безопасности (ESP)
ESP — это второй базовый протокол безопасности IPSec. В первоначальной версии IPSec ESP обеспечивал шифрование только для пакетных данных полезной нагрузки. При необходимости защита целостности обеспечивалась протоколом AH.Во второй версии IPSec ESP стал более гибким. Он может выполнять аутентификацию для обеспечения защиты целостности, но не для самого внешнего заголовка IP. Кроме того, шифрование ESP можно отключить с помощью алгоритма шифрования Null ESP. Следовательно, во всех реализациях IPSec, кроме самых старых, ESP может использоваться только для обеспечения шифрования; шифрование и защита целостности; или только защита целостности.
ESP имеет два режима: транспорт и туннель . В туннельном режиме ESP создает новый IP-заголовок для каждого пакета.В новом заголовке IP перечислены конечные точки туннеля ESP (например, два шлюза IPSec) в качестве источника и назначения пакета. Благодаря этому туннельный режим можно использовать со всеми тремя моделями архитектуры VPN.
Internet Key Exchange (IKE)
Назначение протокола Internet Key Exchange (IKE) — согласование, создание и управление ассоциациями безопасности. Ассоциация безопасности (SA) — это общий термин для набора значений, которые определяют функции IPSec и средства защиты, применяемые к соединению.SA также могут быть созданы вручную с использованием значений, заранее согласованных обеими сторонами, но эти SA не могут быть обновлены; этот метод не масштабируется для реальных крупномасштабных VPN. IKE использует пять различных типов обмена для создания ассоциаций безопасности, статуса передачи и информации об ошибках, а также для определения новых групп Диффи – Хеллмана. В IPSec IKE используется для обеспечения безопасного механизма для установления соединений, защищенных IPsec.
Протокол сжатия полезной нагрузки IP (IPComp)
При обмене данными часто желательно выполнять сжатие данных без потерь — для переупаковки информации в меньший формат без потери ее смысла.Протокол сжатия полезной нагрузки IP (IPComp) часто используется с IPSec. Если сначала применить IPComp к полезной нагрузке, а затем зашифровать пакет через ESP, можно добиться эффективного сжатия.
IPComp можно настроить для обеспечения сжатия трафика IPSec, идущего только в одном направлении (например, сжимать пакеты от конечной точки A к конечной точке B, но не от конечной точки B к конечной точке A) или в обоих направлениях. Кроме того, IPComp позволяет администраторам выбирать из нескольких алгоритмов сжатия, включая DEFLATE и LZS.49 IPComp предоставляет простое, но гибкое решение для сжатия полезной нагрузки IPSec.
IPComp может обеспечить сжатие без потерь полезной нагрузки IPSec. Поскольку применение алгоритмов сжатия к определенным типам полезной нагрузки может фактически увеличить ее, IPComp сжимает полезную нагрузку только в том случае, если он действительно уменьшает размер пакета.
IPSec использует IKE для создания сопоставлений безопасности, которые представляют собой наборы значений, определяющих безопасность подключений, защищенных IPsec. Фаза 1 IKE создает IKE SA; Фаза 2 IKE создает IPSec SA через канал, защищенный IKE SA.Фаза 1 IKE имеет два режима: основной и агрессивный. Основной режим согласовывает установление двунаправленной IKE SA с помощью трех пар сообщений, в то время как в агрессивном режиме используются только три сообщения. Хотя агрессивный режим быстрее, он также менее гибкий и безопасный. Фаза 2 IKE имеет один режим: быстрый режим. В быстром режиме используются три сообщения для установления пары однонаправленных сопоставлений безопасности IPSec. Связь в быстром режиме шифруется методом, указанным в IKE SA, созданном на этапе 1.
За экраном входа в систему: общие сведения о протоколах веб-аутентификации
Это руководство Марлены Эрдос было первоначально представлено в качестве вспомогательных материалов для ее презентации перед abcd-security в октябре 2014 года. Если не указано иное (или явно не получено из других источников, например, скриншоты), весь материал принадлежит Марлене Эрдос.
Введение
Когда вы открываете веб-приложение, иногда вы видите экран входа в систему, а иногда нет. Что происходит за кулисами «входа в систему»? А что происходит между моментами, когда вас просят указать имя пользователя и пароль?
Приведенный ниже материал (изначально созданный в поддержку выступления и, следовательно, не полностью завершенный) фокусируется на том, чтобы помочь вам понять, что такое «протокол» и как все протоколы веб-аутентификации — CAS, SAML / Shibboleth и Harvard’s. собственный протокол PIN — используйте базовый протокол HTTP для безопасной аутентификации пользователя в службе.Он также описывает, что происходит между действиями этих протоколов.
Руководство состоит в основном из текста, а не изображений. Но мощная аналогия с повседневной деятельностью поможет вам достаточно глубоко понять протоколы веб-аутентификации, даже если вы не особо разбираетесь в технических вопросах. В этом руководстве рассматриваются три вопроса:
- Почему вы иногда видите экран входа в систему, а иногда нет? (Быстрый ответ: «Состояние сеанса аутентификации».)
- Когда вы видите экран входа в систему, что происходит за кулисами? (Быстрый ответ: протокол веб-аутентификации.»)
- Почему вас не просят войти в систему? (Быстрый ответ: состояние вашего сеанса с вашим приложением или его системой аутентификации «хорошее».)
К концу этого руководства вы должны лучше понять …
- Что такое «протокол».
- Как «сеансы» используются в «текущей аутентификации».
- Как все протоколы веб-аутентификации — CAS, SAML / Shibboleth, OAuth и собственный протокол PIN Гарварда — используют базовый протокол HTTP для безопасной аутентификации пользователя в веб-приложении.
- Некоторые общие черты этих протоколов аутентификации.
Обратите внимание, что это руководство не является параллельным сравнением всех протоколов. Это также не руководство по механизмам, используемым для защиты сообщений — цифровым подписям и массовому шифрованию — хотя вот их краткое описание:
- Цифровая подпись: Способ, позволяющий получателю узнать, кто отправил сообщение, а также упаковка сообщения с защитой от несанкционированного доступа.
- Зашифрованный канал или массовое шифрование: Способ предотвращения получения какой-либо значимой информации злоумышленниками.(HTTPS выполняет массовое шифрование.)
Зачем нужны протоколы (и системы) веб-аутентификации?
Историческое развитие приложений, хранилищ аутентификации и протоколов аутентификации
На заре веб-приложений каждое приложение имело собственную базу данных имен и паролей и использовало собственный протокол для аутентификации.
- Недостаток: Каждому пользователю нужны отдельные комбинации имени и пароля на разных сайтах, что является головной болью для пользователя.
- Выгода: Взлом учетной записи данного пользователя в одном приложении не обязательно повлиял на учетные записи пользователя в других приложениях.
По мере развития технологий и стандартов приложение в организации может использовать каталог LDAP (и связанный с ним протокол) для хранения и проверки имени / пароля — с тем же LDAP, который используется другими приложениями в организации.
- Преимущество: У каждого пользователя была только одна комбинация имени и пароля.
- Недостатки: У каждого приложения свои пароли пользователей! Не круто — и небезопасно.
- Злоумышленник, который разрушает одно приложение, а затем разрушает несколько человек.
Следующей волной стало использование сторонних систем аутентификации и связанных протоколов — часто называемых системами единого входа (SSO) — предназначенных для управления именами пользователей и паролями и аутентификации пользователей от имени приложения. И пользователи, и участвующие приложения доверяют системе единого входа, а система единого входа помогает приложениям доверять пользователю. (Некоторые системы единого входа, такие как Kerberos, также помогают пользователю доверять приложению.) В настройках единого входа протоколы аутентификации состоят из сообщений, которые приложение может использовать для запроса аутентификации пользователя, и ответных сообщений от системы аутентификации. «Протокол веб-аутентификации» использует функции HTTP — самого протокола — для выполнения задачи аутентификации.
«Сторонняя система аутентификации» означает, что имя и пароль для пользователей управляется не только приложением. Или, более технически, что третья сторона управляет аутентификацией между вами (первая сторона) и приложением (вторая сторона).
В Гарварде PIN, CAS, SAML / Shibboleth и OAuth являются примерами протоколов для сторонних систем аутентификации. Они используют HTTP, что делает их протоколами веб-аутентификации. (Kerberos также является сторонней системой аутентификации, но не на веб-основе, потому что он не использует HTTP для своего протокола — по крайней мере, в его исходной форме, которая предшествовала HTTP.)
Что такое протокол?
В компьютерных коммуникациях протокол — это набор сообщений (часто с указанием их порядка) и их форматы с определенным типом содержимого.
Пример из реальной жизни: почтовое отделение
Сообщения и операции — другими словами, запрос , — которые вы можете отправить в почтовом отделении, включают:
- Отправьте, пожалуйста, обычную почту.
- Прошу переслать мой адрес.
- Отправьте это письмо с уведомлением о вручении.
Есть ответные сообщения — на жаргоне протокола ответов — которые зависят от того, что вы указали в своем запросе, и по сути передают статус:
- «Хорошо, все готово.«
- «Эй, без штампа!»
- «Вы неправильно заполнили эту квитанцию, но при этом вышли в первую очередь».
Очевидно, почтовый работник смотрит на формат вашего конверта (и квитанцию о вручении и т. Д.). А правильность формата влияет на получаемый ответ (и статус).
Вы, пользователь, предпринимаете разные действия в зависимости от статуса в ответе.
Эти концепции — правильность формата и статус ответа — применимы как к протоколам веб-аутентификации, так и к HTTP.
Слова использования протокола
- Тело (или «тело сообщения»): в почтовом отделении — содержимое конверта.
- Заголовок (или «заголовок сообщения»): в почтовом выражении то, что написано на конверте; для электронных запросов и ответов поля (например, адресная информация), которые предшествуют «телу» сообщения, например домен, длина сообщения, используемый язык и т. д.
Протоколы внутри протоколов
Давайте еще немного рассмотрим метафору «улитка».Почтовое отделение вообще ничего не знает о содержимом вашего конверта; Вы можете, скажем, заказать запчасть для своего старинного трактора в компании, которой нет в сети. Это ваш запрос «уровня приложения». Владелец магазина — назовем ее Ян — может прислать вам обратно конверт, содержащий ответ на ваше сообщение, в котором говорится, что «деталь в наличии; пришлите мне номер своей кредитной карты» или, может быть, «желаемая деталь не заказана. . »
Она также может прислать вам номер заказа, который вы можете использовать в следующем сообщении, вместо того, чтобы снова заполнять форму заказа.В мире протоколов этот порядковый номер является индексом состояния сеанса (что вы заказали, ваш адрес и т. Д.), Которые магазин имеет в своих записях.
И, наконец, вы и Ян также по отдельности ведете протокол с почтовым отделением. Ваше взаимодействие друг с другом — это уровень над (или, скорее, в пределах ) ваших запросов и ответов в почтовом отделении. Это означает, что если вы пошли к почтовому служащему и попросили его или ее прислать вам отремонтированную прокладку John Deere, служащий сказал бы: «А?» — я.е. протокол переноса ничего не знает о протоколе в теле сообщения .
Эта идея — протокола, происходящего внутри другого протокола — является ключевой концепцией в Интернете и в протоколах аутентификации.
Большинство, если не все протоколы веб-аутентификации, такие как CAS, Shibboleth / SAML, OAuth и собственный PIN-код Гарварда, «накладываются на» HTTP.
А сам протокол HTTP накладывается на TCP, который накладывается на IP, который накладывается на протокол уровня канала, который накладывается на протокол физической среды.
Как и матрешки, один протокол помещается внутри другого, который помещается внутри другого и так далее.
«Семиуровневая модель» и пять фактических уровней протокола
Историческая модель сетевого протокола OSI состоит из семи вложенных уровней. Это приложение, представление, транспорт, сеть, канал передачи данных и физический.
В сегодняшнем Интернете мы имеем следующие пять реальных уровней протокола: приложение, HTTP, TCP, IP, связь (Ethernet, беспроводная связь) и физическая среда.
Они соответствуют следующим уровням в модели OSI: приложение (для фактического приложения и HTTP), транспорт (для TCP), сеть (для IP), канал передачи данных (Ethernet, беспроводной) и физический.
Протоколы веб-аутентификации— это «прикладные» протоколы, использующие протокол приложений HTTP, который использует TCP, затем IP, а затем канал и физический уровень.
Протоколы веб-аутентификации используют функции HTTP — в частности, «куки» и «перенаправления» — для выполнения своей работы.
Вывод: нам нужно понимать HTTP, чтобы понимать протоколы веб-аутентификации!
Некоторые сведения о протоколе HTTP
- До HTTP существовали Telnet, FTP и SSH, наложенные на TCP / IP — без HTML и без гипертекста, где вы можете щелкнуть ссылку и перейти на новую страницу.
- HTTP (протокол передачи гипертекста) — это основной протокол Интернета.
- Каждая страница, которую вы видите (включая эту!), Зависит от протокола HTTP, передаваемого между вашим браузером и приложением, обслуживаемым веб-сервером (или приложением, выполняющим сам протокол, хотя это встречается реже).
HTTP (протокол передачи гипертекста) — это строгий протокол запроса / ответа. Нет ответа (от веб-сервера) без запроса от браузера (или другого объекта, выполняющего сторону запроса HTTP). (Протоколы веб-аутентификации также являются запросами / ответами, но не так уж точно синхронизированы. Мы вернемся к этому позже.)
По (несовершенной, но адекватной) аналогии почтовый работник не просто даст вам что-то (скажем, марки), пока вы стоите в очереди, без вашего предварительного запроса, как и приложение HTTP (веб).
Это полностью противоречит интуиции конечного пользователя — в конце концов, вас попросили войти в систему, верно? Это просьба, правда? Да, с точки зрения приложения. Но с точки зрения HTTP это ответ.
HTTP-запрос: что ваш браузер отправляет приложению
HTTP-запрос , заголовок всегда имеет домен, путь и HTTP-команду (например, GET для чтения информации на сайте и POST для отправки информации на сайт, например, информации для входа).
Запрос может иметь тело в случае POST и отправки формы.
HTTP-ответ: что приложение (через веб-сервер) отправляет обратно в ваш браузер
Заголовок ответа всегда имеет код состояния! Заголовок может содержать директив для браузера (например, Set-Cookie).
Ответ также может иметь «тело», которое представляет собой HTML-код, который ваш браузер будет представлять как страницу, которую вы видите.
Мы скоро увидим примеры.
HTTP-запросы и URL-адрес: урок анатомии
Когда вы вводите URL-адрес в свой браузер, ваш браузер использует этот URL-адрес для создания и последующей отправки заголовка HTTP-запроса (и, возможно, тела).Давайте подробно рассмотрим URL:
https://example.com/myDirectory/myfile?param1=value1¶m2=value2
Вот что внутри:
Параметры программы p находятся в строке запроса:
- Формат: «ParamName = Value;»
- Амперсанд «&» разделяет параметры
Это важная идея; большую часть времени ваш HTTP-запрос вызывает программу (например, «сервлет»), а не напрямую извлекает файл (например, файл.jpg).
Ответ HTTP
Приложение вместе с веб-сервером отвечает на каждый HTTP-запрос HTTP-ответом. Ответ включает в себя код состояния в заголовке ответа. Заголовок ответа также может содержать директивы для вашего браузера (например, Set-Cookie), а также информационные поля, такие как Content-Length.
Ответ всегда имеет заголовок и часто (но не всегда) тело . Тело ответа — это материал, который ваш браузер будет отображать для вашего просмотра: HTML, данные изображения (например,г. jpg) и все остальное, что может отображаться на экране вашим браузером. Во многих случаях это включает запросы уровня приложения, такие как формы входа в систему — фактически, все запросы приложений к пользователю приходят в ответах HTTP.
Примечание: Программа никогда не может сделать HTTP-запрос к вашему браузеру. Это связано с тем, как работает протокол HTTP, TCP. На вашем компьютере может быть запущена программа, которая принимает HTTP-запросы, но в этом случае ваша программа действует как сервер.
Настоящий HTTP-запрос и ответ — с файлами cookie
Давайте посмотрим на реальный пример. Если я введу в адресную строку своего браузера следующее:
www.washingtonpost.com/home
… браузер отправляет в качестве запроса следующее (как показано в «Live HTTP headers», инструменте в Firefox):
GET / home HTTP / 1.1
Хост: www.washingtonpost.com
Пользовательский агент: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.7; rv: 26.0) Gecko / 20100101 Firefox / 26.0
Принять: text / html, application / xhtml + xml, application / xml; q = 0,9, * / *; q = 0,8
Accept-Language: en-US, en; q = 0,5
Accept-Encoding: gzip, deflate
Подключение: keep-alive
Вот ответ с сайта. Обратите внимание, что четыре файла cookie устанавливаются через «Set-Cookie»:
HTTP / 1.1 200 OK
Последнее изменение: четверг, 30 января 2014 г., 00:00:34 GMT
Content-Type: text / html; charset = UTF-8
Content-Encoding: gzip
Content-Length: 92556
Date : Чт, 30 января 2014 г., 00:04:47 GMT
Set-Cookie : client_region = 0; Срок действия истекает = четверг, 30 января 2014 г., 00:14:47 GMT; путь = /; домен =.washtonpost.com
Set-Cookie: X-WP-Split = X; Срок действия истекает = четверг, 1 января 1970 г., 00:00:00 GMT; путь = /; domain = .washingtonpost.com
Set-Cookie: devicetype = 0; Истекает = Суббота, 1 марта 2014 г. 10:33:47 GMT; путь = /; domain = .washingtonpost.com
Set-Cookie: rpld1 = 20: usa | 21: ma | 22: cambridge | 23: 42.363998 | 24: -71.084999 |; Срок действия истекает = четверг, 30 января 2014 г., 01:04:47 GMT ; путь = /; domain = .washingtonpost.com
Это просто заголовок ответа — или, как мы использовали аналогию с почтовым отделением ранее, конверт.Тело ответа — это HTML-код домашней страницы Washington Post.
Что насчет файлов cookie?
Итак, что такое печенье?
- Пара имя = значение (точно так же, как параметры URL!) — например, devicetype = 0
- Срок годности;
- Домен и путь, которые сообщают вашему браузеру, куда и когда отправлять куки.
Примечание. Файл cookie может содержать большой объем информации или просто содержать индекс таблицы, хранящейся в приложении. (В последнем случае рассмотрим, как используются жетоны в клетку .)
А для чего печенье?
Ответ: Состояние сеанса — то есть то, что сервер / приложение хочет знать о вас при следующем запросе.
Разве этот разговор не должен быть об аутентификации?
Да. Файлы cookie — это средство «постоянной аутентификации».
Файлы cookie, сеансы и текущая проверка подлинности
Файлы cookie — это способ, с помощью которого приложение поддерживает сеанс — постоянную связь с вами, — даже если с точки зрения протокола HTTP связь «завершена» при отправке ответа.
Ваш «сеанс» с приложением обычно продолжается через множество HTTP-запросов и ответов.
Важным аспектом вашего сеанса работы с приложением является ваша аутентифицированная личность! (Конечно, это только для приложений, требующих аутентификации.)
способов использования файлов cookie для поддержания состояния сеанса аутентификации (некоторые плохие, некоторые лучше, одни хорошие)
Рассмотрим следующий пример. Пользователь переходит на сайт catlovers.com, щелкая ссылку — это HTTP-запрос — и возвращая форму входа.(Это ответ HTTP). Когда она заполняет форму с именем и паролем и нажимает «отправить», это HTTP-запрос POST.
После того, как приложение проверяет ее данные для входа, оно отправляет ответ, который включает в себя одну или несколько команд «Set-Cookie» в заголовке ответа HTTP (как мы видели в примере Washington Post). Например, если пользователь отправляет «marlena» и «iLoveMyCatAWholeBunch322» в форме входа в систему, catlovers.com может отправить обратно в заголовке ответа следующее:
Set-Cookie: name = marlena; домен = catlovers.com
Set-Cookie: пароль = iLoveMyCatAWholeBunch322; domain = catlovers.com
Ответ также включает HTML-страницу для отображения в браузере пользователя — предположительно, изображения милых кошек, ссылки на страницы с информацией о здоровье кошек и т. Д. Когда она нажимает на ссылку на этой странице, чтобы вернуться на тот же сайт, это будет GET, и установленные файлы cookie будут отправлены обратно на catlovers.com. Посмотрим:
GET /CatHealth.php HTTP / 1.1
Хост: www.catlovers.com
User-Agent: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.7; rv: 26.0) Gecko / 20100101 Firefox / 26.0
Accept: text / html, application / xhtml + xml, application / xml; q = 0.9 , * / *; q = 0,8
Accept-Language: en-US, en; q = 0,5
Accept-Encoding: gzip, deflate
Connection: keep-aliveCookie: name = marlena; пароль = iLoveMyCatAWholeBunch322
Все файлы cookie, предназначенные для этого сайта, отправляются в одной строке.
Некоторые проблемы с этим примером
В этом примере есть некоторые проблемы, связанные с поддержанием состояния сеанса аутентификации.Отправлять имена и пароли в заголовках HTTP (где их можно будет прочитать) — не лучшая идея. Кроме того, аутентифицировать каждый запрос с помощью имени и пароля дорого. (Обычно служба обращается к другой службе, часто в каталог LDAP, для проверки имени и пароля. Это дорогостоящая часть.)
Альтернатива: сохранить только имя пользователя
Одним из альтернативных методов поддержания состояния сеанса аутентификации было бы, если catlovers.com хранит в cookie только имя пользователя, а не пароль:
Set-Cookie: name = marlena
Это тоже не здорово; нет ничего, что могло бы помешать пользователю изменить файл cookie в хранилище файлов cookie своего браузера, чтобы в нем было написано что-то вроде «name = HillaryClinton».«
Лучшая альтернатива: используйте непрозрачное значение
В качестве альтернативы, что лучше, catlovers.com мог бы сохранить «непрозрачное значение» в cookie и сопоставить его с таблицей с именем пользователя, чтобы поддерживать состояние сеанса аутентификации.
Set-Cookie: index = 3a24
Это лучше, чем сохранение имени, но пользователь все еще может изменить значение и, если повезет, получить доступ к чужому сеансу.
Лучшая альтернатива: используйте шифрование
И лучшая альтернатива означает: зашифровать куки, а также зашифровать канал:
Set-Cookie: state = 2sao9d3Dfe28e3u32bvs4bwid91jd9gle7s
Значением cookie может быть шифрование полезной информации о сеансе (например,г. имя пользователя, IP-адрес пользователя, время касания cookie), а также , чтобы он был отправлен по HTTPS (т. е. в зашифрованном виде).
Сессии и истечение срока действия таймера, принудительная проверка подлинности
Иногда вы будете использовать защищенный сайт, например HARVie, и, щелкнув ссылку внутри сайта, вы внезапно попадете на страницу входа. Зачем? Скорее всего, ваш сеанс «слишком старый», и это привело к повторной аутентификации. Ваш сеанс может стать «слишком старым» двумя способами, каждый из которых отслеживается таймером:
- Таймер бездействия: Если вы какое-то время не заходили на веб-сайт, возможно, истек его «таймер бездействия».«
- Максимальное время жизни сеанса: Даже если вы были активны на сайте, у вас может быть превышено максимальное время жизни сеанса.
Приложение обычно сохраняет информацию о «последнем касании» и «начале сеанса» (либо в файле cookie, либо в состоянии, которое хранится приложением). Приложение сравнивает эти значения со своим понятием «максимальное бездействие» и «максимальное время жизни», чтобы определить, требуется ли повторная аутентификация.
Итоги на данный момент
Теперь мы знаем о продолжающейся аутентификации с помощью файлов cookie — другими словами, что происходит так, что вы не видите экран входа в систему все время, даже после того, как вы вошли в систему.Сервер установил (надеюсь, зашифрованный) файл cookie, который содержит либо ваше имя, либо значение индекса, которое обозначает хранилище, соответствующее вашему имени на сервере (аналогично тому токену проверки на пальто).
И мы впервые узнали о протоколах. Давайте сравним наш прогресс с целью, поставленной в верхней части этого руководства:
- Что такое «протокол».
- Как «сеансы» используются в «текущей аутентификации».
- Как все протоколы веб-аутентификации используют базовый протокол HTTP для безопасной аутентификации пользователей в веб-приложениях.
- Некоторые общие черты протоколов аутентификации, используемых в Гарварде.
Далее мы узнаем о перенаправлениях HTTP.
Протоколы веб-аутентификации и перенаправления HTTP
В этом примере пользователь вводит адрес HARVie (http://harvie.harvard.edu/) в браузер. Как вы, наверное, уже заметили, это обычно приводит вас к экрану входа в систему. Это через механизм «перенаправления». Давайте посмотрим на запрос (немного урезанный) и ответ:
GET / HTTP / 1.1
Хост: harvie.harvard.edu
Пользовательский агент: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.7; rv: 26.0) Gecko / 20100101 Firefox / 26.0
HTTP / 1.1 302 Временно перемещен
Диапазоны принятия : bytes
Возраст: 0
Content-Encoding: gzip
Content-Type: text / html
Дата: 7 февраля 2014 г., пт, 22:57:58 GMT
Расположение: https://www.pin1.harvard.edu/pin / Authenticate? __ authen_application = VPA_OHR_INTRANET_HARVIE3 & redirect = & logintype = ANON
«Перенаправление» — это просто HTTP-ответ с кодом статуса серии «300» и новым URL-адресом в поле «Location» заголовка HTTP-ответа.
Этот ответ — то есть 300 плюс местоположение — сообщает вашему браузеру выполнить новый GET для URL-адреса местоположения.
GET / pin / Authenticate? __ authen_application = VPA_OHR_INTRANET_HARVIE3 & redirect = / & logintype = ANON HTTP / 1.1 Хост
: www.pin1.harvard.edu
Агент пользователя: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.7; rv: 26.0) Gecko / 20100101 Firefox / 26.0
Еще кое-что, на что следует обратить внимание: приложение отправило свое имя «VPA_OHR_INTRANET_HARVIE3» в качестве параметра в запросе аутентификации на PIN.Фактически, отправка его имени была основной частью запроса аутентификации! Когда ПИН видит параметр «__authen_application», приложение запрашивает аутентификацию пользователя.
Во всех протоколах веб-аутентификации приложение, запрашивающее аутентификацию, отправляет свое имя, хотя терминология отличается от одного протокола к другому.
Вот запрос аутентификации CAS от приложения на example.com на сервер CAS. Обратите внимание, что приложение отправляет свое имя в качестве параметра:
https: // server / cas / login? Service = http: // www.example.com
Собираем все вместе: файлы cookie, перенаправления, аутентификация и сеансы
Все протоколы — PIN, CAS, SAML / Shibboleth и OAuth — делают одно и то же в отношении потоков сообщений протокола, хотя такие детали, как точный формат запроса аутентификации и ответа, различаются.
Чтобы узнать больше, ознакомьтесь с этой презентацией, описывающей потоки протокола веб-аутентификации.
Общие черты протоколов веб-аутентификации
При регистрации приложения в сервисе аутентификации, и наоборот:
• PIN: База данных регистрации приложения; приложение должно знать открытый ключ PIN и URL.
• SAML / Shibboleth: Обе стороны зарегистрированы в «метаданных», содержащих сертификаты и URL-адреса запросов / ответов.
• CAS: Приложения должны регистрироваться в CAS; приложение должно знать открытый ключ CAS и URL.
• OAuth: Взаимная регистрация и знание сертификатов и других ключей.
Независимо от метода приложение всегда отправляет свое имя (или идентификатор) службе проверки подлинности . Когда дело доходит до защиты ответа аутентификации, PIN, SAML и Shibboleth используют цифровые подписи для ответа, отправленного через перенаправление.В CAS или OAuth это делается с помощью прямого вызова по HTTPS между приложением и сервером аутентификации на основе «билета» (CAS) или «гранта» (OAuth).
Перейдите к приложению, чтобы получить дополнительную информацию о перенаправлениях и файлах cookie в CAS, PIN и Shibboleth.
Сеть 101: Безопасность транспортного уровня (TLS) Сеть через браузер (O’Reilly)
Введение
Протокол SSL был первоначально разработан в Netscape для обеспечения безопасность транзакций электронной торговли в Интернете, которая требует шифрования для защищать личные данные клиентов, а также аутентификацию и целостность гарантии для обеспечения безопасной транзакции.Для этого SSL протокол был реализован на уровне приложений, непосредственно поверх TCP (Рисунок 4-1), что позволяет протоколы над ним (HTTP, электронная почта, обмен мгновенными сообщениями и многие другие) для работать без изменений, обеспечивая безопасность связи, когда общение по сети.
При правильном использовании SSL сторонний наблюдатель может только сделать вывод конечные точки подключения, тип шифрования, а также частоту и приблизительный объем отправленных данных, но не может читать или изменять какие-либо фактические данные.Рисунок 4-1. Безопасность транспортного уровня (TLS)
Когда протокол SSL был стандартизирован IETF, он был переименован к безопасности транспортного уровня (TLS). Многие используют имена TLS и SSL взаимозаменяемы, но технически они разные, поскольку каждый описывает другую версию протокола.
SSL 2.0 был первой публично выпущенной версией протокола, но он был быстро заменен на SSL 3.0 из-за ряда обнаруженных средств защиты недостатки.Поскольку протокол SSL был проприетарным для Netscape, IETF предприняли попытку стандартизировать протокол, в результате чего появился RFC 2246, который был опубликован в январе 1999 года и стал известен как TLS 1.0. поскольку затем IETF продолжил итерацию протокола для решения недостатки безопасности, а также расширение ее возможностей: TLS 1.1 (RFC 4346) был опубликован в апреле 2006 г., TLS 1.2 (RFC 5246) в августе 2008 г. и работает сейчас ведется определение TLS 1.3.
Тем не менее, пусть обилие номеров версий не вводит вас в заблуждение: ваши серверы всегда должны отдавать предпочтение и согласовывать последнюю стабильную версию протокола TLS для обеспечения максимальной безопасности, возможностей и гарантии исполнения.Фактически, некоторые критически важные для производительности функции, такие как как HTTP / 2, явно требует использования TLS 1.2 или выше и прерывает в противном случае связь. Хорошая безопасность и производительность идут рука об руку.
TLS был разработан для работы поверх надежного транспортного протокола типа TCP. Однако он также был адаптирован для работы с дейтаграммами. протоколы, такие как UDP. Безопасность на транспортном уровне дейтаграмм (DTLS) протокол, определенный в RFC 6347, основан на протоколе TLS и может предоставить аналогичные гарантии безопасности при сохранении дейтаграммы модель доставки.
§Шифрование, аутентификация и целостность
Протокол TLS предназначен для предоставления трех основных услуг: все приложения, работающие над ним: шифрование, аутентификация и данные целостность. Технически вам не обязательно использовать все три в каждом ситуация. Вы можете принять решение о принятии сертификата без подтверждения его подлинность, но вы должны быть хорошо осведомлены о рисках безопасности и последствия этого. На практике безопасное веб-приложение будет использовать все три услуги.
- Шифрование
Механизм обфускации того, что отправляется с одного хоста на другой.
- Аутентификация
Механизм проверки действительности предоставленной идентификации материал.
- Целостность
Механизм обнаружения фальсификации и подделки сообщений.
Чтобы установить криптографически безопасный канал данных, одноранговые узлы должны договориться о том, какие наборы шифров будут использоваться, и ключи, используемые для шифрования данных.Протокол TLS определяет четко определенный последовательность рукопожатия для выполнения этого обмена, которую мы рассмотрим в подробно в TLS Handshake. Гениальная часть этого рукопожатия и причина, по которой TLS работает в На практике это связано с использованием криптографии с открытым ключом (также известной как криптография с асимметричным ключом), что позволяет одноранговым узлам согласовывать общий секретный ключ без необходимости устанавливать какие-либо предварительные знания о каждом другое, и сделать это по незашифрованному каналу.
Как часть рукопожатия TLS, протокол также позволяет обоим узлам подтвердить свою личность. При использовании в браузере это механизм аутентификации позволяет клиенту проверить, что сервер кем он себя называет (например, ваш банк), а не просто притворяется быть получателем, подделав его имя или IP-адрес. Эта проверка основана на установленной цепочке доверия — см. Цепочка доверия и Центры сертификации.Кроме того, сервер может опционально проверить личность клиента — например, прокси-сервер компании может аутентифицировать всех сотрудников, каждый из которых может иметь свой уникальный сертификат, подписанный компанией.
Наконец, с шифрованием и аутентификацией, протокол TLS также предоставляет свой собственный механизм кадрирования сообщений и подписывает каждое сообщение с кодом аутентификации сообщения (MAC). Алгоритм MAC является односторонним. криптографическая хеш-функция (фактически контрольная сумма), ключи к которой согласовываются обоими одноранговыми узлами.Всякий раз, когда отправляется запись TLS, Значение MAC создается и добавляется для этого сообщения, а получатель затем можно вычислить и проверить отправленное значение MAC, чтобы гарантировать, что сообщение целостность и подлинность.
В совокупности все три механизма служат основой для безопасного общение в сети. Все современные веб-браузеры поддерживают множество наборов шифров, способных аутентифицировать как клиента, так и сервер, и прозрачно выполнять проверки целостности сообщений для каждого запись.
§Прокси, посредники, TLS и новые протоколы на Интернет
Расширяемость и успех HTTP создали яркую экосистема различных прокси и посредников в сети: кеш серверы, шлюзы безопасности, веб-ускорители, фильтры содержимого и многие другие другие. В некоторых случаях нам известно об их наличии (явное прокси), а в других полностью прозрачны до конца пользователь.
К сожалению, сам успех и наличие этих серверов создал проблему для всех, кто пытается отклониться от HTTP / 1.Икс протокол любым способом: некоторые прокси-серверы могут просто передавать новый HTTP расширения или альтернативные форматы проводов, которые они не могут интерпретировать, другие могут продолжать слепо применять свою логику даже тогда, когда они не должны этого делать, и некоторые, например устройства безопасности, могут предполагать наличие злонамеренного намерения, когда здесь ничего нет.
Другими словами, на практике отклонение от четко определенного семантика HTTP / 1.x на порту 80 часто приводит к ненадежным развертываниям: у некоторых клиентов нет проблем, у других же возникают непредсказуемые и непредсказуемые трудно воспроизводимое поведение — e.г. один и тот же клиент может видеть разные поведения при миграции между разными сетями.
Из-за такого поведения появились новые протоколы и расширения HTTP, такие как поскольку WebSocket, HTTP / 2 и другие должны полагаться на установку HTTPS туннель для обхода промежуточных прокси и обеспечения надежного модель развертывания: зашифрованный туннель скрывает данные от всех посредники. Если вы когда-нибудь задумывались, почему большинство руководств по WebSocket скажет вам использовать HTTPS для доставки данных мобильным клиентам, это Зачем.
§HTTPS везде
Незашифрованная связь — через HTTP и другие протоколы — создает большой количество уязвимостей конфиденциальности, безопасности и целостности. Такие обмены подвержены перехвату, манипуляции и олицетворение и может раскрыть учетные данные пользователей, историю, личность и другая конфиденциальная информация. Наши приложения должны защищать себя, и наши пользователи против этих угроз путем доставки данных по HTTPS.
- HTTPS защищает целостность веб-сайта
Шифрование предотвращает несанкционированное вмешательство злоумышленников в обмен данные — например, переписывание контента, внедрение нежелательных и вредоносных контент и так далее.
- HTTPS защищает конфиденциальность и безопасность пользователя
Шифрование не позволяет злоумышленникам прослушивать обмен данные. Каждый незащищенный запрос может раскрыть конфиденциальную информацию о пользователь, и когда такие данные собираются во многих сеансах, может использоваться для деанонимности их личности и раскрытия других конфиденциальных Информация.Все действия в сети с точки зрения пользователя, следует считать конфиденциальными и конфиденциальными.
- HTTPS обеспечивает широкие возможности в Интернете
Растущее число новых функций веб-платформы, таких как доступ геолокация пользователей, фотографирование, запись видео, включение офлайн взаимодействие с приложением и многое другое требует явного согласия пользователя, что в очередь, требует HTTPS. Предоставляемые гарантии безопасности и целостности по HTTPS — важные компоненты для обеспечения безопасности пользователя разрешение рабочего процесса и защита своих предпочтений.
Чтобы продолжить, как Инженерная группа Интернета (IETF) Совет по архитектуре Интернета (IAB) выпустил руководство для разработчиков и разработчиков протоколов, которые настоятельно рекомендуют HTTPS:
По мере того, как наша зависимость от Интернета растет, увеличиваются и риски, и ставки для всех, кто на это полагается. В итоге это наш ответственность как разработчиков приложений, так и пользователей за обеспечение что мы защищаем себя, разрешая HTTPS повсюду.
Стандарт только для HTTPS опубликованный Управлением управления и бюджета Белого дома, является отличный ресурс для получения дополнительной информации о необходимости HTTPS, и практические советы по его развертыванию.
§Давайте Зашифровать
Распространенное возражение и препятствие на пути к широкому внедрению HTTPS был требованием для покупки сертификатов у одного из доверенные органы — см. Цепь доверия и Центры сертификации.Проект Let’s Encrypt запущен в 2015 году. решает эту конкретную проблему:
«Let’s Encrypt — бесплатный, автоматизированный и открытый сертификат. авторитет, предоставленный вам исследовательской группой Internet Security (ISRG). Цель Let’s Encrypt и протокола ACME — позволяют настроить HTTPS-сервер и получить его автоматически получить сертификат, доверенный браузеру, без участия человека вмешательство.»
Посетите веб-сайт проекта, чтобы узнать, как настроить его самостоятельно сайт. Нет никаких ограничений, теперь любой может получить доверенный сертификат для своего сайта, бесплатно.
§TLS Рукопожатие
Прежде, чем клиент и сервер смогут начать обмен данными приложения через TLS необходимо согласовать зашифрованный туннель: клиент и сервер должен согласовать версию протокола TLS, выберите ciphersuite и при необходимости проверьте сертификаты.К сожалению, каждый из для этих шагов требуются новые пакеты (рис. 4-2) между клиентом и server, что увеличивает задержку запуска для всех TLS-соединений. Рисунок 4-2. Протокол рукопожатия TLS
Рисунок 4-2 предполагает то же (оптимистично) Задержка одностороннего «света в волокне» 28 миллисекунд между Новым Йорк и Лондон, как использовалось в предыдущем установлении TCP-соединения Примеры; см. Таблицу 1-1.
-
0 мс
TLS работает через надежный транспорт (TCP), что означает, что мы должны сначала выполните трехстороннее рукопожатие TCP, которое занимает одно полное поездка в оба конца.
-
56 мс
При установленном TCP-соединении клиент отправляет несколько спецификации в виде обычного текста, такие как версия протокола TLS он работает, список поддерживаемых наборов шифров и другие TLS параметры, которые он может захотеть использовать.
-
84 мс
Сервер выбирает версию протокола TLS для дальнейшего связи, выбирает набор шифров из списка, предоставленного клиент, прикрепляет свой сертификат и отправляет ответ обратно клиент.При желании сервер также может отправить запрос на сертификат клиента и параметры для других расширений TLS.
-
112 мс
Предполагая, что обе стороны могут согласовать общую версию и cipher, и клиент доволен сертификатом, предоставленным сервер, клиент инициирует либо RSA, либо ключ Диффи-Хеллмана обмен, который используется для установления симметричного ключа для следующая сессия.
-
140 мс
Сервер обрабатывает параметры обмена ключами, отправленные клиент, проверяет целостность сообщения, проверяя MAC, и возвращает encrypted
Finished
сообщение обратно клиенту.-
168 мс
Клиент расшифровывает сообщение согласованным симметричным ключом, проверяет MAC, и если все в порядке, то туннель установлен и данные приложения теперь можно отправлять.
Как видно из приведенного выше обмена, для новых подключений TLS требуется два обходы для «полного рукопожатия» — это плохие новости. Однако в практика, оптимизированные развертывания могут работать намного лучше и обеспечивать согласованное рукопожатие 1-RTT TLS:
False Start — это расширение протокола TLS, которое позволяет клиенту и сервер, чтобы начать передачу зашифрованных данных приложения, когда рукопожатие завершено только частично — i.э., однажды
ChangeCipherSpec
иFinished Сообщения
отправлено, но не дожидаясь, пока другая сторона сделает то же самое. Эта оптимизация снижает накладные расходы на рукопожатие для новых подключений TLS к одна поездка туда и обратно; см. Включение ложного запуска TLS.Если клиент ранее связывался с сервером, можно использовать «сокращенное рукопожатие», которое требует одного обхода и также позволяет клиенту и серверу снизить накладные расходы ЦП на повторное использование ранее согласованных параметров для безопасного сеанса; см. сеанс TLS Возобновление.
Комбинация обеих вышеупомянутых оптимизаций позволяет нам обеспечить согласованное рукопожатие TLS 1-RTT для новых и вернувшихся посетителей, плюс экономия вычислений для сеансов, которые могут быть возобновлены на основе предварительно согласованные параметры сеанса. Обязательно воспользуйтесь преимуществами эти оптимизации в ваших развертываниях.
Одна из целей разработки TLS 1.3 заключается в уменьшении накладных расходов на задержку при настройке безопасного соединение: 1-RTT для новых и 0-RTT для возобновленных сеансов!
§RSA, Диффи-Хеллман и прямая секретность
По разным историческим и коммерческим причинам ЮАР рукопожатие было доминирующим механизмом обмена ключами в большинстве TLS развертывания: клиент генерирует симметричный ключ, шифрует его с помощью открытый ключ сервера и отправляет его на сервер для использования в качестве симметричного ключ для установленной сессии.В свою очередь, сервер использует свои частные ключ для расшифровки отправленного симметричного ключа, и обмен ключами завершен. С этого момента клиент и сервер используют согласованный симметричный ключ для шифрования их сеанса.
Рукопожатие RSA работает, но имеет критический недостаток: то же самое пара открытого и закрытого ключей используется как для аутентификации сервера, так и для зашифровать симметричный сеансовый ключ, отправленный на сервер. В результате, если злоумышленник получает доступ к закрытому ключу сервера и прослушивает обмен, то они могут расшифровать весь сеанс.Даже хуже если злоумышленник в настоящее время не имеет доступа к закрытому ключу, он все еще может записать зашифрованный сеанс и расшифровать его позже как только они получат закрытый ключ.
Напротив, обмен ключами Диффи-Хеллмана позволяет клиенту и сервер для согласования общего секрета без явной передачи его в рукопожатии: закрытый ключ сервера используется для подписи и проверки рукопожатие, но установленный симметричный ключ никогда не покидает клиент или сервер и не может быть перехвачен пассивным злоумышленником даже если у них есть доступ к закрытому ключу.
Для любопытных: статья в Википедии об обмене ключами Диффи-Хеллмана — это отличное место, чтобы узнать об алгоритме и его свойствах.
Лучше всего то, что обмен ключами Диффи-Хеллмана может использоваться для уменьшения риск компрометации прошлых сеансов связи: мы можем создать новый «эфемерный» симметричный ключ как часть каждого обмена ключами и отбросьте предыдущие ключи. В результате, поскольку эфемерные ключи никогда не сообщаются и активно пересматриваются для каждого нового сеанса, в худшем случае злоумышленник может скомпрометировать клиент или сервер и получить доступ к ключам сеанса текущего и будущие сессии.Однако зная закрытый ключ или текущий эфемерный ключ, не помогает злоумышленнику расшифровать любой из предыдущих сеансы!
Комбинированный, использование обмена ключами Диффи-Хеллмана и эфемерный ключи сеансов обеспечивают «идеальную прямую секретность» (PFS): компромисс долгосрочных ключей (например, закрытого ключа сервера) не ставит под угрозу прошлые ключи сеанса и не позволяет злоумышленнику расшифровать ранее записанные сеансы. Очень желанная недвижимость, мягко говоря!
В результате, и это не должно вызывать удивления, RSA рукопожатие сейчас активно отменяется: все популярные браузеры предпочитают шифры, которые обеспечивают прямую секретность (т.е., положитесь на Обмен ключами Диффи-Хеллмана), и в качестве дополнительного стимула может включать определенные оптимизации протокола, только когда прямая секретность доступно — например, Рукопожатие 1-RTT через TLS False Start.
То есть обратитесь к документации по серверу, чтобы узнать, как включить и разверните прямую секретность! Еще раз, хорошая безопасность и производительность идти рука об руку.
§Производительность открытого и симметричного ключа Криптография
Криптография с открытым ключом используется только во время первоначальной настройки Туннель TLS: сертификаты аутентифицируются и обмен ключами алгоритм выполняется.
Криптография с симметричным ключом, в которой используется установленный симметричный ключ. затем используется ключ для дальнейшего взаимодействия между клиентом и сервер в сеансе. В основном это делается для повысить производительность — криптография с открытым ключом — это гораздо больше вычислительно дорого. Чтобы проиллюстрировать разницу, если у вас есть OpenSSL установлен на вашем компьютере, вы можете запустить следующие тесты:
$> скорость openssl ecdh
$> скорость openssl aes
Обратите внимание, что единицы между двумя тестами не являются напрямую сопоставимо: тест на эллиптической кривой Диффи-Хеллмана (ECDH) дает сводная таблица операций в секунду для разных размеров ключей, а Производительность AES измеряется в байтах в секунду.Тем не менее, это должно быть легко увидеть, что операции ECDH намного больше вычислительно дорого.
Точные значения производительности значительно различаются в зависимости от используемого оборудование, количество ядер, версия TLS, конфигурация сервера и другие факторы. Не поддавайтесь на устаревшие тесты! Всегда запускайте тесты производительности на вашем собственном оборудовании и обратитесь к разделу «Уменьшение вычислительных ресурсов». Затраты на дополнительный контекст.
§ Согласование протокола уровня приложений (ALPN)
Два одноранговых узла сети могут захотеть использовать собственный протокол приложения для общаться друг с другом.Один из способов решить эту проблему — определить протокол заранее, назначьте ему известный порт (например, порт 80 для HTTP, порт 443 для TLS) и настройте все клиенты и серверы для использования Это. Однако на практике это медленный и непрактичный процесс: каждый назначение портов должно быть одобрено и, что еще хуже, межсетевые экраны и другие посредники часто разрешают трафик только на порты 80 и 443.
В результате, чтобы обеспечить простое развертывание пользовательских протоколов, мы должны
повторно использовать порты 80 или 443 и использовать дополнительный механизм для согласования
протокол приложения.Порт 80 зарезервирован для HTTP, а HTTP
спецификация предоставляет специальный поток обновления
для этого
очень цель. Однако использование Обновление
может добавить дополнительные
сетевой обход задержки, и на практике часто ненадежен в
наличие множества посредников; см. Прокси,
Посредники, TLS и новые протоколы в Интернете.
Решение, как вы уже догадались, использовать порт 443, который зарезервирован. для безопасных сеансов HTTPS, работающих через TLS.Использование сквозного зашифрованный туннель скрывает данные от промежуточных прокси и обеспечивает быстрый и надежный способ развертывания новых протоколов приложений. Однако нам все еще нужен другой механизм для согласования протокола, который будет использоваться в сеансе TLS.
Согласование протокола прикладного уровня (ALPN), как следует из названия, — это расширение TLS, которое удовлетворяет эту потребность. Он расширяет TLS рукопожатие (рисунок 4-2) и позволяет партнерам согласовывать протоколы без дополнительных обходов.В частности, процесс выглядит следующим образом:
Клиент добавляет новое поле
ProtocolNameList
, содержащий список поддерживаемых протоколов приложений, вClientHello
сообщение.Сервер проверяет поле
ProtocolNameList
и возвращает полеProtocolName
, указывающее выбранный протокол как часть сообщенияServerHello
.
Сервер может ответить только одним именем протокола, и если он не поддерживает то, что запрашивает клиент, тогда он может выбрать прервать соединение. В результате, когда рукопожатие TLS завершается, оба безопасного туннеля установлены, и клиент и сервер находятся в соглашение о том, какой протокол приложения будет использоваться; клиент и сервер может немедленно начать обмен сообщениями через согласованный протокол.
§История и отношения NPN и ALPN
Next Protocol Negotiation (NPN) — это расширение TLS, которое разработан в рамках SPDY в Google, чтобы обеспечить эффективную согласование протокола приложения во время рукопожатия TLS. Звук знакомые? Конечный результат функционально эквивалентен ALPN.
ALPN — это пересмотренная и одобренная IETF версия расширения NPN. В NPN сервер объявлял, какие протоколы он поддерживает, а затем клиент выбрал и подтвердил протокол.В ALPN этот обмен было отменено: теперь клиент указывает, какие протоколы он поддерживает, а затем сервер выбирает и подтверждает протокол. Обоснование изменение состоит в том, что это приводит к более близкому согласованию ALPN с другие стандарты согласования протоколов.
Короче говоря, ALPN является преемником NPN.
§Имя сервера Индикация (SNI)
Зашифрованный туннель TLS может быть установлен между любыми двумя TCP одноранговые узлы: клиенту необходимо знать только IP-адрес другого узла чтобы установить соединение и выполнить рукопожатие TLS.Однако что, если сервер хочет разместить несколько независимых сайтов, каждый со своим Сертификат TLS на том же IP-адресе — как это работает? Уловка вопрос; это не так.
Для решения предыдущей проблемы используется указание имени сервера (SNI).
было введено расширение для протокола TLS, которое позволяет клиенту
чтобы указать имя хоста, к которому клиент пытается подключиться как часть
рукопожатия TLS. В свою очередь, сервер может проверять SNI.
имя хоста, отправленное в сообщении ClientHello
, выберите
соответствующий сертификат и завершите рукопожатие TLS для желаемого
хост.
§TLS, HTTP и Выделенные IP-адреса
Рабочий процесс TLS + SNI идентичен заголовку Host
реклама в HTTP, где клиент указывает имя хоста
сайт, который он запрашивает: один и тот же IP-адрес может содержать много разных
домены, и SNI и Host
необходимы для
устранить неоднозначность между ними.
К сожалению, некоторые старые клиенты (например, большинство версий IE, работающих в Windows XP, Android 2.2 и другие) не поддерживают SNI. Как результат, если вам нужно предоставить TLS таким клиентам, то вам может понадобиться выделенный IP-адрес для каждого хоста.
§ Возобновление сеанса TLS
Дополнительная задержка и вычислительные затраты на полное рукопожатие TLS налагают серьезное снижение производительности на все приложения, требующие безопасное общение. Чтобы снизить некоторые затраты, TLS предоставляет механизм для возобновления или обмена данными согласованного секретного ключа между несколько подключений.
§Идентификаторы сеанса
Первый механизм возобновления идентификаторов сеанса (RFC 5246) был
введен в SSL 2.0, что позволило серверу создавать и отправлять
32-байтовый идентификатор сеанса как часть его ServerHello
сообщение во время полного согласования TLS, которое мы видели ранее. С
идентификатор сеанса на месте, и клиент, и сервер могут хранить
предварительно согласованные параметры сеанса — с ключом по идентификатору сеанса — и повторное использование
их для следующего сеанса.
В частности, клиент может включить идентификатор сеанса в ClientHello
сообщение, чтобы указать серверу, что он
все еще помнит согласованный набор шифров и ключи из предыдущих
рукопожатие и может использовать их повторно. В свою очередь, если сервер может
найти параметры сеанса, связанные с объявленным идентификатором, в его
cache, тогда может произойти сокращенное рукопожатие (рисунок 4-3). В противном случае полный
требуется согласование нового сеанса, которое создаст новый сеанс
МНЕ БЫ.Рисунок 4-3. Сокращенное рукопожатие TLS
протокол
Использование идентификаторов сеанса позволяет нам удалить полный обход, а также накладные расходы на криптографию с открытым ключом, которая используется для согласовать общий секретный ключ. Это позволяет обеспечить безопасное соединение. устанавливается быстро и без потери безопасности, поскольку мы повторно используем ранее согласованные данные сеанса.
Возобновление сеанса — важная оптимизация как для HTTP / 1.Икс и развертывания HTTP / 2. Сокращенное рукопожатие исключает полное двусторонняя задержка и значительно снижает вычислительные затраты для обеих сторон.
Фактически, если браузеру требуется несколько подключений к одному и тому же хост (например, когда используется HTTP / 1.x), он часто намеренно ждет для завершения первого согласования TLS перед открытием дополнительных подключения к одному серверу, чтобы их можно было «возобновить» и повторно использовать те же параметры сеанса.Если вы когда-нибудь смотрели в сети trace и задался вопросом, почему вы редко видите несколько TLS на одном хосте переговоры в полете, вот почему!
Однако одно из практических ограничений идентификаторов сеансов механизм — это требование к серверу для создания и поддержки кеш сеанса для каждого клиента. Это приводит к нескольким проблемам на сервер, который может видеть десятки тысяч или даже миллионы уникальных подключений каждый день: потребляемая память для каждого открытого TLS-соединения, требование кэширования идентификаторов сеансов и политик выселения, а также нетривиальные задачи развертывания для популярных сайтов с большим количеством серверов, который в идеале должен использовать общий кеш сеанса TLS для наилучшего спектакль.
Ни одна из вышеперечисленных проблем не может быть решена, и многие сайты с высокой посещаемостью сегодня успешно используют идентификаторы сеансов. Но для любого развертывания с несколькими серверами идентификаторы сеанса потребуют осторожное мышление и системная архитектура, чтобы кеш рабочей сессии.
§Билеты на сеанс
Для решения этой проблемы при развертывании сеанса TLS на стороне сервера
кеши, механизм замены «Session Ticket» (RFC 5077) был
введено, что устраняет требование к серверу сохранять
состояние сеанса для каждого клиента.Вместо этого, если клиент указывает, что он
поддерживает билеты сеанса, сервер может включать новый сеанс Запись билета
, которая включает все согласованные данные сеанса
зашифровано секретным ключом, известным только серверу.
Этот билет сеанса затем сохраняется клиентом и может быть включен
в расширении SessionTicket
внутри ClientHello
сообщение последующего сеанса. Таким образом, все
данные сеанса хранятся только на клиенте, но билет все еще в безопасности
потому что он зашифрован ключом, известным только серверу.
Идентификаторы сеанса и механизмы билета сеанса соответственно, обычно называемые сеансовое кэширование и возобновление без гражданства механизмов. Основное улучшение возобновление без сохранения состояния — это удаление кеша сеанса на стороне сервера, что упрощает развертывание, требуя от клиента предоставления билет сеанса при каждом новом подключении к серверу, то есть до тех пор, пока срок действия билета истек.
На практике развертывание билетов сеанса в наборе серверы с балансировкой нагрузки также требуют тщательного мышления и систем архитектура: все серверы должны быть инициализированы одним и тем же сеансом ключ, и требуется дополнительный механизм, чтобы периодически и безопасно повернуть общий ключ на всех серверах.
§Цепь Доверительных и Сертификационных Центров
Аутентификация является неотъемлемой частью установления каждого TLS. подключение.Ведь можно вести беседу через зашифрованный туннель с любым партнером, включая злоумышленника, и если мы не можем убедитесь, что хозяин, с которым мы говорим, тот, которому мы доверяем, тогда все работа по шифрованию могла быть напрасной. Чтобы понять, как мы можем проверить идентичность партнера, давайте рассмотрим простой рабочий процесс аутентификации между Алисой и Бобом:
И Алиса, и Боб генерируют свои собственные открытый и закрытый ключи.
И Алиса, и Боб скрывают свои закрытые ключи.
Алиса делится своим открытым ключом с Бобом, а Боб — с Алиса.
Алиса создает новое сообщение для Боба и подписывает его. закрытый ключ.
Боб использует открытый ключ Алисы для проверки предоставленного сообщения. подпись.
Доверие является ключевым компонентом предыдущего обмена.В частности, шифрование с открытым ключом позволяет нам использовать открытый ключ отправителя для убедитесь, что сообщение было подписано правильным закрытым ключом, но решение об утверждении отправителя по-прежнему основано на доверии. В только что показанный обмен, Алиса и Боб могли бы обменяться своими публичными при личной встрече, и поскольку они хорошо знают друг друга, они уверены, что их обмен не был нарушен самозванец — возможно, они даже подтвердили свою личность через другого, секретное (физическое) рукопожатие, которое они установили ранее!
Затем Алиса получает сообщение от Чарли, которого она никогда не встречала, но который утверждает, что является другом Боба.Фактически, чтобы доказать, что он дружив с Бобом, Чарли попросил Боба подписать свой открытый ключ с помощью закрытый ключ и прикрепил эту подпись к своему сообщению (рис. 4-4). В этом случае Алиса сначала проверяет Подпись Боба ключа Чарли. Она знает открытый ключ Боба и поэтому возможность проверить, действительно ли Боб подписал ключ Чарли. Потому что она доверяет Решение Боба проверить Чарли, она принимает сообщение и выполняет аналогичная проверка целостности сообщения Чарли, чтобы убедиться, что оно действительно, от Чарли.Рисунок 4-4. Цепочка доверия для Алисы, Боб, и Чарли
То, что мы только что сделали, — это установление цепочки доверия: Алиса доверяет Боб, Боб доверяет Чарли, и в результате транзитивного доверия Алиса решает доверять Чарли. Пока никто в цепочке не скомпрометирован, это позволяет нам создавать и расширять список доверенных лиц.
Аутентификация в Интернете и в вашем браузере выполняется точно так же процесс, как показано. Это означает, что на этом этапе вы должны спросить: кому доверяет ваш браузер, и кому вы доверяете, когда используете браузер? На этот вопрос есть как минимум три ответа:
- Сертификаты, указанные вручную
Каждый браузер и операционная система предоставляют вам механизм вручную импортируйте любой сертификат, которому вы доверяете.Как получить сертификат и проверка его целостности полностью зависит от вас.
- Центры сертификации
Центр сертификации (ЦС) — это доверенная третья сторона, которая доверяет как субъект (владелец) сертификата, так и сторона полагаясь на сертификат.
- Браузер и операционная система
Каждая операционная система и большинство браузеров поставляются со списком известные центры сертификации.Таким образом, вы также доверяете поставщикам этого программного обеспечения, чтобы предоставить и поддерживать список доверенных сторон.
На практике было бы непрактично хранить и вручную проверять каждый и каждый ключ для каждого веб-сайта (хотя вы можете, если так наклонный). Следовательно, наиболее распространенным решением является использование сертификата. органы (ЦС), которые выполняют эту работу за нас (рисунок 4-5): браузер указывает, каким ЦС доверять (корневые центры сертификации), а затем на них ложится бремя проверки каждого сайта, который они подписать, а также проверить и убедиться, что эти сертификаты не используются неправильно или скомпрометирован.Если безопасность любого сайта с сертификатом ЦС нарушено, то этот ЦС также обязан отозвать скомпрометированный сертификат. Рисунок 4-5. Подписание ЦС цифровых сертификаты
Каждый браузер позволяет вам проверять цепочку доверия вашего безопасного соединение (рис. 4-6), обычно доступное при нажатии на значке замка рядом с URL-адресом. Рисунок 4-6. Цепочка сертификатов доверия для igvita.com (Google Chrome, версия 25)
igvita.com сертификат подписан StartCom Class 1 Primary Промежуточный сервер.
Сертификат первичного промежуточного сервера StartCom класса 1 подписан Центром сертификации StartCom.
StartCom Certification Authority — это признанный корневой сертификат орган власти.
«Якорем доверия» для всей цепочки является корневой сертификат. авторитет, которым в только что показанном случае является Сертификат StartCom Орган власти.Каждый браузер поставляется с предварительно инициализированным списком доверенных центры сертификации («корни»), и в этом случае браузер доверяет и может проверить корневой сертификат StartCom. Следовательно, через транзитивная цепочка доверия к браузеру, поставщику браузера и Центр сертификации StartCom, мы доверяем нашему месту назначения сайт.
§Прозрачность сертификата
Каждый поставщик операционной системы и каждый браузер предоставляют общедоступную список всех центров сертификации, которым они доверяют по умолчанию.Использовать ваша любимая поисковая система, чтобы найти и изучить эти списки. В практики, вы обнаружите, что большинство систем полагается на сотни проверенных центры сертификации, что также является частой жалобой на система: большое количество доверенных центров сертификации создает большую поверхность для атак область против цепочки доверия в вашем браузере.
Хорошая новость — Сертификат Проект прозрачности работает над устранением этих недостатков, предоставляя структура — общедоступный журнал — для мониторинга и аудита выпуска всех новые сертификаты.Посетите веб-сайт проекта, чтобы узнать больше.
§ Аннулирование сертификата
Иногда издателю сертификата необходимо отозвать или признать сертификат недействительным по ряду возможных причин: закрытый ключ сертификата был скомпрометирован, сертификат сам авторитет был скомпрометирован или из-за множества более мягких причины, такие как заменяющий сертификат, изменение принадлежности и т. д. на. Для решения этой проблемы сами сертификаты содержат инструкции (Рисунок 4-7) о том, как проверьте, были ли они отозваны.Следовательно, чтобы гарантировать, что цепочка доверия не скомпрометирован, каждый партнер может проверить статус каждого сертификата с помощью следуя встроенным инструкциям вместе с подписями, поскольку проверяет цепочку сертификатов. Рисунок 4-7. Инструкции CRL и OCSP для igvita.com (Google Chrome, версия 25)
§Сертификат Список отзыва (CRL)
Список отозванных сертификатов (CRL) определен RFC 5280 и определяет простой механизм проверки статуса каждого сертификата: каждый центр сертификации ведет и периодически публикует список серийных номеров отозванных сертификатов.Любой, кто пытается подтвердить сертификат затем может загрузить список отзыва, кэшировать его и проверьте наличие в нем определенного серийного номера — если он присутствует, то он был отозван.
Этот процесс прост и понятен, но он имеет ряд ограничения:
Растущее число отзывов означает, что список CRL будет становятся только длиннее, и каждый клиент должен получить весь список серийные номера.
Нет механизма мгновенного уведомления о сертификате отзыв — если CRL был кэширован клиентом до сертификат был отозван, то CRL будет считать отозванным сертификат действителен до истечения срока действия кеша.
Необходимость получить последний список CRL из CA может блокировать проверка сертификата, что может увеличить задержку Рукопожатие TLS.
Получение CRL может завершиться ошибкой по разным причинам, и в таких случаях поведение браузера не определено. Большинство браузеров рассматривают такие случаев как «мягкий сбой», позволяя продолжить проверку — да, ой.
§Онлайн Протокол статуса сертификата (OCSP)
Чтобы устранить некоторые ограничения механизма CRL, Online Протокол статуса сертификата (OCSP) был введен RFC 2560, который предоставляет механизм для выполнения проверки в реальном времени статуса сертификат.В отличие от файла CRL, который содержит все отозванные серийные номера номеров, OCSP позволяет клиенту запрашивать базу данных сертификатов CA непосредственно только для рассматриваемого серийного номера при проверке цепочка сертификатов.
В результате механизм OCSP потребляет меньшую полосу пропускания и может для обеспечения проверки в реальном времени. Однако требование выполнить Запросы OCSP в реальном времени создают свой собственный набор проблем:
ЦС должен иметь возможность обрабатывать нагрузку запросов в реальном времени.
ЦС должен гарантировать, что служба работает и доступна по всему миру. всегда.
Запросы OCSP в реальном времени могут нарушить конфиденциальность клиента, поскольку CA знает, какие сайты посещает клиент.
Клиент должен блокировать запросы OCSP во время проверки цепочка сертификатов.
Поведение браузера снова не определено и обычно приводит к «мягкому сбою», если выборка OCSP не удалась из-за сети тайм-аут или другие ошибки.
В качестве реальной точки данных телеметрия Firefox показывает, что OCSP время ожидания запросов составляет 15% времени, и добавить примерно 350 мс до подтверждения TLS в случае успеха — см. Hpbn.co/ocsp-performance.
§OCSP Сшивание
По причинам, указанным выше, ни отзыва CRL, ни OSCP механизмы предлагают гарантии безопасности и производительности, которые мы желаем для наших приложений.Однако не отчаивайтесь, ведь сшивание OCSP (RFC 6066, расширение «Запрос статуса сертификата») адресовано большинству проблемы, которые мы видели ранее, разрешив выполнение проверки сервер и будет отправлен («скреплен») как часть рукопожатия TLS на клиент:
Вместо клиента, отправляющего запрос OCSP, это сервер который периодически извлекает подписанный OCSP с отметкой времени ответ от CA.
Затем сервер добавляет (т.е. «скрепляет») подписанный OCSP ответ как часть рукопожатия TLS, позволяя клиенту проверить как сертификат, так и прикрепленный отзыв OCSP запись, подписанная CA.
Эта смена ролей безопасна, поскольку сшитая запись подписана ЦС и может быть проверен клиентом, и предлагает ряд важные преимущества:
Клиент не пропускает историю переходов.
Клиенту не нужно блокировать и запрашивать сервер OCSP.
Клиент может завершить обработку отзыва, если сервер opts-in (путем рекламы флага OSCP «Must-Staple») и проверка не удалась.
Короче говоря, чтобы получить максимальную безопасность и гарантии производительности, не забудьте настроить и протестировать сшивание OCSP на своих серверах.
§ Протокол записи TLS
В отличие от уровней IP или TCP ниже, все данные обмениваются внутри Сеанс TLS также создается с использованием четко определенного протокола (рис. 4-8). Запись TLS протокол отвечает за идентификацию различных типов сообщений (рукопожатие, предупреждение или данные через поле «Тип содержимого»), а также защита и проверка целостности каждого сообщения. Рисунок 4-8. Структура записи TLS
Типичный рабочий процесс для доставки данных приложения выглядит следующим образом:
Протокол записи принимает данные приложения.
Полученные данные разбиты на блоки: максимум 2 14 байтов, или 16 КБ на запись.
Код аутентификации сообщения (MAC) или HMAC добавляется к каждой записи.
Данные в каждой записи зашифрованы с использованием согласованного шифра.
По завершении этих шагов зашифрованные данные передаются в уровень TCP для транспорта.На принимающей стороне тот же рабочий процесс, но в обратном порядке применяется одноранговым узлом: расшифровать запись с использованием согласованного зашифровать, проверить MAC, извлечь и доставить данные в приложение выше Это.
Хорошая новость в том, что вся только что показанная работа выполняется TLS. сам слой и полностью прозрачен для большинства приложений. Однако, протокол записи вводит несколько важных выводов, которые мы нужно знать:
Максимальный размер записи TLS составляет 16 КБ
Каждая запись содержит 5-байтовый заголовок, MAC (до 20 байтов для SSLv3, TLS 1.0, TLS 1.1 и до 32 байтов для TLS 1.2) и заполнение если используется блочный шифр.
Чтобы расшифровать и проверить запись, вся запись должна быть имеется в наличии.
Выбор правильного размера записи для вашего приложения, если у вас есть возможность сделать это может быть важной оптимизацией. Небольшие записи несут большие накладные расходы ЦП и байтов из-за кадрирования записи и проверки MAC, тогда как большие записи должны быть доставлены и собраны заново Уровень TCP до того, как они будут обработаны уровнем TLS и доставлены в ваше приложение — перейдите к разделу Оптимизация размера записи TLS, чтобы подробности.
§Оптимизация для TLS
Для развертывания вашего приложения через TLS потребуется дополнительная работа, как внутри вашего приложения (например, перенос ресурсов на HTTPS, чтобы избежать смешанный контент), а также от конфигурации инфраструктуры отвечает за доставку данных приложения по TLS. Хорошо настроенный развертывание может иметь огромное положительное значение в наблюдаемых производительность, удобство использования и общие эксплуатационные расходы. Давай нырнем в.
§Сокращение вычислений Стоит
Создание и поддержка зашифрованного канала вводит дополнительные вычислительные затраты для обоих партнеров. В частности, сначала существует асимметричное (с открытым ключом) шифрование, используемое во время TLS рукопожатие (объяснение TLS Handshake). Затем, когда общий секрет установлен, он используется как симметричный ключ для шифрования всех записей TLS.
Как мы уже отмечали ранее, криптография с открытым ключом требует больше вычислений. дорого по сравнению с криптографией с симметричным ключом, а в первые дни Интернета часто требовали дополнительного оборудования для выполнения «Разгрузка SSL.»Хорошая новость в том, что в этом больше нет необходимости и то, что когда-то требовало специального оборудования, теперь можно сделать прямо на ЦПУ. Крупные организации, такие как Facebook, Twitter и Google, которые предлагать TLS миллиардам пользователей, выполнять все необходимые TLS переговоры и вычисления в программном обеспечении и на серийном оборудовании.
В январе этого года (2010 г.) Gmail перешел на использование HTTPS для все по умолчанию. Ранее он был представлен как вариант, но теперь все наши пользователи используют HTTPS для защиты своей электронной почты между их браузерами и Google все время.Для этого нам не пришлось развертывать никаких дополнительных машин и специального оборудования. На на наших производственных интерфейсных машинах SSL / TLS составляет менее 1% загрузки ЦП, менее 10 КБ памяти на одно соединение и менее более 2% накладных расходов сети. Многие считают, что SSL / TLS требует много процессорного времени, и мы надеемся, что предыдущие цифры (общедоступны для первый раз) поможет это развеять.
Если вы перестанете читать сейчас, вам нужно запомнить только одно: SSL / TLS больше не требует больших вычислительных затрат.
Адам Лэнгли (Google)
Мы развернули TLS в большом масштабе, используя как оборудование, так и программные балансировщики нагрузки. Мы обнаружили, что современный программный TLS реализации, работающие на обычных ЦП, достаточно быстры, чтобы справиться высокая нагрузка HTTPS-трафика без необходимости использования выделенных криптографическое оборудование. Мы обслуживаем весь наш HTTPS-трафик, используя программное обеспечение, работающее на серийном оборудовании.
Дуг Бивер (Facebook)
Эллиптическая кривая Диффи-Хеллмана (ECDHE) — это всего лишь немного больше дороже RSA для эквивалентного уровня безопасности… На практике развертывания, мы обнаружили, что включение и определение приоритета шифра ECDHE наборы фактически вызвали незначительное увеличение использования ЦП. HTTP сообщения поддержки активности и возобновление сеанса означают, что большинство запросов не требуется полное рукопожатие, поэтому операции рукопожатия не доминируют в нашем Использование процессора.Мы обнаружили, что 75% клиентских запросов Twitter пересылаются соединения установлены с помощью ECDHE. Остальные 25% составляют в основном это старые клиенты, которые еще не поддерживают шифр ECDHE апартаменты.
Джейкоб Хоффман-Эндрюс (Twitter)
Чтобы добиться наилучших результатов в собственных развертываниях, максимально используйте Сессия TLS Возобновление — разверните, оцените и оптимизируйте процент успеха. Устранение необходимости выполнять дорогостоящую криптографию с открытым ключом операции при каждом рукопожатии значительно уменьшат как вычислительные затраты и время ожидания TLS; нет причин тратить CPU циклы работы, которую вам не нужно делать.
Говоря об оптимизации циклов ЦП, убедитесь, что ваши серверы до последней версии библиотек TLS! К тому же к улучшениям безопасности, вы также часто будете видеть производительность льготы. Безопасность и производительность идут рука об руку.
§Включение 1-RTT TLS Рукопожатия
Неоптимизированное развертывание TLS может легко добавить много дополнительных туда и обратно и вводят значительную задержку для пользователя — e.г. рукопожатие с несколькими RTT, медленный и неэффективный отзыв сертификата проверки, большие TLS-записи, требующие многократного обращения и т. д. Не будь тем сайтом, ты можешь добиться большего.
Хорошо настроенное развертывание TLS должно добавить не более дополнительных туда и обратно для согласования TLS-соединения, независимо от независимо от того, новый он или возобновленный, и избегайте всех других ловушек задержки: настроить возобновление сеанса и включить прямую секретность, чтобы включить TLS Фальстарт.
Чтобы получить наилучшую сквозную производительность, обязательно проверьте оба собственные и сторонние сервисы и серверы, используемые вашим приложением, включая вашего провайдера CDN. Для быстрого обзора табеля успеваемости популярные серверы и CDN, посетите istlsfastyet.com.
§Оптимизация повторного использования соединения
Лучший способ минимизировать задержку и вычислительные затраты настройка новых соединений TCP + TLS предназначена для оптимизации повторного использования соединений.Таким образом снижаются затраты на установку по запросам и обеспечивается значительная более быстрый опыт для пользователя.
Убедитесь, что настройки вашего сервера и прокси-сервера позволяют соединения keepalive и аудит настроек тайм-аута соединения. Много популярные серверы устанавливают агрессивные тайм-ауты соединения (например, некоторые Apache версии по умолчанию имеют таймаут 5 секунд), что заставляет много ненужных повторные переговоры. Для достижения наилучших результатов используйте свои журналы и аналитику, чтобы определить оптимальные значения тайм-аута.
§Предприятие Раннее Прекращение действия
Как мы обсуждали в Учебнике по латентности и Пропускная способность, мы не сможем ускорить передачу наших пакетов, но мы можем заставить их пройти меньшее расстояние. Разместив наш «край» серверов ближе к пользователю (рис. 4-9), мы можем значительно уменьшить время приема-передачи и общая стоимость рукопожатий TCP и TLS. Рисунок 4-9. Досрочное увольнение клиента связи
Простой способ добиться этого — воспользоваться услугами сеть доставки контента (CDN), которая поддерживает пулы пограничных серверов по всему миру или развернуть свой собственный.Позволяя пользователю разорвать соединение с ближайшим сервером, вместо того, чтобы пересекать через океаны и континентальные ссылки на вашу страну происхождения, клиент получает преимущество «досрочного прекращения» с более короткими поездками туда и обратно. Эта техника одинаково полезно и важно для статического и динамического контента: static контент также может кэшироваться и обслуживаться пограничными серверами, тогда как динамические запросы могут быть перенаправлены через установленные соединения от край к исходной точке.
§ Некэшированная исходная выборка
Техника использования CDN или прокси-сервера для получения ресурс, который может потребоваться настроить для каждого пользователя или содержит другие частные данные, и, следовательно, не является глобально кешируемым ресурсом на edge, обычно известен как «выборка из некэшированного источника».
Хотя сети CDN работают лучше всего, когда данные кэшируются в географически распределенных серверов по всему миру, выборка из некэшированного источника по-прежнему обеспечивает очень важная оптимизация: соединение клиента разрывается с соседний сервер, который может значительно сократить рукопожатие затраты на задержку.В свою очередь, CDN или ваш собственный прокси-сервер может поддерживать «теплый пул соединений» для передачи данных в источник серверы, что позволяет быстро вернуть ответ клиенту.
Фактически в качестве дополнительного уровня оптимизации некоторые CDN провайдеры будут использовать соседние серверы на обеих сторонах соединения! Клиентское соединение разрывается на ближайшем узле CDN, который затем передает запрос на узел CDN, расположенный близко к источнику, и затем запрос направляется к источнику.Переход в сети CDN позволяет маршрутизировать трафик по оптимизированной магистрали CDN, что может помочь еще больше уменьшить задержку между клиентом и источником серверы.
§Настройка кэширования сеанса и возобновления без сохранения состояния
Прерывание соединения ближе к пользователю — оптимизация это поможет уменьшить задержку для ваших пользователей во всех случаях, кроме одного раза опять же, ни один бит не может быть быстрее, чем бит, который не был отправлен — отправьте меньше битов.Включение Кэширование сеанса TLS и возобновление без сохранения состояния позволяет нам устранить полная обратная задержка и снижение вычислительных затрат для повторные посетители.
Идентификаторы сеанса, от которых зависит кеширование сеанса TLS, были введены в SSL 2.0 и имеют широкую поддержку среди большинства клиентов и серверы. Однако, если вы настраиваете TLS на своем сервере, не Предположим, что поддержка сеанса будет включена по умолчанию. На самом деле это больше обычно он отключен на большинстве серверов по умолчанию, но вам виднее! Еще раз проверьте и проверьте конфигурацию вашего сервера, прокси и CDN:
Серверы с несколькими процессами или рабочими должны использовать общий кеш сеанса.
Размер общего кэша сеанса должен быть настроен на ваш уровень трафика.
Должен быть указан период ожидания сеанса.
В конфигурации с несколькими серверами маршрутизация одного и того же IP-адреса клиента или одного и того же Идентификатор сеанса TLS на один и тот же сервер — один из способов обеспечить использование кеша сеанса.
Если «липкая» балансировка нагрузки недоступна, общий кеш должен использоваться между разными серверами для обеспечения хорошего сеанса использование кеша, и необходимо установить безопасный механизм для совместного использования и обновления секретных ключей для расшифровки предоставленного сеанса Билеты.
Проверяйте и отслеживайте статистику кеширования сеансов TLS для лучшего спектакль.
На практике и для достижения наилучших результатов вам следует настроить оба сеанса кэширование и механизмы сеансового билета. Эти механизмы работают вместе чтобы обеспечить лучшее покрытие как для новых, так и для старых клиентов.
§Включение ложного запуска TLS
Возобновление сеанса дает два важных преимущества: устраняет дополнительное рукопожатие для вернувшихся посетителей и сокращает вычислительные затраты на рукопожатие, позволяя повторно использовать ранее согласованные параметры сеанса.Однако это не помогает в тех случаях, когда посетитель общается с сервером впервые, или если предыдущая сессия истекла.
Чтобы получить лучшее из обоих миров — одностороннее рукопожатие для новых и повторных посетителей и экономия вычислительных ресурсов для повторных посетителей — мы можем используйте TLS False Start, которое является дополнительным расширением протокола, позволяет отправителю отправлять данные приложения (рис. 4-10), когда квитирование только частично завершено.Рисунок 4-10. Рукопожатие TLS с False Начните
False Start не изменяет протокол подтверждения TLS, а скорее
влияет только на время протокола, когда данные приложения могут быть
послал. Интуитивно понятно, как только клиент отправил ClientKeyExchange
запись, она уже знает шифрование
ключ и может начать передачу данных приложения — остальную часть
рукопожатие проводится для подтверждения того, что никто не вмешивался в
рукопожатия записываются и могут выполняться параллельно.В результате False
Start позволяет нам сохранить рукопожатие TLS за один проход независимо от того,
от того, выполняем ли мы полное или сокращенное рукопожатие.
§Развертывание TLS Ложь Старт
Поскольку False Start только изменяет время установления связи протокол, он не требует никаких обновлений самого протокола TLS и может быть реализован в одностороннем порядке, то есть клиент может просто начать передача зашифрованных данных приложения раньше.Ну вот и теория.
На практике, хотя TLS False Start должен быть обратным совместим со всеми существующими клиентами и серверами TLS, что позволяет по умолчанию для всех соединений TLS оказалось проблематичным из-за некоторых плохо реализованные сервера. В результате все современные браузеры может использовать TLS False Start, но будет делать это только при определенных условия выполняются сервером:
Chrome и Firefox требуют объявления протокола ALPN для присутствовать в рукопожатии сервера, и что набор шифров выбранный сервером обеспечивает прямую секретность.
Safari требует, чтобы набор шифров, выбранный сервером обеспечивает прямую секретность.
Internet Explorer использует комбинацию из черного списка известных сайты, которые ломаются при включении TLS False Start, и тайм-аут чтобы повторить рукопожатие, если рукопожатие TLS False Start не удалось.
Чтобы включить ложный запуск TLS во всех браузерах, сервер должен рекламировать список поддерживаемых протоколов через расширение ALPN — e.г., «h3, http / 1.1» — и должен быть настроен для поддержки и предпочтения наборов шифров. которые обеспечивают прямую секретность.
§Оптимизировать размер записи TLS
Все данные приложения, доставляемые через TLS, передаются в протокол записи (рисунок 4-8). Максимальный размер каждого размер записи составляет 16 КБ, и в зависимости от выбранного шифра каждая запись будет добавить от 20 до 40 байтов служебных данных для заголовка, MAC и необязательный отступ.Если запись помещается в один TCP-пакет, тогда мы также должны добавить служебные данные IP и TCP: 20-байтовый заголовок для IP и 20-байтовый заголовок для TCP без параметров. В результате есть Потенциально от 60 до 100 байт накладных расходов для каждой записи. Для типичный максимальный размер блока передачи (MTU) 1500 байт на провода, эта структура пакета переводит как минимум 6% кадрирования накладные расходы.
Чем меньше запись, тем выше накладные расходы на кадрирование.Однако, просто увеличить размер записи до максимального размера (16 КБ) — это не обязательно хорошая идея. Если запись охватывает несколько пакетов TCP, тогда уровень TLS должен дождаться прибытия всех пакетов TCP, прежде чем он может расшифровать данные (рис. 4-11). Если какой-либо из этих пакетов TCP получит потеряно, переупорядочено или задушено из-за контроля перегрузки, тогда отдельные фрагменты записи TLS необходимо буферизовать перед они могут быть декодированы, что приводит к дополнительной задержке.На практике, эти задержки могут создать серьезные узкие места для браузера, которые предпочитает получать данные в потоковом режиме. Рисунок 4-11. WireShark захватывает 11211-байтовая запись TLS, разделенная на 8 сегментов TCP
Маленькие записи несут накладные расходы, большие записи вызывают задержку, и там нет единственного значения для «оптимального» размера записи. Вместо этого для Интернета приложения, которые использует браузер, лучшая стратегия для динамической регулировки размера записи в зависимости от состояния TCP соединение:
Если соединение новое и окно перегрузки TCP низкое, или когда соединение неактивно в течение некоторого времени (см. Медленный запуск Restart), каждый пакет TCP должен содержать ровно одну запись TLS, и запись TLS должна занимать полный максимальный размер сегмента (MSS), выделенный TCP.
Когда окно перегрузки соединения велико, и если мы передача большого потока (например, потокового видео), размер запись TLS может быть увеличена для охвата нескольких пакетов TCP (до 16 КБ), чтобы уменьшить нагрузку на кадры и ЦП на клиенте и сервере.
Если TCP-соединение было в режиме ожидания, и даже если медленный запуск На сервере отключен перезапуск, лучшая стратегия — уменьшить размер записи при отправке нового пакета данных: условия могут изменились с момента последней передачи, и наша цель — минимизировать вероятность буферизации на прикладном уровне из-за потери пакеты, переупорядочивание и повторные передачи.
Использование динамической стратегии обеспечивает максимальную производительность для интерактивный трафик: небольшой размер записи исключает ненужную буферизацию задержка и улучшает время до первого — {HTML байт,…, видео frame} , а больший размер записи оптимизирует пропускную способность за счет минимизация накладных расходов TLS для долгоживущих потоков.
Чтобы определить оптимальный размер записи для каждого состояния, начнем с начальный случай нового или незанятого TCP-соединения, когда мы хотим избежать Записи TLS из нескольких пакетов TCP:
Выделите 20 байтов для служебных данных кадрирования IPv4 и 40 байтов для IPv6.
Выделите 20 байтов для служебных данных кадрирования TCP.
Выделите 40 байт для служебных данных опций TCP (отметки времени, SACK).
Если исходный MTU составляет 1500 байт, остается 1420 байт. для записи TLS, доставленной по IPv4, и 1400 байт для IPv6. Быть в будущем используйте размер IPv6, который оставляет нам 1400 байтов для каждую запись TLS и при необходимости отрегулируйте, если ваш MTU ниже.
Затем решение о том, когда следует увеличить размер записи.
и сбросить, если соединение было бездействующим, может быть установлено на основе
предварительно настроенные пороги: увеличьте размер записи до 16 КБ после X
КБ данных было передано, сбросить запись
размер после Y
миллисекунд простоя.
Как правило, мы не можем настроить размер записи TLS. управление на прикладном уровне.Вместо этого часто это настройка и иногда постоянная времени компиляции для вашего TLS-сервера. Проверить документации вашего сервера для получения подробной информации о том, как настроить эти ценности.
§ Оптимизация TLS в Google
По состоянию на начало 2014 г. серверы Google используют небольшие записи TLS, которые подходят в один сегмент TCP для первого 1 МБ данных, увеличьте запись размер до 16 КБ, после этого для оптимизации пропускной способности, а затем сбросить размер записи обратно в один сегмент после одной секунды бездействие — вспенить, сполоснуть, повторить.
Аналогично, если ваши серверы обрабатывают большое количество TLS соединений, то минимизация использования памяти для каждого соединения может быть жизненная оптимизация. По умолчанию популярные библиотеки, такие как OpenSSL будет выделять до 50 КБ памяти на каждое соединение, но, как и в случае размер записи, возможно, стоит проверить документацию или источник код для настройки этого значения. Серверы Google сокращают свои OpenSSL буферизует до 5 КБ.
§Оптимизировать Цепочка сертификатов
Для проверки цепочки доверия необходимо, чтобы браузер прошел через цепочку, начиная с сертификата сайта, и рекурсивно проверьте сертификат родителя, пока он не достигнет доверенного корня. Следовательно, это важно, чтобы предоставленная цепочка включала все промежуточные сертификаты. Если какие-либо из них опущены, браузер будет вынужден приостановить процесс проверки и получить недостающие сертификаты, добавив дополнительные поиски DNS, рукопожатия TCP и HTTP-запросы в обработать.
Как браузер узнает, откуда брать недостающие сертификаты? Каждый дочерний сертификат обычно содержит URL-адрес для родитель. Если URL-адрес опущен, а требуемый сертификат не указан включен, то проверка не удастся.
И наоборот, не включайте ненужные сертификаты, такие как доверенные корни в вашей цепочке сертификатов — они добавляют ненужные байты. Напомним, что цепочка сертификатов сервера отправляется как часть TLS. рукопожатие, которое, вероятно, происходит через новое TCP-соединение, которое на ранних этапах своего алгоритма медленного старта.Если сертификат размер цепочки превышает начальное окно перегрузки TCP, тогда мы непреднамеренно добавить дополнительные обходы к рукопожатию TLS: длина сертификата выйдет за пределы окна перегрузки и вызовет сервер, чтобы остановить и дождаться подтверждения клиента перед продолжением.
На практике размер и глубина цепочки сертификатов были очень значительными. большие проблемы и проблемы со старыми стеками TCP, которые инициализировали свои начальное окно перегрузки до 4 сегментов TCP — см. Медленный запуск.Для новее развертываний, начальное окно перегрузки увеличено до 10 TCP сегментов и должно быть более чем достаточно для большинства сертификатов цепи.
Тем не менее, убедитесь, что ваши серверы используют последний стек TCP и настройки, а также оптимизировать и уменьшить размер вашего сертификата цепь. Отправка меньшего количества байтов — это всегда хорошо и стоит оптимизация.
§Настройка сшивания OCSP
Каждое новое соединение TLS требует, чтобы браузер проверял подписи отправленной цепочки сертификатов.Однако есть еще одно важный шаг, который мы не можем забыть: браузер также должен проверять что сертификаты не отозваны.
Для проверки статуса сертификата браузер может использовать один из несколько методов: Список отозванных сертификатов (CRL), Статус онлайн-сертификата Протокол (OCSP) или OCSP Сшивание. У каждого метода есть свои ограничения, но OCSP Stapling обеспечивает, безусловно, лучшие гарантии безопасности и производительности — см. в предыдущих разделах.Обязательно настройте свои серверы на включить (скрепить) ответ OCSP от CA к предоставленному цепочка сертификатов. Это позволит браузеру выполнить проверка отзыва без дополнительных сетевых обходов и с улучшенными гарантии безопасности.
ответов OCSP могут иметь размер от 400 до 4000 байт. Привязка этого ответа к вашей цепочке сертификатов увеличит его size — обратите особое внимание на общий размер сертификата цепочка, чтобы она не переполняла начальное окно перегрузки для новых TCP-соединений.
Текущие реализации OCSP Stapling допускают только один OCSP ответ должен быть включен, что означает, что браузеру, возможно, придется откат к другому механизму отзыва, если ему нужно проверить другие сертификаты в цепочке — сократите длину своего цепочка сертификатов. В будущем OCSP Multi-Stapling должен решить эту конкретную проблему.
Самые популярные серверы поддерживают сшивание OCSP.Проверить соответствующие документация по поддержке и инструкции по настройке. Аналогично, если используя или выбирая CDN, убедитесь, что их стек TLS поддерживает и настроен на использование сшивания OCSP.
§Включение строгой безопасности транспорта HTTP (HSTS)
HTTP Strict Transport Security — важная политика безопасности механизм, позволяющий источнику объявлять правила доступа совместимому браузер через простой HTTP-заголовок, например « Strict-Transport-Security: max-age = 31536000 «.В частности, он инструктирует пользовательского агента соблюдать следующие правила:
Все запросы к источнику должны отправляться через HTTPS. Эта включает как навигацию, так и все другие подресурсы того же происхождения запросы — например, если пользователь вводит URL без префикса https пользовательский агент должен автоматически преобразовать его в запрос https; если страница содержит ссылку на не-https ресурс, пользователь агент должен автоматически преобразовать его для запроса версии https.
Если безопасное соединение не может быть установлено, пользователь не разрешено обойти предупреждение и запросить версию HTTP, т.е. источник только HTTPS.
max-age указывает время жизни указанного HSTS набор правил в секундах (например,
max-age = 31536000
равно 365-дневному время жизни для рекламируемой политики).includeSubdomains указывает, что политика должна применяется ко всем поддоменам текущего происхождения.
HSTS преобразует источник в пункт назначения, поддерживающий только HTTPS, и помогает защитить приложение от множества пассивных и активных сетей атаки. В качестве дополнительного бонуса он также предлагает хорошую производительность. оптимизация за счет устранения необходимости перенаправления HTTP-to-HTTPS: клиент автоматически перезаписывает все запросы в безопасный источник перед они отправлены!
Обязательно тщательно протестируйте развертывание TLS перед включением HSTS.После того, как политика кэшируется клиентом, невозможность согласовать Подключение TLS приведет к серьезному отказу, т.е. пользователь увидит страницу с ошибкой браузера, и продолжить работу не удастся. Это поведение явный и необходимый выбор дизайна для предотвращения сетевых атак от обмана клиентов для доступа к вашему сайту без HTTPS.
Список предварительной загрузки §HSTS
Механизм HSTS оставляет самый первый запрос источнику незащищены от активных атак — e.г. злонамеренная сторона могла понизить рейтинг запроса клиента и предотвратить регистрацию Политика HSTS. Чтобы решить эту проблему, большинство браузеров предоставляют отдельный HSTS список предварительной загрузки «, который позволяет источнику запросить включены в список сайтов с поддержкой HSTS, которые поставляются с браузер.
Когда вы будете уверены в развертывании HTTPS, подумайте добавление вашего сайта в список предварительной загрузки HSTS через hstspreload.appspot.com.
§Включить HTTP Привязка открытого ключа (HPKP)
Один из недостатков существующей системы — как обсуждалось в Цепочка доверия и Центры сертификации — мы полагаемся на большое количество доверенные центры сертификации (CA). С одной стороны, это удобно, потому что это означает, что мы можем получить действующий сертификат из широкого круга организаций. Однако это также означает, что любой из эти организации также могут выдать действительный сертификат для наших и любое другое происхождение без их явного согласия.
Компрометация центра сертификации DigiNotar является одним из несколько громких примеров, когда злоумышленник смог выдать и использовать поддельные, но действительные сертификаты против сотен известных места.
Public Key Pinning позволяет сайту отправлять HTTP-заголовок, который указывает браузерам запомнить (закрепить) один или несколько сертификатов в свою цепочку сертификатов. Таким образом, он может определить, какие сертификаты или эмитенты должны приниматься браузером на последующие посещения:
Источник может закрепить свой листовой сертификат.Это самый безопасная стратегия, потому что вы, по сути, жестко кодируете небольшой набор специальных подписей сертификатов, которые должны быть приняты браузер.
Источник может закрепить один из родительских сертификатов в цепочка сертификатов. Например, начало координат может закрепить промежуточный сертификат своего ЦС, который сообщает браузеру, что для этого конкретного происхождения, он должен доверять только сертификатам, подписанным этим конкретный центр сертификации.
Выбор правильной стратегии, какие сертификаты закреплять, какие и сколько резервных копий предоставить, продолжительность и другие критерии для развертывания HPKP важны, детализированы и выходят за рамки нашего обсуждения. Проконсультируйтесь с вашей любимой поисковой системой или вашим местным гуру безопасности, чтобы узнать, больше информации.
HPKP также предоставляет режим «только отчет», в котором не применяется предоставлен PIN-код, но может сообщать об обнаруженных сбоях.Это может быть отличный первый шаг к проверке вашего развертывания и механизм выявления нарушений.
§Обновление содержимого сайта на HTTPS
Для обеспечения максимальной безопасности и производительности критически важно что сайт действительно использует HTTPS для получения всех своих ресурсов. В противном случае мы столкнемся с рядом проблем, которые поставят под угрозу оба или хуже, сломайте сайт:
Смешанное «активное» содержимое (напр.г. поставлены скрипты и таблицы стилей через HTTP) будет заблокирован браузером и может нарушить функциональность сайта.
Смешанный «пассивный» контент (например, изображения, видео, аудио и т. Д., доставляется через HTTP) будет доставлен, но позволит злоумышленнику для наблюдения и определения активности пользователей, а также для снижения производительности требующие дополнительных подключений и рукопожатий.
Проверяйте свой контент и обновляйте ресурсы и ссылки, в том числе сторонний контент, чтобы использовать HTTPS.Механизм политики безопасности контента (CSP) может окажут здесь большую помощь, как для выявления нарушений HTTPS, так и для обеспечения соблюдения желаемая политика.
Content-Security-Policy: обновления-небезопасные-запросы Content-Security-Policy-Report-Only: default-src https :; report-uri https://example.com/reporting/endpoint
Указывает браузеру обновить все (собственные и сторонние) запросы к HTTPS.
Указывает браузеру сообщать о любых нарушениях, не связанных с HTTPS, на назначенная конечная точка.
CSP предоставляет настраиваемый механизм для управления активам разрешено использовать, и как и откуда они могут быть доставлено. Используйте эти возможности для защиты своего сайта и пользователей.
§ Контрольный список эффективности
Как разработчики приложений мы защищены от большинства сложность протокола TLS — клиент и сервер выполняют большую часть тяжелая работа от нашего имени.Однако, как мы видели в этой главе, это не означает, что мы можем игнорировать аспекты производительности наших приложения через TLS. Настройка наших серверов для включения критически важного TLS оптимизации и настройки наших приложений, чтобы клиент мог Воспользуйтесь такими функциями, чтобы получить высокие дивиденды: более быстрое рукопожатие, уменьшенная задержка, лучшие гарантии безопасности и многое другое.
Имея это в виду, краткий контрольный список для включения в повестку дня:
Получите максимальную производительность от TCP; см. Оптимизация для TCP.
Обновите библиотеки TLS до последней версии и (пере) соберите серверы против них.
Включить и настроить кэширование сеанса и возобновление без сохранения состояния.
Отслеживайте процент попаданий в кэширование сеансов и настраивайте конфигурацию соответственно.
Настройте шифры прямой секретности для включения ложного запуска TLS.
Завершайте сеансы TLS ближе к пользователю, чтобы минимизировать круговые обходы задержки.
Используйте динамическое изменение размера записи TLS для оптимизации задержки и пропускная способность.
Проверяйте и оптимизируйте размер вашей цепочки сертификатов.
Настройте сшивание OCSP.
Настройте HSTS и HPKP.
Настроить политики CSP.
Включить HTTP / 2; см. HTTP / 2.
§Тестирование и проверка
Наконец, для проверки и тестирования вашей конфигурации вы можете использовать онлайн
сервис, такой как Qualys SSL Server
Протестируйте общедоступный сервер для проверки общей конфигурации и безопасности
недостатки. Кроме того, вам следует ознакомиться с openssl
интерфейс командной строки, который поможет вам проверить
все рукопожатие и конфигурация вашего сервера локально.
$> openssl s_client -state -CAfile root.ca.crt -connect igvita.com:443 ПОДКЛЮЧЕНО (00000003) SSL_connect: до инициализации / подключения SSL_connect: SSLv2 / v3 пишет клиенту привет A SSL_connect: SSLv3 читает сервер привет A глубина = 2 / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing / CN = Центр сертификации StartCom проверить возврат: 1 глубина = 1 / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing / CN = ЦС первичного промежуточного сервера StartCom класса 1 проверить возврат: 1 глубина = 0 / описание = ABjQuqt3nPv7ebEG / C = США / CN = www.igvita.com/[email protected] проверить возврат: 1 SSL_connect: SSLv3 читать сертификат сервера A SSL_connect: сервер чтения SSLv3 выполнен A SSL_connect: SSLv3 записывает обмен ключами клиента A SSL_connect: спецификация шифра изменения записи SSLv3 A SSL_connect: запись SSLv3 завершена A SSL_connect: данные сброса SSLv3 SSL_connect: чтение SSLv3 завершено A --- Цепочка сертификатов 0 с: / description = ABjQuqt3nPv7ebEG / C = US /CN=www.igvita.com/[email protected] i: / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing / CN = ЦС первичного промежуточного сервера StartCom класса 1 1 с: / C = IL / O = StartCom Ltd./ OU = Безопасная подпись цифрового сертификата / CN = ЦС первичного промежуточного сервера StartCom класса 1 i: / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing / CN = Центр сертификации StartCom --- Сертификат сервера ----- НАЧАТЬ СЕРТИФИКАТ ----- ... отрезать ... --- Имена ЦС сертификатов клиента не отправлены --- Подтверждение SSL прочитало 3571 байт и записало 444 байта --- Новый, TLSv1 / SSLv3, шифр RC4-SHA Открытый ключ сервера - 2048 бит Поддерживается безопасное повторное согласование Сжатие: НЕТ Расширение: НЕТ SSL-сессия: Протокол: TLSv1 Шифр: RC4-SHA Идентификатор сеанса: 269349C84A4702EFA7... Идентификатор сеанса-ctx: Мастер-ключ: 1F5F5F33D50BE6228A ... Key-Arg: Нет Время начала: 1354037095 Тайм-аут: 300 (сек) Проверить код возврата: 0 (ок) ---
Клиент завершил проверку полученной цепочки сертификатов.
Цепочка полученных сертификатов (два сертификата).
Размер полученной цепочки сертификатов.
Выданный идентификатор сеанса для возобновления TLS с отслеживанием состояния.
В предыдущем примере мы подключаемся к igvita.com через порт TLS по умолчанию (443) и
выполните рукопожатие TLS. Поскольку s_client
не делает
предположения об известных корневых сертификатах, вручную указываем путь
к корневому сертификату, который на момент написания является StartSSL
Центр сертификации для примера домена.В вашем браузере уже есть
общие корневые сертификаты и, таким образом, может проверить цепочку, но s_client
не делает таких предположений. Попробуйте опустить корень
сертификат, и вы увидите в журнале ошибку проверки.
Проверка цепочки сертификатов показывает, что сервер отправил два сертификаты, которые в сумме составляют 3571 байт. Также мы можем видеть согласованные переменные сеанса TLS — выбранный протокол, шифр, ключ — и мы можем также убедитесь, что сервер выдал идентификатор сеанса для текущего сессия, которая может быть возобновлена в будущем.
Wireshark для анализа проблем и вредоносных сообщений электронной почты в POP, IMAP и SMTP [Учебное пособие]
Одним из определяющих факторов в развитии цифрового маркетинга и бизнеса является электронная почта. Электронная почта позволяет пользователям эффективно обмениваться сообщениями в реальном времени и другой цифровой информацией, такой как файлы и изображения, через Интернет. Каждый пользователь должен иметь удобный для чтения адрес электронной почты в виде [электронная почта защищена] . В Интернете доступны различные провайдеры электронной почты, и любой пользователь может зарегистрироваться, чтобы получить бесплатный адрес электронной почты.
Существуют различные протоколы прикладного уровня электронной почты для отправки и получения почты, и комбинация этих протоколов помогает при сквозном обмене электронной почтой между пользователями в одном или разных почтовых доменах. В этой статье мы рассмотрим нормальную работу протоколов электронной почты и то, как использовать Wireshark для базового анализа и устранения неполадок.
Эта статья представляет собой отрывок из книги «Сетевой анализ с использованием Wireshark 2 Cookbook — второе издание», написанной Нагендрой Кумар Найнаром, Йогешем Рамдоссом, Йорамом Орзачем.
Три наиболее часто используемых протокола уровня приложений — это POP3, IMAP и SMTP:
- POP3 : Post Office Protocol 3 ( POP3 ) — это протокол прикладного уровня, используемый почтовыми системами для получения почты с почтовых серверов. Почтовый клиент использует команды POP3, такие как LOGIN , LIST , RETR , DELE , QUIT для доступа и управления (извлечения или удаления) электронной почты с сервера.POP3 использует TCP-порт 110 и стирает почту с сервера после ее загрузки на локальный клиент.
- IMAP : Протокол доступа к почте Интернета ( IMAP ) — еще один протокол прикладного уровня, используемый для получения почты с почтового сервера. В отличие от POP3, IMAP позволяет пользователю читать почту и получать к ней доступ одновременно с нескольких клиентских устройств. При нынешних тенденциях очень часто можно увидеть пользователей с более чем одним устройством для доступа к электронной почте (ноутбук, смартфон и т. Д.), А использование IMAP позволяет пользователю получать доступ к почте в любое время с любого устройства.Текущая версия IMAP — 4 и использует TCP-порт 143 .
- SMTP : Простой протокол передачи почты ( SMTP ) — это протокол прикладного уровня, который используется для отправки электронной почты от клиента на почтовый сервер. Когда отправитель и получатель находятся в разных доменах электронной почты, SMTP помогает обмениваться почтой между серверами в разных доменах. Он использует TCP-порт 25 :
Как показано на предыдущей схеме, SMTP — это почтовый клиент, используемый для отправки почты на почтовый сервер, а POP3 или IMAP используется для получения электронной почты с сервера.Почтовый сервер использует SMTP для обмена почтой между разными доменами.
Для обеспечения конфиденциальности конечных пользователей большинство почтовых серверов используют разные механизмы шифрования на транспортном уровне. Номер порта транспортного уровня будет отличаться от традиционных протоколов электронной почты, если они используются поверх защищенного транспортного уровня (TLS). Например, POP3 через TLS использует TCP-порт 995 , IMAP4 через TLS использует TCP-порт 993 , а SMTP через TLS использует порт 465 .
Нормальная работа почтовых протоколов
Как мы видели выше, общими почтовыми протоколами для взаимодействия почтового клиента с сервером и сервера с сервером являются POP3, SMTP и IMAP4.
Еще один распространенный метод доступа к электронной почте — это веб-доступ к почте, где у вас есть общие почтовые серверы, такие как Gmail, Yahoo !, и Hotmail. Примеры включают Outlook Web Access ( OWA ) и RPC через HTTPS для веб-клиента Outlook от Microsoft.
В этом рецепте мы поговорим о наиболее распространенных протоколах клиент-сервер и сервер-сервер, POP3 и SMTP, а также о нормальной работе каждого протокола.
Готовимся
Зеркальное отображение портов для захвата пакетов может выполняться как на стороне почтового клиента, так и на стороне сервера.
Как это сделать…
POP3 обычно используется для связи между клиентом и сервером, а SMTP обычно используется для связи между сервером.
Связь по протоколу POP3
POP3 обычно используется для связи почтового клиента с почтовым сервером. Нормальная работа POP3 следующая:
- Откройте почтовый клиент и введите имя пользователя и пароль для входа в систему.
- Используйте POP в качестве фильтра отображения для вывода списка всех пакетов POP. Следует отметить, что этот фильтр отображения будет отображать только пакеты, использующие TCP-порт 110 . Если используется TLS, фильтр не будет отображать пакеты POP. Нам может потребоваться использовать tcp.port == 995 для вывода списка пакетов POP3 через TLS.
- Убедитесь, что аутентификация прошла правильно. На следующем снимке экрана вы можете увидеть сеанс, открытый с имени пользователя, которое начинается с [электронная почта защищена] (все идентификаторы были удалены) и паролем, который начинается с u6F .
- Чтобы увидеть TCP-поток, показанный на следующем снимке экрана, щелкните правой кнопкой мыши один из пакетов в потоке и выберите «Follow TCP Stream» в раскрывающемся меню:
- Любые сообщения об ошибках на этапе аутентификации не позволят установить связь. Вы можете увидеть пример этого на следующем снимке экрана, где не удалось выполнить аутентификацию пользователя. В этом случае мы видим, что когда клиент получает ошибку входа в систему, он закрывает TCP-соединение:
- Используйте соответствующие фильтры отображения, чтобы перечислить конкретный пакет.Например, pop.request.command == "USER" отобразит пакет запроса POP с именем пользователя, а pop.request.command == "PASS" отобразит пакет POP, содержащий пароль. Вот пример снимка:
- Во время пересылки почты помните, что почтовые клиенты могут легко заполнить узкополосную линию связи. Вы можете проверить это, просто настроив графики ввода-вывода с помощью фильтра по протоколу POP.
- Всегда проверяйте общие индикаторы TCP: повторные передачи, нулевое окно, полное окно и другие.Они могут указывать на занятую линию связи, медленный сервер и другие проблемы, исходящие от линий связи или конечных узлов и серверов. Эти проблемы в основном вызывают медленное соединение.
Когда протокол POP3 использует TLS для шифрования, детали полезной нагрузки не видны. Мы объясняем, как захваты SSL могут быть расшифрованы в разделе . Еще… .
Связь по протоколу IMAP
IMAP похож на POP3 в том, что он используется для получения почты с сервера клиентом.Нормальное поведение связи IMAP выглядит следующим образом:
- Откройте почтовый клиент и введите имя пользователя и пароль для соответствующей учетной записи.
- Напишите новое сообщение и отправьте его с любого адреса электронной почты.
- Получить электронную почту на клиенте, использующем IMAP. У разных клиентов могут быть разные способы получения электронной почты. Используйте соответствующую кнопку, чтобы вызвать его.
- Убедитесь, что вы получили письмо на свой локальный клиент.
Связь по SMTP
SMTP обычно используется для следующих целей:
- Обмен данными между серверами, в которых SMTP является почтовым протоколом, который работает между серверами
- В некоторых клиентах POP3 или IMAP4 настроены для входящих сообщений (сообщения от сервера к клиенту), тогда как SMTP настроен для исходящих сообщений (сообщений от клиента к серверу)
Нормальное поведение SMTP-связи выглядит следующим образом:
- Локальный почтовый клиент разрешает IP-адрес настроенного адреса SMTP-сервера.
- Это инициирует TCP-соединение с номером порта 25 , если SSL / TLS не включен. Если SSL / TLS включен, TCP-соединение устанавливается через порт 465 .
- Он обменивается сообщениями SMTP для аутентификации с сервером. Клиент отправляет AUTH LOGIN для активации аутентификации входа. После успешного входа в систему клиент сможет отправлять письма.
- Он отправляет SMTP-сообщение, такое как "MAIL FROM: <>", "RCPT TO: <>" , содержащее адреса электронной почты отправителя и получателя.
- После успешной постановки в очередь мы получаем ответ OK от SMTP-сервера.
Ниже приведен пример потока сообщений SMTP между клиентом и сервером:
Как это работает…
В этом разделе давайте рассмотрим нормальную работу различных протоколов электронной почты с использованием Wireshark.
Почтовые клиенты в основном используют протокол POP3 для связи с сервером. В некоторых случаях они также будут использовать SMTP. IMAP4 используется, когда требуются манипуляции с сервером, например, когда вам нужно просмотреть сообщения, существующие на удаленном сервере, не загружая их на клиент.Обмен данными между серверами обычно осуществляется по протоколу SMTP.
Разница между IMAP и POP в том, что в IMAP почта всегда хранится на сервере. Если вы удалите его, он будет недоступен ни на каком другом компьютере. В POP удаление загруженного электронного письма может удалить или не удалить это письмо на сервере.
В общем, коды состояния SMTP делятся на три категории, которые структурированы таким образом, чтобы помочь вам понять, что именно пошло не так. Методы и детали кодов состояния SMTP обсуждаются в следующем разделе.
POP3
POP3 — это протокол прикладного уровня, используемый почтовыми клиентами для получения сообщений электронной почты с сервера. Типичный сеанс POP3 будет выглядеть как на следующем снимке экрана:
Он имеет следующие шаги:
- Клиент открывает TCP-соединение с сервером.
- Сервер отправляет клиенту сообщение OK (мультиплексор обмена сообщениями OK).
- Пользователь отправляет имя пользователя и пароль.
- Начинаются операции протокола. NOOP (нет операции) — это сообщение, отправляемое для сохранения соединения, STAT (статус) отправляется от клиента к серверу для запроса статуса сообщения. Сервер отвечает количеством сообщений и их общим размером (в пакете 1042 , OK 0 0 означает отсутствие сообщений и его общий размер равен нулю)
- Если на сервере нет почтовых сообщений, клиент отправляет сообщение QUIT ( 1048 ), сервер подтверждает его (пакет 1136 ), и TCP-соединение закрывается (пакеты 1137 , 1138 и 1227 ).
- В зашифрованном соединении процесс будет выглядеть почти так же (см. Следующий снимок экрана). После установления соединения ( 1 ) есть несколько сообщений POP ( 2 ), установление соединения TLS ( 3 ), а затем зашифрованные данные приложения:
IMAP
Нормальная работа IMAP выглядит следующим образом:
- Почтовый клиент разрешает IP-адрес сервера IMAP:
Как показано на предыдущем снимке экрана, клиент устанавливает TCP-соединение с портом 143 , когда SSL / TSL отключен.Когда SSL включен, сеанс TCP будет установлен через порт 993 .
- Как только сеанс установлен, клиент отправляет сообщение о возможностях IMAP, запрашивая, чтобы сервер отправил возможности, поддерживаемые сервером.
- За этим следует аутентификация для доступа к серверу. Когда аутентификация прошла успешно, сервер отвечает кодом ответа 3 , в котором говорится, что вход в систему был успешным:
- Теперь клиент отправляет команду IMAP FETCH для получения любых писем с сервера.
- Когда клиент закрывается, он отправляет сообщение о выходе и очищает сеанс TCP.
SMTP
Нормальная работа SMTP выглядит следующим образом:
- Почтовый клиент разрешает IP-адрес SMTP-сервера:
- Клиент открывает TCP-соединение с SMTP-сервером через порт 25 , когда SSL / TSL не включен. Если SSL включен, клиент откроет сеанс на порту 465 :
- После успешного установления сеанса TCP клиент отправит сообщение AUTH LOGIN , чтобы запросить имя пользователя / пароль учетной записи.
- Имя пользователя и пароль будут отправлены клиенту SMTP для проверки учетной записи.
- SMTP отправит ответный код 235 , если аутентификация прошла успешно:
- Теперь клиент отправляет адрес электронной почты отправителя на SMTP-сервер. SMTP-сервер отвечает кодом ответа 250 , если адрес отправителя действителен.
- После получения ответа OK от сервера клиент отправит адрес получателя.SMTP-сервер ответит кодом ответа 250 , если адрес получателя действителен.
- Теперь клиент отправит фактическое сообщение электронной почты. SMTP ответит кодом ответа 250 и параметром ответа OK: в очереди .
- Успешно поставленное в очередь сообщение гарантирует, что почта успешно отправлена и поставлена в очередь для доставки на адрес получателя.
Мы научились анализировать проблемы в POP, IMAP и SMTP, а также вредоносные электронные письма.Узнайте больше об анализе протокола DNS и FTP, HTTP / 1 и HTTP / 2 из нашей книги «Сетевой анализ с использованием Wireshark 2 Cookbook — второе издание».
Читать дальше:
Что нового в Wireshark 2.6?
Анализ поведения корпоративных приложений с помощью Wireshark 2
Захват пакетов Wireshark
4.4 Установление соединения с VPN-сервером
После установки SoftEther VPN Client и создания виртуального сетевого адаптера настройте параметры подключения для подключения к виртуальному концентратору желаемого SoftEther VPN-сервера.В этом разделе описывается информация, которую необходимо ввести при создании настройки подключения.
Параметры, описанные здесь, по большей части совпадают с параметрами, используемыми для настройки каскадного подключения к серверу VPN или мосту VPN на отдельном компьютере с использованием виртуального концентратора сервера VPN или моста VPN, описанных в разделе 3.4 Функции виртуального концентратора. Окна для редактирования настроек каскадного подключения и VPN-клиента почти одинаковы, и результирующие операции при редактировании настроек подключения также одинаковы.Обратитесь к описанной здесь информации при настройке каскадного подключения.
4.4.1 Выбор правильного метода подключения
Создание настройки подключения
На момент установки SoftEther VPN Client настройки подключения отсутствуют. Чтобы установить VPN-соединение с SoftEther VPN-сервером, вы должны создать настройку соединения. Чтобы создать настройку подключения, выберите [Настройка нового подключения] в меню [Подключить] диспетчера клиентов VPN. Далее в пояснениях по созданию настройки подключения и редактированию настроек предполагается, что это окно открыто.
Окно для создания и редактирования настройки подключения.
Чтобы подключить компьютер с установленным SoftEther VPN-клиентом к виртуальному концентратору желаемого SoftEther VPN-сервера, сначала необходимо нажать [Импортировать настройки прокси-сервера IE], чтобы импортировать настройки Internet Explorer, или выбрать правильный метод подключения в соответствии с сетевой средой клиентские и серверные компьютеры. Выберите способ подключения в поле [Прокси-сервер для ретрансляции].При использовании прокси-сервера щелкните [Настройка подключения к прокси-серверу] и введите необходимые параметры.
Выберите один из следующих трех способов подключения.
- Прямое соединение TCP / IP
- Соединение через прокси-сервер HTTP
- Соединение через прокси-сервер SOCKS
Указание целевого сервера VPN
Независимо от метода подключения необходимо правильно ввести имя хоста, номер порта и имя виртуального концентратора целевого сервера VPN.Номер порта по умолчанию — 5555 , но вы можете указать любой порт TCP / IP, ожидающий входящих подключений, в качестве порта прослушивателя на целевом сервере VPN. При подключении через прокси-сервер HTTP или при использовании высоких настроек брандмауэра рассмотрите возможность использования 443 (порт для доступа HTTPS). Для получения дополнительной информации о настройке номера порта обратитесь к администратору VPN-сервера.
4.4.2 Прямое соединение TCP / IP
Используйте прямое TCP / IP-соединение в среде, где только прямая IP-маршрутизация может использоваться для установления IP-соединения между клиентским компьютером VPN и компьютером-сервером VPN.Выберите этот параметр, когда, например, клиентский компьютер VPN и компьютер-сервер VPN оба напрямую подключены к глобальному IP-адресу, который можно использовать в Интернете, или когда между двумя компьютерами существует обычный NAT или прозрачный брандмауэр.
Прямое соединение TCP / IP.
4.4.3 Подключение через прокси-сервер HTTP
Если прямое соединение TCP / IP не может быть использовано, вы можете подключиться к серверу VPN через прокси-сервер HTTP.
Подключение через прокси-сервер HTTP.
Чтобы подключиться к VPN-серверу через прокси-сервер HTTP, выберите [Подключиться через HTTP-прокси-сервер], а затем щелкните [Настройка подключения к прокси-серверу] и введите необходимую информацию. Для получения дополнительной информации о настройках в окне [Настройка подключения к прокси-серверу] обратитесь к администратору HTTP-сервера.
Окно настройки подключения к прокси-серверу.
Вы можете подключиться через стандартный прокси-сервер, который поддерживает метод CONNECT.В зависимости от прокси-сервера подключение с помощью метода CONNECT может быть разрешено только через порт 443. В этом случае заранее установите порт 443 целевого сервера SoftEther VPN в качестве порта прослушивателя, а затем попробуйте подключиться к этому порту. По умолчанию порт 443 включен на VPN-сервере, но отдельные программные продукты также могут использовать тот же порт, поэтому следует соблюдать осторожность. За подробностями обращайтесь к администратору целевого VPN-сервера. |
4.4.4 Подключение через прокси-сервер SOCKS
Если прямое соединение TCP / IP не может использоваться, вы можете подключиться к серверу VPN через прокси-сервер SOCKS, если он доступен.
Подключение через прокси-сервер SOCKS.
Чтобы подключиться к VPN-серверу через прокси-сервер SOCKS, выберите [Подключиться через прокси-сервер SOCKS], затем щелкните [Настройка подключения к прокси-серверу] и введите необходимую информацию. Для получения дополнительной информации о настройках в окне [Настройка подключения к прокси-серверу] обратитесь к администратору SOCKS-сервера.
На момент написания этого руководства SoftEther VPN Client поддерживает протокол SOCKS версии 4, но не поддерживает версию 5. |
4.4.5 Проверка сертификата сервера
Включение проверки сертификата сервера
Как описано в 2.3 Аутентификация сервера, проверка того, что сертификат сервера целевого VPN-сервера действителен на компьютере-клиенте VPN, гарантирует с помощью математических расчетов, что целевой VPN-сервер является правильным компьютером и что нет никакого «злоумышленника». средний нападающий «. Для приложений с высоким уровнем безопасности, требующих проверки сертификата сервера, используйте опцию проверки сертификата сервера.
Установка флажка рядом с [Всегда проверять сертификат сервера] выполняет проверку SSL-сертификата сервера при установке VPN-подключения с использованием этой настройки подключения. По умолчанию этот флажок не установлен, поэтому при необходимости установите его.
При нажатии [Управление списком доверенных сертификатов ЦС] открывается окно со списком сертификатов от доверенных центров сертификации, которыми управляет VPN-клиент (или виртуальный концентратор при каскадном подключении). Вы можете использовать это окно для добавления, удаления или подтверждения доверенных сертификатов.Когда [Всегда проверять сертификат сервера] включен и пользователь пытается подключиться к VPN, VPN-клиент (или виртуальный концентратор) проверяет, подписан ли сертификат, предоставленный целевым VPN-сервером, в соответствии со списком доверенных сертификатов, и подключается только на VPN-сервер с подписанным сертификатом.
Окно параметров проверки сертификата сервера.
Если щелкнуть [Указать индивидуальный сертификат], заранее будет привязан уникальный сертификат сервера VPN-сервера, к которому VPN-клиент подключается, с этой настройкой подключения.Если у целевого VPN-сервера уже есть сертификат сервера, вы можете использовать эту функцию для регистрации этого сертификата, тем самым аутентифицируя сервер. Это простой способ аутентификации небольшого целевого VPN-сервера.
Окно, отображаемое, когда проверка сертификата включена и целевой сервер VPN представляет сертификат ненадежного сервера при подключении (только для VPN-клиента)
Окно [Предупреждение безопасности] отображается, если определено, что сертификат, предоставленный целевым VPN-сервером, нельзя доверять при подключении к VPN-серверу с включенной опцией [Всегда проверять сертификат сервера].В этом окне отображается подробная информация о сертификате, предоставленном VPN-сервером. Вы можете просмотреть отображаемую информацию, чтобы определить, доверять ли целевому VPN-серверу. Например, вы можете обеспечить безопасность целевого VPN-сервера, проверив действительность дайджеста-значения, отображаемого администратору VPN-сервера по телефону, или используя другой относительно безопасный метод. Нажатие [Отменить соединение] отменяет попытку подключения к серверу VPN.
Отображается окно предупреждения системы безопасности для сертификата ненадежного сервера.
При нажатии кнопки [Продолжить подключение] отображается диалоговое окно с вопросом, в котором пользователь может доверять сертификату. При нажатии [Да] этот сертификат регистрируется как [индивидуальный сертификат] для настройки подключения, и предупреждение безопасности больше не отображается, если нет изменений в сертификате, представленном VPN-сервером. Щелчок [Нет] не регистрирует сертификат.
Диалоговое окно с вопросом, доверять ли сертификату сервера.
Если сертификат, представленный сервером VPN, отличается от отдельного сертификата, зарегистрированного для настройки подключения, отображается диалоговое окно ниже. В этом случае мы рекомендуем немедленно разорвать соединение.
Окно предупреждения системы безопасности отображается, когда сертификаты сервера не совпадают.
Описанные здесь окна предупреждений безопасности отображаются только в SoftEther VPN Client.При использовании каскадного подключения на SoftEther VPN Server или SoftEther VPN Bridge автоматически генерируется ошибка подключения, и эти окна не отображаются, поэтому следует соблюдать осторожность. |
4.4.6 Выбор виртуального сетевого адаптера
Пользователь VPN-клиента должен выбрать виртуальный сетевой адаптер для настройки подключения. Как описано в разделе 4.3 «Виртуальный сетевой адаптер», виртуальный сетевой адаптер необходимо зарегистрировать в Windows заранее. При создании настройки подключения выберите виртуальный сетевой адаптер, который вы хотите использовать для подключения к VPN-серверу с настройкой подключения, из списка [Virtual Network Adapter to Use].
4.4.7 Настройка аутентификации пользователя
Выбор типа аутентификации пользователя
Вы должны ввести настройки, относящиеся к аутентификации пользователя, в настройках соединения. Выберите один из следующих методов аутентификации пользователя для [Тип аутентификации].
- Анонимная аутентификация
- Аутентификация стандартного пароля
- Аутентификация домена RADIUS или NT
- Аутентификация сертификата клиента
- Аутентификация смарт-карты
(только для VPN-клиента.Не может использоваться в каскадном подключении.)
Вы должны ввести имя пользователя в [Имя пользователя] независимо от выбранного типа аутентификации пользователя. Другая необходимая информация зависит от выбранного типа аутентификации.
Информация, необходимая для анонимной аутентификации
Для использования анонимной аутентификации, кроме имени пользователя, никакой информации не требуется. Дополнительные сведения об анонимной аутентификации см. В разделе 2.2 Аутентификация пользователя.
Информация, необходимая для аутентификации по стандартному паролю и аутентификации домена RADIUS или NT
Введите пароль для аутентификации пользователя при использовании стандартной аутентификации по паролю или аутентификации домена RADIUS или NT.
Введенный здесь пароль сохраняется и записывается на диск в качестве информации подключения VPN-клиента. Если эта операция нежелательна по соображениям безопасности, вы можете оставить поле пароля пустым. Это предотвращает сохранение пароля как части настройки подключения и отображает окно ввода пароля при каждом подключении к VPN-серверу. |
Для получения дополнительной информации о парольной аутентификации см. 2.2 Аутентификация пользователя.
Информация, необходимая для аутентификации сертификата клиента
При использовании проверки подлинности сертификата клиента необходимо указать сертификат, который будет представлен на сервер VPN в качестве сертификата клиента. Чтобы указать сертификат, нажмите [Указать сертификат клиента].
Для получения дополнительной информации об аутентификации сертификата см. 2.2 Аутентификация пользователя.
Указанные здесь сертификат клиента и закрытый ключ записываются на диск в качестве информации настройки VPN-клиента.Обычно только пользователи с правами администратора могут читать файлы с информацией о настройках VPN-клиента, и поэтому это безопасно. Однако, если, например, украден портативный компьютер с установленным клиентом VPN, содержимое жесткого диска может быть проанализировано и данные закрытого ключа могут быть украдены. Чтобы исключить этот риск, мы рекомендуем использовать проверку подлинности смарт-карты.
Информация, необходимая для аутентификации смарт-карты
При использовании проверки подлинности смарт-карты необходимо указать смарт-карту с сертификатом, который будет представлен VPN-серверу в качестве сертификата клиента и имени объекта смарт-карты.Сначала нажмите [Выбрать смарт-карту] и выберите смарт-карту, которую хотите использовать. Затем щелкните [Указать сертификат и закрытый ключ] и выберите объект сертификата и объект закрытого ключа для аутентификации. Дополнительные сведения о смарт-картах см. В разделе 4.6 «Использование смарт-карт и управление ими».
4.4.8 Использование аутентификации смарт-карты
VPN-клиент поддерживает аутентификацию пользователя с помощью смарт-карты. Проверка подлинности смарт-карты является безопасным методом проверки подлинности, сравните с обычным режимом сертификации проверки подлинности.Когда VPN-клиент подключается к VPN-серверу с аутентификацией по смарт-карте, судя со стороны VPN-сервера, похоже, что подключенный VPN-клиент использует обычный режим сертификации сертификата. Но VPN-клиент начинает читать сертификат со смарт-карты, а не с жесткого диска. А закрытый ключ — это процесс аутентификации PKI с помощью подсказки операции RSA в смарт-карте, не вынимая ее.
О карте IC см. В разделе 4.6 «Использование смарт-карт и управление ими».
4.4.9 Функция автоматического повторного подключения
Вы можете настроить параметр для автоматического повторного подключения, как описано в разделе «Настройка повторного подключения при сбое или разрыве VPN-подключения» в 2.1 Протокол связи VPN. Чтобы использовать функцию автоматического переподключения, установите флажок рядом с [Восстановить соединение при потере соединения с VPN-сервером] и укажите [Счетчик повторного подключения] и [Интервал повторного подключения]. Установка флажка рядом с [Reconnection Endless (Keep VPN Session Always)] позволяет VPN-клиенту постоянно пытаться повторно подключиться к VPN-серверу, если соединение разорвано.
Функцию автоматического переподключения нельзя использовать при использовании аутентификации смарт-карты, потому что пользователю постоянно будет предлагаться ввести PIN-код для аутентификации пользователя, чтобы повторно подключиться.
4.4.10 Отображение состояния подключения и сообщений об ошибках
Установка флажка рядом с [Не отображать состояние подключения и окно ошибок при подключении к серверу VPN] предотвращает отображение диалоговых окон с сообщениями об ошибках и статусом подключения к серверу VPN. Когда этот параметр включен, следующее диалоговое окно, например, не отображается, и процесс подключения выполняется в фоновом режиме.
Диалоговое окно, отображающее состояние подключения VPN-клиента.
4.4.11 Расширенные настройки связи
Чтобы внести изменения в параметры расширенных настроек связи, как описано в 2.1 Протокол связи VPN, щелкните [Расширенные настройки]. Эти настройки предназначены для системного администратора и пользователей, хорошо разбирающихся в протоколах сетевой связи и сетевой безопасности. Обычные конечные пользователи должны изменять только настройки, указанные администратором сервера VPN или сетевым администратором.
Окно [Расширенные настройки].
4.4.12 Количество соединений TCP / IP для сеанса связи VPN
Вы можете настроить параметр [Число TCP-соединений] в окне [Расширенные настройки]. Этот параметр описан в разделе «Число TCP / IP-соединений для связи VPN» в 2.1 Протокол связи VPN.
4.4.13 Интервал между TCP-соединениями и длина TCP-соединения
Вы можете настроить параметры [Установление интервала TCP-соединения] и [Не отключать] в окне [Расширенные настройки].Эти настройки описаны в разделе «Интервал между TCP / IP-соединениями и длина TCP / IP-соединения» в 2.1 Протокол связи VPN.
4.4.14 Опция полудуплексного режима
Вы можете включить или отключить параметр [Использовать полудуплексный режим] в окне [Расширенные настройки]. Эта функция описана в разделе «Использование полудуплексного режима» в 2.1 Протокол связи VPN.
4.4.15 Опция шифрования SSL
Вы можете отключить параметр [Шифрование сеанса VPN с помощью SSL] в окне [Расширенные настройки].Эта функция описана в разделе «Отключение опции шифрования» в 2.1 Протокол связи VPN. Когда VPN-клиент подключен к VPN-серверу, работающему на локальном хосте (на том же хосте, что и клиент), шифрование SSL не требуется, поэтому этот параметр автоматически отключается.
4.4.16 Опция сжатия данных
Вы можете включить или отключить параметр [Использовать сжатие данных] в окне [Расширенные настройки]. Эта функция описана в разделе «Использование сжатия данных» в 2.1 Протокол связи VPN.
4.4.17 Выбор режима подключения
Вы можете включить любой из следующих двух режимов подключения в поле [Настройки режима подключения] окна [Дополнительные настройки].
- Режим моста / маршрутизатора
- Режим мониторинга
Установка флажка рядом с любым из этих режимов подключения включает этот режим подключения для сеанса подключения к серверу VPN. Для получения информации об этих специальных режимах подключения см. 1.6 Детали связи VPN.
4.4.18 Процесс перезаписи таблицы маршрутизации
По умолчанию параметр [Не изменять таблицу маршрутизации] в окне [Дополнительные параметры связи] отключен.
Windows автоматически перезаписывает таблицу маршрутизации, чтобы обеспечить надлежащую связь по VPN, даже если сторона виртуального сетевого адаптера клиента VPN установлена в качестве шлюза по умолчанию после подключения к серверу VPN.
Если по особой причине вы не хотите переписывать таблицу маршрутизации, установите флажок рядом с этой опцией.
4.4.19 Подключение для запуска
Вы можете установить настройку подключения для запуска подключения, используя Диспетчер клиентов VPN, чтобы выбрать настройку подключения, а затем щелкнув [Установить как подключение для запуска] в меню [Подключить]. Если параметр подключения настроен для начального подключения, подключение к серверу VPN автоматически запускается с использованием этого параметра подключения при запуске Windows.
Если, например, вы хотите поддерживать постоянное соединение с определенным виртуальным концентратором при работающем компьютере, установите для этого параметра подключения значение «Запуск подключения» и включите параметр [Бесконечное повторное подключение (всегда поддерживать сеанс VPN)].Таким образом, VPN-клиент автоматически пытается подключиться к VPN-серверу, используя указанные настройки подключения при запуске Windows, даже если пользователь не вошел в Windows.
Значок настройки подключения, зарегистрированной в качестве начального подключения, изменяется в диспетчере клиентов VPN следующим образом.
Значок настройки подключения, когда установлено соединение при запуске.
4.4.20 Экспорт и импорт настроек подключения
Экспорт и импорт
Вы можете экспортировать настройки подключения, зарегистрированные в VPN-клиенте, и сохранить их в виде файла.Экспортированный параметр подключения также можно скопировать, импортировав его в VPN-клиент, работающий на том же или отдельном компьютере.
Чтобы экспортировать настройку подключения, выберите настройку подключения и нажмите [Экспорт настройки подключения VPN] в меню [Подключить]. Затем укажите имя файла настройки подключения, которую вы хотите сохранить.
Вы можете легко импортировать экспортированные настройки подключения, просто дважды щелкнув файл настроек подключения в проводнике или в окне папки. Чтобы импортировать настройки подключения с помощью Диспетчера клиентов VPN, нажмите [Импортировать настройки подключения VPN] в меню [Подключить] и укажите имя файла экспортированного файла настроек подключения.
Использование функций экспорта и импорта
Администратор VPN-сервера или виртуального концентратора может использовать эти функции для распространения настроек подключения среди пользователей. Затем пользователь может дважды щелкнуть файл настроек подключения, чтобы легко добавить данные настройки подключения в VPN-клиент, работающий на компьютере пользователя. Пользователь также может редактировать импортированные настройки подключения.
Содержимое экспортированного файла настроек подключения
Настройка подключения экспортируется в виде специального текстового файла с расширением .впн . Содержимое файла настроек подключения следующее.
# VPN Client Файл настроек VPN-подключения # # Этот файл экспортируется с помощью диспетчера клиентов VPN. # Содержимое этого файла можно редактировать с помощью текстового редактора. # # Когда этот файл импортируется в Client Connection Manager # Его можно использовать немедленно. объявить корень { bool CheckServerCert false uint64 CreateDateTime 0 uint64 LastConnectDateTime 0 bool StartupAccount false uint64 UpdateDateTime 0 объявить ClientAuth { uint AuthType 1 byte HashedPassword AAAAAAAAAAAAAAAAAAAAAAAAAAA = строка Имя пользователя $ } объявить ClientOption { строка AccountName public.softether.com uint AdditionalConnectionInterval 1 uint ConnectionDisconnectSpan 0 строка DeviceName VPN bool DisableQoS false bool HalfConnection false bool HideNicInfoWindow ложь bool HideStatusWindow ложь строка Имя хоста public.softether.com string HubName PUBLIC uint MaxConnection 1 bool NoRoutingTracking false bool NoTls1 ложь bool NoUdpAcceleration false uint NumRetry 4294967295 uint Порт 443 uint PortUDP 0 строка ProxyName $ byte ProxyPassword $ uint ProxyPort 0 uint ProxyType 0 строка ProxyUsername $ bool RequireBridgeRoutingMode ложь bool RequireMonitorMode false uint RetryInterval 15 bool UseCompress false bool UseEncrypt true } }
Как показано в приведенном выше примере, все содержимое файла настроек подключения записано в виде текста.Любые хираганы, кандзи и другие многобайтовые символы кодируются в кодировке UTF-8. Обычно этот текстовый файл не нужно редактировать, но вы можете вручную отредактировать этот файл или написать программу для автоматического создания файла настроек подключения, как показано выше.
4.4.21 Создание ярлыка для настройки подключения
Вы можете создать файл ярлыка для настройки подключения, зарегистрированной в VPN-клиенте. Этот файл ярлыка представляет собой файл ярлыка того же типа, который можно создать для файлов или папок в Windows.
Чтобы создать файл ярлыка для настройки подключения, выберите настройку подключения, щелкните [Создать ярлык подключения VPN] в меню [Подключить], а затем укажите имя файла ярлыка, который необходимо создать. После создания файла ярлыка его можно разместить в любом месте компьютера, где в Windows можно установить обычный файл. Например, вы можете разместить файл ярлыка на рабочем столе или добавить его на панель быстрого запуска.
Файл ярлыков настроек подключения.
Если дважды щелкнуть файл ярлыка для параметра подключения, когда этот параметр подключения отключен, автоматически запускается VPN-подключение для этого параметра подключения. При двойном щелчке по файлу ярлыка для настройки подключения во время подключения VPN-клиента или его подключения к VPN, отображается диалоговое окно с вопросом, следует ли прервать подключение для этой настройки подключения. При нажатии [Да] соединение прерывается.
Диалоговое окно, отображаемое при запуске ярлыка для уже подключенной настройки подключения.
4.4.22 Настройка каскадного подключения VPN-сервера и моста VPN
Вы можете использовать тот же пользовательский интерфейс, который использовался для создания и редактирования настроек подключения с помощью диспетчера VPN-клиентов, чтобы изменить настройки для каскадного подключения виртуального концентратора VPN-сервера или VPN-моста к отдельному виртуальному концентратору с помощью диспетчера VPN-сервера, как описано в разделе 3.4 Функции виртуального концентратора.
Вам не нужно вводить следующие элементы при настройке параметров каскадного подключения.
- Виртуальный сетевой адаптер для использования
- Интервал между попытками повторного подключения и повторными попытками
(попытка повторного подключения бесконечное количество раз с 10-секундными интервалами) - Настройка режима подключения
(Всегда подключаться через мост / режим маршрутизатора) - Перезаписать настройки таблицы маршрутизации
(Не перезаписывать таблицу маршрутизации при каскадном соединении)
Атака с предсказанием последовательности TCP | Как защитить передачу данных
Учитывая, что большая часть нашей деловой и личной жизни зависит от передачи информации между точками в Интернете, неудивительно, что киберпреступники долгое время предпочитали эти связи как цель для своих операций.Взлом соединений и / или перехват потоков данных предлагает хакерам прекрасную возможность извлекать ценные информационные активы, откачивать цифровые финансовые ресурсы или вставлять собственный вредоносный контент.
Один из методов, используемых недобросовестными операторами в киберсфере, известен как атака с предсказанием последовательности TCP (или атака порядкового номера TCP).
Что такое TCP?
Протокол управления передачей (TCP) — это протокол на основе соединения, который требует, чтобы между отправителем и получателем было установлено формальное соединение, прежде чем между ними будут передаваться какие-либо данные.Эта формальная связь известна как «трехстороннее рукопожатие».
Здесь клиент (отправитель) сначала передает сегмент SYN серверу (получателю), запрашивая установку соединения. Сегмент SYN — это пакет данных TCP с установленным флагом SYN (запрос синхронизации).
На принимающей стороне сервер или хост отвечает сегментом SYN-ACK (который представляет собой пакет данных TCP с синхронизацией SYN и флажками подтверждения ACK), подтверждая запрос.
Затем клиент отправляет обратно сегмент ACK (подтверждение) для подтверждения, устанавливая TCP-соединение.
Что такое порядковый номер?
Когда клиент отправляет первый инициирующий контакт сегмента SYN, пакет также несет дополнительную информацию, включая адрес исходного порта, порт назначения и начальный порядковый номер или ISN — значение, генерируемое TCP клиента. система. Сегмент SYN-ACK, возвращаемый сервером, повторяет этот начальный порядковый номер вместе с другой информацией.
При проверке целостности этого отправленного обратно пакета SYN-ACK клиент проверяет флаг SYN (синхронизация) и номер подтверждения, который должен соответствовать собственному начальному порядковому номеру клиента +1. И сегмент ACK, который отправляет клиент. обратно в подтверждение включает номер подтверждения, который установлен на начальный порядковый номер сервера +1.
Таким образом, порядковые номера играют большую роль в TCP-коммуникациях. Порядковый номер определяется как число, которое TCP связывает с начальным байтом данных в конкретном пакете данных.Номер подтверждения всегда является следующим ожидаемым порядковым номером в возрастающей серии.
С точки зрения многоуровневой модели сетевой безопасности, протокол TCP действует на уровне 4 (транспортный уровень), при этом передача пакетов между хостами осуществляется уровнями ниже уровня 4. TCP использует поле порядкового номера, чтобы взять на себя ответственность за обеспечение этих данных. пакеты доставляются на более высокие уровни стека протоколов в правильном порядке.
Уязвимость
Злоумышленник, прослушивающий TCP-обмен, может в принципе определить поток порядковых номеров, отслеживая пакеты, перемещающиеся между двумя хостами при обмене данными.Фактически, архивы Инженерной группы Интернета (IETF) еще с 1985 года описывают ситуацию, когда кибератака была организована на основе предположения, какие порядковые номера протокол управления передачей будет использовать для новых соединений между двумя известными конечными точками. .
Эта уязвимость подтверждается выдержкой из стандарта RFC 793 (протокол управления передачей), касающегося генерации порядковых номеров TCP, в котором говорится, что:
«Когда создаются новые соединения, используется генератор начальных порядковых номеров (ISN), который выбирает новый 32-битный ISN.Генератор привязан к (возможно, фиктивным) 32-битным часам, младший бит которых увеличивается примерно каждые 4 микросекунды. Таким образом, ISN циклически повторяется примерно каждые 4,55 часа. Поскольку мы предполагаем, что сегменты будут оставаться в сети не дольше максимального срока службы сегмента (MSL) и что MSL составляет менее 4,55 часов, мы можем разумно предположить, что ISN будут уникальными ».
К сожалению, разработчики стека TCP / IP BSD Unix не придерживались этих рекомендаций. Порядковый номер для стеков TCP / IP BSD увеличивается на 128 000 каждую секунду и на 64 000 для каждого нового TCP-соединения.Такую последовательность относительно легко предсказать, и ее гораздо легче использовать, чем последовательность, соответствующую стандарту RFC. X-Windows, NFS, SunRPC и многие другие службы, которые полагаются на аутентификацию IP-адреса, могут быть использованы с помощью успешной атаки с предсказанием последовательности TCP.
Анатомия атаки с прогнозированием последовательности TCP
В типичном сценарии атаки с предсказанием последовательности TCP злоумышленник потратит некоторое время на мониторинг потока данных между двумя хостами, один из которых является целевой системой.Затем злоумышленник отключит другую систему (которой доверяет цель) от связи, возможно, с помощью атаки отказа в обслуживании (DoS), оставив себя свободным, чтобы занять место этой доверенной системы в глазах своей цели. .
Предсказав порядковый номер следующего пакета, который цель ожидает от своего доверенного хоста, злоумышленник подготавливает пакет с исходным IP-адресом доверенной системы и ожидаемым порядковым номером. Этот пакет обязательно прибудет к месту назначения до появления какой-либо законной информации от доверенного хоста (у которого есть DoS-атака, чтобы держать его занятым и скрытым от изображения).Пакет от злоумышленника может использоваться как средство для получения доступа к целевой системе, принудительного прекращения связи или доставки вредоносной полезной нагрузки.
Меры по предотвращению атаки прогнозирования последовательности TCP
В ответ на собственные наблюдения Инженерная группа Интернета (IETF) в 2012 году выпустила обновленный стандарт (RFC 6528), в котором изложен улучшенный алгоритм генерации начальных порядковых номеров для TCP-коммуникаций. Он разработан для повышения устойчивости генерации порядковых номеров к прогнозирующей аналитике и мониторингу, которые позволяли кибер-злоумышленникам такой легкий доступ к порядковым номерам при старом режиме.
На уровне предприятия производители операционных систем отреагировали на угрозу, введя новые и более непредсказуемые методы генерации порядковых номеров — шаг, который имел лишь частичный успех.
Более эффективной стратегией для организаций и сетевых администраторов было блокирование пакетов с маршрутизацией от источника и пакетов данных с адресами внутри их собственных сетей. Службы, которые полагаются на аутентификацию на основе IP, в идеале должны полностью разорвать соединение, обнаружив, что присутствуют любые параметры маршрутизации от источника.
Сводка
Название статьи
Атака с предсказанием последовательности TCP | Как защитить передачу данных
Описание
Хакеры перехватывают соединения, перехватывают потоки данных для извлечения ценных информационных активов, откачивают цифровые финансовые данные или вставляют вредоносный контент.
Автор
Финджан
Имя издателя
Finjan
Логотип издателя
DNS-over-TLS | Публичный DNS | Разработчики Google
Введение
Традиционные запросы и ответы DNS отправляются через UDP или TCP без шифрование.Это уязвимо для подслушивания и спуфинга. (включая фильтрацию Интернета на основе DNS). Ответы рекурсивных преобразователей клиентам наиболее уязвимы для нежелательные или злонамеренные изменения, при обмене данными между рекурсивными преобразователями и авторитетные серверы имен часто включают дополнительная защита.
Для решения этих проблем Google Public DNS предлагает разрешение DNS через TCP-соединения с шифрованием TLS в соответствии с RFC 7858. DNS-over-TLS улучшает конфиденциальность и безопасность между клиентами и преобразователями.Эта дополняет DNSSEC и защищает проверенные DNSSEC результаты от изменений или спуфинг на пути к клиенту.
Как это работает
Примечание: В этом разделе дается обзор работы DNS-over-TLS при разговоре с преобразователь Google Public DNS (с именем dns.google
). Если ты
заинтересованы в более подробной информации, пожалуйста, прочтите RFC
Спецификация для DNS через безопасность транспортного уровня
и профили использования для DNS через TLS и DNS через DTLS.Клиентская система может использовать DNS-over-TLS с одним из двух профилей: строго или оппортунистическая конфиденциальность.Благодаря строгому профилю конфиденциальности пользователь настраивает имя DNS-сервера (имя домена аутентификации в RFC 8310) для службы DNS-over-TLS, и клиент должен иметь возможность создавать безопасный TLS подключение по порту 853 к DNS серверу. Неспособность установить безопасный подключение является серьезной ошибкой и приведет к отключению службы DNS для клиента.
При использовании гибкого профиля конфиденциальности IP-адрес DNS-сервера может быть настраивается непосредственно пользователем или получено из локальной сети (с использованием DHCP или каким-то другим способом).Клиентский распознаватель пытается установить безопасный подключение через порт 853 к указанному DNS-серверу. Если безопасное соединение установлено, это обеспечивает конфиденциальность запросов пользователя от пассивных наблюдателей. на пути. Поскольку клиент не проверяет подлинность сервера, он не защищен от активного злоумышленника. Если клиент не может установить безопасное соединение на порт 853, он возвращается к связь с DNS-сервером через стандартный DNS-порт 53 через UDP или TCP без какой-либо безопасности или конфиденциальности.Использование Opportunistic Privacy предназначено для поддерживать постепенное развертывание повышенной конфиденциальности с целью повсеместного распространения принятие строгого профиля конфиденциальности.
При использовании строгого профиля конфиденциальности преобразователи заглушек устанавливают DNS-over-TLS. соединение со следующими шагами.
- Резолвер заглушки настроен с именем резолвера DNS-over-TLS
dns.google
. - Резолвер заглушки получает IP-адрес (а) для
dns.google
, используя локальный Преобразователь DNS. - Резолвер-заглушка устанавливает TCP-соединение с портом 853 на том, Айпи адрес.
- Резолвер заглушки инициирует квитирование TLS с преобразователем публичных DNS Google.
- Общедоступный DNS-сервер Google возвращает свой сертификат TLS вместе с полным цепочка сертификатов TLS до доверенного корневого сертификата.
- Резолвер-заглушка проверяет идентичность сервера на основе сертификатов.
представлены.
- Если личность не может быть подтверждена, разрешение имени DNS не выполняется и преобразователь заглушки возвращает ошибку.
- После того, как соединение TLS установлено, резолвер-заглушка имеет безопасную связь путь между публичным DNS-сервером Google.
- Теперь резолвер-заглушка может отправлять DNS-запросы и получать ответы через подключение.
При использовании гибкого профиля конфиденциальности клиент сначала пытается создать безопасное соединение TLS с сервером. Это делается аналогично описанному выше с помощью одно важное отличие — клиент не выполняет проверку сертификата.Это означает, что подлинности сервера нельзя доверять. Если соединение TLS включено порт 853 на сервер не может быть установлен, преобразователь заглушки возвращается к разговаривает с DNS-сервером на 53-м порту.
Примечание: Для предотвращения атак типа «отказ в обслуживании» и исчерпания ресурсов на сервер, Google Public DNS может закрыть соединения DNS-over-TLS, которые были простаивающими слишком долго или когда по соединению было получено большое количество запросов. В следующий раз, когда клиенту потребуется выполнить DNS-запросы, преобразователь заглушки будет повторите шаги, указанные выше, чтобы восстановить соединение с Google Public DNS. резольвер.Конфиденциальность
Наша политика конфиденциальности распространяется на службу DNS-over-TLS.
27.06.2019 мы повторно включили клиентскую подсеть EDNS (ECS) для службы DNS-over-TLS. ECS был отключен при запуске сервиса.
Поддержка стандартов
Google Public DNS реализует DNS-over-TLS на основе RFC 7858. Кроме того, мы поддерживаем следующие рекомендации для обеспечения высокого качества и служба DNS с малой задержкой.
Начните использовать
См. Инструкции по настройке на устройство с Android 9 (Pie) или выше.
DNS-over-TLS также поддерживается для IPv6-only Служба Google Public DNS64. Обратите внимание, что настройка DNS64 для мобильное устройство, которое будет подключаться к нескольким сетям, не рекомендуется, так как DNS64 работает только при наличии IPv6.
.