Сколько записей входит в птс: Сколько мест в ПТС автомобиля, где посмотреть количество, что делать если место закончилось - Дом-Паркинг

Содержание

Сколько владельцев можно вписать в ПТС?

Паспорт транспортного средства (ПТС) содержит подробные сведения о его технических характеристиках и владельце. Без этого документа транспорт не может быть зарегистрирован и допущен к эксплуатации. Если происходит изменение характеристик автомобиля, таких как цвет или конструкция машины, либо меняется владелец, эти сведения необходимо отразить в ПТС.

Уважаемый читатель! Статья описывает наиболее частые юридические проблемы и способы их решения. Если Вы хотите узнать, как решить именно Вашу проблему — обращайтесь за бесплатной помощью к консультанту:

Москва, Московская область: +7 (499) 288-72-46 СПб, Ленинградская область: +7 (812) 317-60-18 Регионы, Федеральный номер: +8 (800) 500-27-29 доб. 859

КРУГЛОСУТОЧНО, БЕСПЛАТНО, БЫСТРО

При продаже или дарении машины информацию о новом собственнике вносят в ПТС после того, как подписан договор.

Договор оформляется в простой письменной форме, нотариально заверять его не нужно. Для его составления можно воспользоваться услугами юриста, в стоимость которых входит и заполнение ПТС. Поскольку паспорт является правоустанавливающим документом, можно внести в договор условие о передаче ПТС одновременно с автомобилем.

Сколько владельцев можно вписать в ПТС?

Вписать в ПТС можно не более 6 владельцев. Но даже если места в паспорте больше нет, это не значит, что продать машину нельзя. Как любой иной документ, ПТС можно заменить, имея для этого достаточные основания.

Как вписать в ПТС нового владельца?

Правила заполнения ПТС установлены Приказом МВД № 496. На основании этого документа после продажи автомашины нужно вписать в ПТС данные нового владельца. Заполняют по правилам следующие строки:

наименование собственника — указывают ФИО нового владельца;
адрес – место его регистрации;
дата продажи или дарения транспортного средства;
документ на право собственности – вписывают реквизиты договора купли-продажи или дарения.

Эти данные обычно заполняет новый хозяин машины. Также в документе должны быть подписи прежнего и нынешнего собственников. Если автомобиль продан организации, то можно заверить данные печатью.

Важно: продавцу следует сделать копию ПТС, заполненного в момент продажи, и хранить ее вместе с договором купли-продажи на случай различных спорных ситуаций, которые могут возникнуть.

Снимать автомашину с учета в Госавтоинспекции прежний собственник не обязан. А вот новый владелец должен подать заявление об изменении регистрационных данных машины в срок до 10 суток с момента подписания договора купли-продажи. Если он в установленный отрезок времени автомобиль на свое имя не зарегистрирует, а пользоваться им начнет, то прежнему хозяину могут приходить уведомления о штрафах, оформленных в результате видеофиксации. Кроме того, последний обязан будет платить транспортный налог до тех пор, пока машина числится за ним. В этом случае ему следует обратиться в ГИБДД с заявлением о прекращении регистрации автомобиля.

Совет: если перерегистрировать транспортное средство в день продажи, то прежнему собственнику можно избежать дополнительных хлопот.

Закончилось место в ПТС — как вписать нового владельца?

Если автомобиль продавался несколько раз, то новому владельцу полезно будет знать, как поступить в ситуации, когда в ПТС закончилось место и вписать нового хозяина при дальнейшей продаже уже некуда. Решить этот вопрос достаточно легко. Можно заменить ПТС при оформлении регистрации автомашины. Новый владелец автомобиля предъявляет в Госавтоинспекции договор купли-продажи, квитанцию об оплате госпошлины за замену паспорта и сдает закончившийся ПТС. В выданном ему новом паспорте он будет записан первым собственником. Обратиться с заявлением о замене ПТС может и старый владелец.

Важно: отказать в регистрации по причине заполненного ПТС инспектор не имеет права, так же как и требовать, чтобы ПТС заменил прежний владелец.

Не следует путать новый паспорт с дубликатом, который выдается хозяину машины при краже или потере ПТС. Если при продаже продавец предъявляет дубликат паспорта, покупателю неплохо бы выяснить, в связи с какими обстоятельствами он выдан. Хотя законодательство не запрещает заключать договор купли-продажи по дубликату, покупателю лучше удостовериться в добросовестности продавца и проверить ПТС.

Например, автомобиль может находиться в залоге, владелец заявляет об утере ПТС, получает дубликат и продает машину. Владелец залога может потребовать признать сделку недействительной. Хотя суды в таких случаях чаще всего и встают на сторону покупателя, считая его добросовестным приобретателем, но времени и нервов можно потратить немало.

Возможно, при эксплуатации машины возникают проблемы, из-за чего владельцы спешат поскорее от нее избавиться. Поэтому при покупке стоит внимательно изучить эту информацию и только после этого принимать решение о заключении сделки.

КРУГЛОСУТОЧНО, БЕСПЛАТНО, БЫСТРО

Сохраните статью в 2 клика:

Ответ на Ваш вопрос, возможно, находится здесь

какое количество владельцев по ПТС допустимо?

Москва, ул. Перерва, д. 21	МО ГИБДД ТНРЭР № 4	Круглосуточно	+7 (495) 349-05-41
Москва, ул. Вагоноремонтная, д. 27	МО ГИБДД ТНРЭР № 1	9.00 — 18.00 (пн. — чт.) 9.00 — 17.00 (пт.) Сб. и вс. — выходной	+7 (495) 484-93-20
Москва, Волховский переулок, д.16/20, стр.3	МО ГИБДД ТНРЭР № 1	8.00 — 20.00 (вт.) 8.00 — 18.00 (ср. — пт.) 8.00 — 17.00 (сб.) Пн. и вс. — выходной	+7 (499) 261-10-95
Москва, ул. Верхняя Красносельская, д.15 А	МО ГИБДД ТНРЭР № 1	8.00 — 20.00 (вт.) 8.00 — 18.00 (ср. — пт.) 8.00 — 17.00 (сб.) Пн. и вс. — выходной	+7 (499) 264-32-53
Москва, Посланников переулок, д. 20	МО ГИБДД ТНРЭР № 1	8.00 — 20.00 (вт.) 8.00 — 18.00 (ср. — пт.) 8.00 — 17.00 (сб.) Пн. и вс. — выходной	+7 (499) 265-11-36
Москва, Сигнальный проезд, д. 9	МО ГИБДД ТНРЭР № 3	8.00 — 20.00 (ежедневно)	+7 (499) 903-69-80 +7 (499) 903-62-54
Москва, проспект Мира, д. 207, кор. 1	МО ГИБДД ТНРЭР № 3	8. 00 — 17.00 (вт. — сб.) Пн. и вс. — выходной	+7 (499) 187-17-57
Москва, ул. Юности, д. 3	МО ГИБДД ТНРЭР № 3	8.00 — 20.00 (вт.) 8.00 — 18.00 (ср. — пт.) 8.00 — 17.00 (сб.) Пн. и вс. 9.00 — 18.00 (только через госуслуги)	+7 (495) 375-16-11
Москва, ул. 50-летия Октября, д. 6, кор. 1	МО ГИБДД ТНРЭР № 5	8.00 — 20.00 (ежедневно) Вс. только через госуслуги	+7 (495) 439-16-24
Москва, Хорошевское шоссе, д. 40	МО ГИБДД ТНРЭР № 2	8.00 — 20.00 (вт.) 8.00 — 18.00 (ср. — пт.) 8.00 — 17.00 (сб.) Пн. и вс. — выходной	+7 (495) 940-11-19
Москва, ул. Твардовского, д. 8, кор. 5	МО ГИБДД ТНРЭР № 2	Для юридических лиц 9.00 — 18.00 (пн. — чт.) 9.00 — 17.00 (пт.) Сб. и вс. — выходной Для физических лиц Круглосуточно (20.00 — 8.00 только через госуслуги)	+7 (499) 740-14-15
Москва, ул. Нагатинская, д. 2, стр. 3	МО ГИБДД ТНРЭР № 4	8. 00 — 20.00 (вт.) 8.00 — 18.00 (ср. — пт.) 8.00 — 17.00 (сб.) Пн. 8.00 — 18.00 только через госуслуги Вс. — выходной	+7 (499) 782-24-10
Москва, ул. Академика Глушко, д. 13	МО ГИБДД ТНРЭР № 5	8.00 — 20.00 (ежедневно)	+7 (495) 711-81-03
Москва, ул. Лобненская, д. 20	МО ГИБДД ТНРЭР № 1	8.00 — 20.00 (ежедневно)	+7 (495) 485-41-06

Сколько записей входит в птс

Сколько владельцев можно вписать в ПТС?

КРУГЛОСУТОЧНО, БЕСПЛАТНО, БЫСТРО

При продаже или дарении машины информацию о новом собственнике вносят в ПТС после того, как подписан договор. Договор оформляется в простой письменной форме, нотариально заверять его не нужно. Для его составления можно воспользоваться услугами юриста, в стоимость которых входит и заполнение ПТС. Поскольку паспорт является правоустанавливающим документом, можно внести в договор условие о передаче ПТС одновременно с автомобилем.

Сколько владельцев можно вписать в ПТС?

Как вписать в ПТС нового владельца?

наименование собственника — указывают ФИО нового владельца;
адрес – место его регистрации;
дата продажи или дарения транспортного средства;
документ на право собственности – вписывают реквизиты договора купли-продажи или дарения.

Важно: продавцу следует сделать копию ПТС, заполненного в момент продажи, и хранить ее вместе с договором купли-продажи на случай различных спорных ситуаций, которые могут возникнуть.

Совет: если перерегистрировать транспортное средство в день продажи, то прежнему собственнику можно избежать дополнительных хлопот.

Закончилось место в ПТС — как вписать нового владельца?

Важно: отказать в регистрации по причине заполненного ПТС инспектор не имеет права, так же как и требовать, чтобы ПТС заменил прежний владелец.

Сведения обо всех хозяевах автомобиля, которые отражены в ПТС, могут быть полезны лицу, желающему приобрести машину. Если автомобиль часто переходит из одних рук в другие, есть повод задуматься, почему это происходит и стоит ли его покупать. Возможно, при эксплуатации машины возникают проблемы, из-за чего владельцы спешат поскорее от нее избавиться. Поэтому при покупке стоит внимательно изучить эту информацию и только после этого принимать решение о заключении сделки.

КРУГЛОСУТОЧНО, БЕСПЛАТНО, БЫСТРО

Сохраните статью в 2 клика:

Ответ на Ваш вопрос, возможно, находится здесь

passus.ru

Сколько мест для владельцем минимум бывает в ПТС?

обманывают, 6 по моему. а дубликат делают когда место для новых владельцев заканчивается или птс потерял

6 мест для записи в ПТС. Первое как правило минусуем, т. к. это либо представительство компании, либо автосалон или ИПшник или частник который машину ввез в страну.

в ПТС 6 граф для записи собственника. но бывает и так, что автосалоны перепродают друг другу новую машину несколько раз. и когда абсолютно новую машину покупает человек, его вписывают в оригинал ПТС последним. а в ПТС места уже нет

touch.otvet.mail.ru

«На что обращать внимание в ПТС? » – Яндекс.Кью

1. Убедитесь, что продавец — хозяин автомобиля. Он должен быть вписан в ПТС, а машина — стоять на учёте. Для этого попросите у продавца паспорт и сравните данные с теми, что указаны в последнем поле с владельцами.

2. Сопоставьте VIN-код автомобиля с указанным в документе, чтобы убедиться, что ПТС именно от этой машины. Перед тем как ехать на осмотр, выясните, где у выбранной модели находится VIN-код, чтобы не искать его на месте. Чаще всего он находится на стойке водительской двери, под лобовым стеклом, на моторном щите, на чашке или под пассажирским сиденьем.

3. Проверьте корректность характеристик, указанных в объявлении. Нередко продавцы намеренно или случайно указывают неправильные данные — год, объём двигателя, мощность и другие параметры.

4. Проверьте, что перед вами — оригинал ПТС или его дубликат. Для этого посмотрите пункт № 23 «Наименование организации, выдавшей паспорт» внизу первой страницы: оригинал выдаётся заводом-изготовителем или таможней, а дубликат — всегда ГИБДД. Изготовитель выдаёт ПТС в том случае, если автомобиль собран в России. Таможня — в том случае, если машина ввезена из-за границы.

Дубликат ПТС сопровождается особой отметкой и — в редких случаях — печатью на первой странице. В особой отметке обращайте внимание на дату выдачи предыдущего документа, она должна совпадать с годом автомобиля, иначе перед вами дубликат дубликата. Есть исключения в виде подержанных автомобилей, ввезённых из-за границы. В этом случае дату выдачи предыдущего документа нужно сравнить с датой ввоза.

5. Информация о владельцах. Сколько их было, как долго они владели машиной, ставилась ли машина на учёт и в каких городах. На этом этапе часто возникают расхождения с «легендой» продавца.

6. Обратите внимание на особые отметки, которые располагаются в левом столбце каждой страницы. Их ставят в ГИБДД или на таможне, и каждая будет сопровождаться подписью и печатью. Никакого единого реестра таких отметок нет: вписывается то, что органы посчитают нужным. https://uchebnik.avto.ru/check-pts/

yandex.ru

сколько максимум хозяев может быть в птс автомобиля???

Сколько угодно. Только при выдаче дубликата ПТС в случае, если места не хватает, обязательно указывается номер предыдущего.

хоть скока, закончится место поменяют

В стандартный бланк ПТС вмещается 5 хозяев: 1 на первой станичке и по 2 на 2-й и 3-й. Ой кажется есть ещё и 4-я страничка.

Смотря какие отметки были, и сколько. До 7-ми. При отсутствии места автоматически выдают новый птс, при регистрации нового владельца.

бесконечно много, замена птс 600р

Пока бумага не кончится. Как говорится, столько, сколько нужно.

вопросы возникают сразу . типо машина в росии с 2005 года а по 2му ПТС хозяин с 2010. проблемно продать.

touch.otvet.mail.ru

«На что обращать внимание в ПТС? » – Яндекс.Знатоки

yandex.ru

«Что делать, если закончилось место в ПТС?» – Яндекс.Кью

Для того чтобы получить дубликат ПТС, выдаваемый в качестве замены старого паспорта, водителю необходимо обратиться в регистрирующий орган со следующими документами:

Паспорт гражданина, который заявляет требование о необходимости замены паспорта транспортного средства. В качестве заявителя, согласно Положению о ПТС, может выступать собственник или владелец автомобиля.

Заявление, типовой бланк которого предоставляется гражданам дежурными должностными лицами. Заявление заполняется в единственном экземпляре, оно должно содержать в себе просьбу гражданина о замене паспорта.

Бумага не должна содержать помарок, зачеркиваний, исправлений.Не допускается наличие лишних запятых, букв, цифр или каких-либо иных обозначений. Если гражданин, который явился в орган для смены ПТС, не уверен, что сможет правильно заполнить заявление, то его может самостоятельно оформить специалист, работающий в пункте регистрации, за отдельную плату.

Старый ПТС, в котором заполнены все пустые строки, необходимо сдать в орган ГИБДД. Должностное лицо, принявшее документ, требующий замены, осматривает его и сверяет данные с электронной базой. Сведения об автомобиле, зафиксированные в паспорте, должны строго соответствовать регистрационным данным транспортного средства.

Особое внимание при замене уделяется информации о цвете, номере кузова, номере двигателя, дате изготовления автомобиля. Должностное лицо сверяет данные, зафиксированные в особых отметках паспорта. Эта процедура необходима для идентификации транспорта и подтверждения подлинности предоставляемого паспорта.

После того, как все данные сверены и подтверждены, уполномоченный орган должен уничтожить старый паспорт транспортного средства.

Квитанция, подтверждающая оплату государственной пошлины.

Полис ОСАГО, поскольку автомобиль не может быть постановлен на счет до тех пор, пока его собственник не оформит страхование гражданской ответственности. Для того чтобы лицо получило страховой полис, оно должно заблаговременно позаботиться о наличии технического осмотра автомобиля, который производится органами ГИБДД.

Документ, удостоверяющий право собственности на автотранспортное средство. В качестве правоустанавливающего документа может выступать договор купли-продажи машины, который обязательно должен содержать идентификационные данные об автомобиле, полные сведения о продавце и покупателе, а также их личные подписи.

Обязательным элементом договора является цена предмета договора. Ошибки, которые были обнаружены должностными лицами регистрирующего органа в документе, могут вызвать сомнения в подлинности предоставленного договора.

yandex.ru

Закончилось место в ПТС, некуда вписать нового владельца. Что делать? — DRIVE2

В «Комитет по защите прав автовладельцев» обратился жителm г. Екатеринбург с просьбой оказать ему содействие в восстановлении нарушенных прав при регистрации ТС.

«Обратился водитель. Купил машину по ДКП (договор купли-продажи), а в ПТС кончилось место, и он не может себя вписать, потому что некуда. В ГИБДД обращался, ему отказывали даже сверку номеров делать, говорили, что собственник по ПТС должен это делать. И еще сказали, что предыдущий собственник должен получить новый ПТС, и потом уже вписать текущего собственника в ПТС, и текущий сможет поставить машину на учет. Во как. Эти требования полная чушь. Регистрация автомобилей производиться с целью их учета и допуска к дорожному движению. Регистрация ТС не может влиять на право собственности, » — рассказал председатель КЗПА Кирилл Форманчук.

Отсутствие в ПТС свободных граф для указания нового собственника, не может порождать для собственника негативные последствия, поскольку регистрация транспортного средства является лишь следствием сделки, а не основанием возникновения гражданских прав и обязанностей.

В соответствии с пунктами 1 и 2 статьи 209 Гражданского кодекса Российской Федерации собственнику принадлежат права владения, пользования и распоряжения своим имуществом. Собственник вправе по своему усмотрению совершать в отношении принадлежащего ему имущества любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе отчуждать свое имущество в собственность другим лицам, передавать им, оставаясь собственником, права владения, пользования и распоряжения имуществом, отдавать имущество в залог и обременять его другими способами, распоряжаться им иным образом.

Согласно пункту 2 статьи 1 названного Кодекса граждане (физические лица) и юридические лица приобретают и осуществляют свои гражданские права своей волей и в своем интересе. Они свободны в установлении своих прав и обязанностей на основе договора и в определении любых не противоречащих законодательству условий договора.

Гражданские права могут быть ограничены на основании федерального закона и только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Гражданский кодекс Российской Федерации и другие федеральные законы не содержат норм, ограничивающих правомочия собственника по распоряжению транспортным средством в случаях, когда он не указан в ПТС.

Следовательно, при отчуждении транспортных средств, которые по закону не относятся к недвижимому имуществу, действует общее правило, закрепленное в пункте 1 статьи 223 Гражданского кодекса Российской Федерации: право собственности у приобретателя вещи по договору возникает с момента ее передачи, если иное не предусмотрено законом или договором.

Как следует из содержания части 3 статьи 15 Закона «О безопасности дорожного движения» регистрация транспортных средств осуществляется для допуска транспортных средств к участию в дорожном движении.

Сделки с транспортными средствами не подлежат регистрации в органах государственной власти. Регистрация ТС в органах ГИБДД не устанавливает гражданских прав и обязанностей, а является допуском ТС к участию в дорожном движении (ст.15 ФЗ «О безопасности дорожного движения»). Таким образом, регистрация транспортного средства в ГИБДД никак не влияет на переход права собственности на автомобиль.

В соответствии с приказом МВД России от 24 ноября 2008 г. N 1001 «О порядке регистрации транспортных средств» изменение регистрационных данных о собственнике по совершенным сделкам, направленным на отчуждение в отношении зарегистрированных транспортных средств, осуществляется на основании заявления нового собственника. Взамен утраченных или непригодных для пользования регистрационных документов, паспортов транспортных средств на зарегистрированные в Госавтоинспекции транспортные средства и иных выдаваемых регистрационными подразделениями документов выдаются новые документы.

ПТС, в котором заполнены все графы является непригодным для дальнейшего использования и при смене собственника и подлежит замене.

Участие предыдущего собственника при осуществлении регистрационных действий не требуется.

Регистрационные органы ГИБДД обязаны выдать новый ПТС при предъявлении собственником документа подтверждающего право собственности (договор купли-продажи, дарения, документы о наследстве и тд).

www.drive2.ru

Как узнать хозяев по номеру и сколько владельцев можно вписать в ПТС?

Что такое ПТС индивидуального владельца?

Паспортом транспортного средства называется официальный документ, в котором содержатся технические характеристики автомобиля или иной единицы автомототранспорта. Дополнительно в бланке указывается информация о хозяевах средства передвижения, плюс информация о постановке авто на учет в ГИБДД и снятия с регистрации.

Сам бланк изготавливается «Гознаком» на специальной синей бумаге и снабжается несколькими уровнями защиты, к которым относятся:

голограмма, определяющаяся на свету;
водяные знаки;
объемные буквы;
микротекст, доступный для прочтения при увеличении.

https://www.youtube.com/watch?v=ytcreatorsru

Благодаря таким особым деталям можно отличить оригинальные документы от фальсифицированных. Это позволяет в большей степени защитить потенциальных покупателей автомототранспорта от действий мошенников. Когда паспорт транспортного средства вручается собственнику, на бланке проставляется серия и номер.

Внимание! Если планируется приобретение транспортного средства с рук, особое внимание при проверке документации необходимо уделить именно наличию всех защитных элементов паспорта ТС.

В противном случае можно приобрести автомобиль, находящийся в залоге у банка, либо имеющий криминальную историю.ПТС является основным документом автомобиля, благодаря которому с ТС можно совершать различные регистрационные действия. Несмотря на то, что большую часть времени он не используется, его наличие обязательно. Это объясняется следующими ситуациями, при которых бумага необходима:

Доказательство права собственности на машину.
Заключение юридических сделок и соглашений. Например, оформление договоров купли-продажи, дарственных. Либо утилизация транспортного средства.
Постановка средства передвижения на учет в ГИБДД с выдачей номеров.

На данный момент паспорт транспортного средства не входит в список бумаг, которые обязательно должны быть в наличии у автовладельца при проверке документов сотрудником госавтоинспекции.

Что делать, если место закончилось

Паспорт транспортного средства содержит 6 мест для фиксирования собственников авто. На титульной странице находятся 2 графы, ещё 4 расположены на внутреннем развороте. Данные первого владельца записаны в первой графе — эта часть всегда заполнена. Остальные места заполняются во время продажи или передачи машины другому человеку.

Если место для записи нового автовладельца закончилось, нужно обновить ПТС.

Фактически заявитель получает дубликат паспорта транспортного средства со всей информацией. Однако, в отличие от оригинала, в документе содержится информация только о последнем владельце, а остальные 5 граф будут пустыми. Данные о том, что это именно дубликат, а не оригинал, вписывают в раздел «Особые отметки».

Чтобы заменить ПТС на дубликат, нужно собрать перечень документов.

Важно!Если дубликат получает доверенное лицо, необходимо предоставить ещё и нотариально заверенную доверенность.

В бумажном дубликате ПТС нельзя увидеть всех предыдущих владельцев машины, однако эти данные можно проверить.

https://www.youtube.com/watch?v=ytpolicyandsafetyru

Есть 2 способа провести проверку:

написать заявление в ГИБДД с просьбой предоставить список предыдущих владельцев;
отправить запрос на сайте гибдд.рф.

Чтобы узнать, сколько раз машина переходила в новые руки, достаточно знать VIN-код и номер паспорта ТС. Имея на руках эти данные, автовладелец легко может узнать количество прежних собственников.

Итак, всего в ПТС есть 6 граф для записей владельцев. Если места уже не хватает, паспорт транспортного средства можно заменить как пришедший в негодность. Процедура замены простая и стоит недорого. Получив дубликат ПТС, собственник сможет без проблем продать машину, а новый владелец впишет в него свои данные.

Сколько человек можно вписать?

Права записи нового владельца авто в ПТС регулирует Положение о паспортах транспортных средств и паспортах шасси транспортных средств. Согласно пункту 21 Положения, вносить данные можно вручную. Записывать информацию нужно печатными буквами, обязательно разборчиво. Также можно использовать принтер либо другое печатающее устройство.

Важно!Лазерный принтер для записи данных в ПТС использовать нельзя.

Наименование собственника	ФИО или название юридического лица
Адрес	Место жительства нового владельца
Дата продажи или передачи	Число, месяц и год покупки либо получения авто
Документ на право собственности	Название документа, дата, номер (при наличии)
Подпись прежнего собственника	Подпись продавца
Подпись настоящего собственника	Подпись покупателя

В том случае, когда покупатель или продавец — юридическое лицо, а также ИП (индивидуальный предприниматель), необходимо заверить данные штампом, если он юридически зарегистрирован.

В бланке паспорта транспортного средства имеется 24 графы, куда вносятся все основные сведения об автомобиле:

идентификационные номера машины;
марка и модель;
год изготовления;
расцветка;
информация о двигателе и прочие нюансы.

Данные о каждом из хозяев транспортного средства заносятся в графу 20. В один паспорт средства передвижения вмещается не более 6 человек. Новые записи вносятся при переходе автомобиля от старого владельца к новому или же при смене паспортных данных настоящего владельца.

Поэтому, если место закончилось, потребуется обратиться в отделение ГИБДД для выдачи нового паспорта транспортного средства. Предыдущий будет утилизирован, а в новом можно будет вписывать следующую информацию.

Как мы уже упоминали, в паспорте автомобиля или прочего транспортного средства имеются шесть «окошек», в которые заносятся сведения о владельцах железного коня. Количество владельцев по ПТС позволяет определить, у скольких человек рассматриваемый объект движимого имущества находился в собственности.

Упомянутая информация может оказаться очень полезной при приобретении подержанного автомобиля. Чем больше владельцев вписано в ПТС, тем больше вероятности, что к машине нужно относиться более внимательно и настороженно. Особенно, если смена собственников происходила с периодичностью в несколько месяцев.

Чтобы определить по паспорту транспортного средства количество его прошлых владельцев, потребуется просто посмотреть на его оборотную сторону. Если не все поля, предназначенные для отражения данных собственников, являются заполненными, значит можно вносить нового владельца в бланк. В противном случае старому хозяину потребуется предварительно заказать в ГИБДД дубликат ПТС, после чего проводить отчуждение автомобиля.

Не лишним будет обратить внимание на то, что именно предоставляется действующим хозяином единицы автотранспорта для рассмотрения — оригинал паспорта ТС или дубликат? И по каким причинам была выдана замена документа. Информацию об этом можно будет найти в особых отметках. В этой части бланка помимо пометки «Дубликат» будет содержаться информация о ранее выданных ПТС.

Справка! Если дубликат ПТС был выдан из-за того, что в первом бланке закончилось место, в новом документе будет стоять пометка о выдаче взамен утилизированного.

Если же паспорт выдавался взамен утерянного, потребуется обратиться в отделение ГИБДД для получения информации о владельцах ТС.

Сколько мест для записи владельцев в ПТС автомобиля

https://www.youtube.com/watch?v=ytadvertiseru

С учетом основной схемы, по которой вносятся записи в бланк паспорта транспортного средства, текущим владельцем автомобиля или иной единицы автомототранспорта является собственник, отмеченный последним в списке. Информацию о действующем собственнике можно узнать в одном из полей, присутствующих на оборотной стороне паспорта ТС или его дубликата. Оттуда можно почерпнуть следующие сведения:

ФИО текущего владельца автомобиля;
актуальный адрес регистрации действующего собственника;
дата передачи или продажи транспортного средства от старого владельца новому;
реквизиты официальной документации, подтверждающей право собственности на автомототранспорт;
подписи старого и новых собственников;
сведения об СТС, когда и кем выдано, серия и номер.

С какими сложностями можно столкнуться

https://www.youtube.com/watch?v=upload

При замене паспорта транспортного средства владельцы часто сталкиваются с рядом трудностей при продаже. Многие покупатели с недоверием относятся к дубликату документа, поскольку мошенники действительно часто прибегают к подобному методу. Если авто было угнано или находится под банковским залогом, недобросовестные продавцы оформляют дубликат и пытаются продать машину доверчивому покупателю. Чтобы избежать проблем при продаже машины, предложите клиенту лично проверить данные о предыдущих владельцах.

Рекомендуем для прочтения:

« Предыдущая запись Следующая запись »

avtokraft18.ru

В России ввели электронные ПТС: как это работает и кому нужно менять документы на авто

В России перестали выдавать бумажные паспорта транспортных средств — в стране ввели электронный учёт автомобилей. «Клопс» разбирался, как оформить ПТС и стоит ли менять документ тем, кто получил бумажную версию.

Что изменилось

Ввозимые из-за рубежа и новые машины со 2 ноября регистрируют в подразделениях Госавтоинспекции только на основании электронных паспортов транспортных средств.

Бумажный ПТС по-прежнему в силе

Бумажный ПТС никто не собирается объявлять вне закона. Те, кто ранее не оформлял электронную версию, продолжат использовать обычный документ, рассказали «Клопс» в ГИБДД.

Замена таких паспортов может быть осуществлена исключительно добровольно, на основании волеизъявления собственника транспортного средства”, — пояснили в Госавтоинспекции.

Что такое ЭПТС и зачем он нужен

Официально документ называется электронный паспорт транспортного средства (ЭПТС). Это запись в базе данных, которая имеет свой уникальный 15-значный номер. Здесь отражена информация о машине, о её настоящих и бывших владельцах , о прохождении техосмотра и о количестве страховых случаев. В документе будут также указываться всевозможные ограничения. В дальнейшем список данных планируют расширить.

Полная информация о транспортном средстве позволит сделать все операции с автомобилем максимально прозрачными. Автовладелец, кроме того, такой ПТС не потеряет, а мошенники не смогут его подделать или украсть.

Другой важный момент: в электронный паспорт можно вносить любое количество собственников, тогда как бумажный аналог приходится менять, если заканчиваются графы.

Кто получит доступ к базе данных

Доступ к электронному ПТС получат ГИБДД, страховые компании, официальные дилеры и банки. Каждая из структур сможет вносить изменения только в свой раздел.

Как происходит электронная регистрация

При покупке нового автомобиля электронный паспорт выдаст сразу дилер. Сотрудник ГИБДД использует данные для регистрации. При самостоятельном ввозе автомобиля из-за границы оформить документ можно в уполномоченных организациях.

Как поставить автомобиль с электронным ПТС на учёт

Процедура постановки транспорта на учёт не изменилась. При обращении в страховую и ГИБДД достаточно указать только номер электронного паспорта.

Нужно ли распечатывать ЭПТС на бумаге

Автомобилист может получить выписку, актуальную на день обращения. Там содержится информация из электронной записи. Бумагу можно показывать при продаже, но документом она не считается.

Могут ли украсть машину, если случится утечка данных

Чтобы перерегистрировать транспорт, нужно предъявить его на осмотр в ГИБДД, говорит юрист общества защиты прав водителей Пётр Губенко.

Без этого мероприятия процедуру не выполнить. При желании зарегистрировать транспорт огульными путями у злоумышленников возникнут сложности», — говорит Губенко.

Если машина ввезена из Казахстана, Белоруссии или Киргизии

Правило электронного ПТС распространяется на машины из стран Евразийского экономического союза. В соседних государствах до 2022 года оформить документ разрешено как в электронном, так и в бумажном виде. На ввозимые в Россию автомобили должны оформляться электронные паспорта.

Минусы нововведения

Со сложностями столкнутся автоперегонщики. Теперь нужно привезти машину из-за границы, получить паспорт через одну из частных лабораторий, и только после этого обратиться в таможню для уплаты пошлин и в ГИБДД для постановки на учёт.

В Калининградской области прошли времена массово завоза машин из Европы, поэтому это негативно на жителей региона никак не скажется», — комментирует автоэксперт Алексей Нестеров.

Для покупателей, приобретающих новые машины в салонах, сложностей не возникнет. калининградские автодилеры давно перешли на новую систему.

На вторичном рынке, возможно, будут проблемы: теперь никаких документов нет, сколько было владельцев, была ли машина в ДТП — простой человек не увидит, может быть, будут опасения у некоторых», — предполагает Нестеров.

Какие ещё нововведения ждут калининградских водителей с ноября, читайте здесь. Одно из важных изменений — возможность оформления ДТП через приложение.

Какие записи в ПТС машины должны насторожить нового владельца

Это документ большой важности, в содержание которой входит информация о всех владельцах машины, начиная с того момента, как он пересек границу страны, или машина была полностью собрана, и на нее получены документы.

Для того, чтобы у автомобиля с пробегом не было ПТС, требуются веские причины. Безопасным для нового владельца может быть только один вариант — паспорт транспортного средства был утрачен, а вместо него был выдан дубликат.

Все остальные случаи подразумевают наличие в будущем серьезных проблем, с которыми машину не следует приобретать.

Информация в паспорте транспортного средства

ПТС может быть оригинальным, и продублированным. Выдача оригинала осуществляется на предприятии, где машина была выпущена, или же на таможне, через которую машина была ввезена из другой страны.

Выдача дубликата ПТС может выполняться только по двум причинам: слишком большое количество владельцев, что привело к недостатку места для заполнения, или же утрата оригинального документа.

При этом, в таком документе на полях должна в обязательном порядке быть проставлена отметка о том, что выдача нового ПТС состоялась либо взамен утилизированного, как в первом случае, либо утраченного, как во втором.

Наиболее опасной ситуацией становится приобретение машины с ПТС, выданным по причине утери, в особенности, сравнительно новой. Дело в том, что имеется высокая вероятность того, что ПТС, на самом деле, не утерян, а находится в каком-то банке или ломбарде.

Если же он имеется в наличии, можно легко понять, сколько до этого у машины было владельцев, и на протяжении какого времени она находилась в их собственности. Несмотря на то, что сейчас всех владельцев можно отследить по базе данных ГАИ, там может не всегда отображаться реальное положение дел.

Там может быть отмечено только количество владельцев, поставивших машину на учет в ГИБДД. В реальности машина могла быть приобретена, использована на протяжении года, и продана другому владельцу без проведенной регистрации.

Может случиться и так, что свободное место в ПТС уже отсутствует, а по базе данных проходит еще один собственник. Причиной этому может стать нахождение машины в лизинге, или большое количество записей о смене владельцев, являющихся юридическими лицами.

Подозрительные моменты, на которые стоит обратить внимание покупателю

Будущего владельца должно насторожить то, что машина могла неоднократно менять владельца, к примеру, в Московской области, а после этого появиться где-нибудь в дальнем регионе, например, Тюмени. Наиболее часто такие действия проводят с битыми или украденными машинами для упрощения реализации.

Кроме того, в ПТС обязательно должны быть внесены следующие данные:

номер двигателя, совпадающий с тем, который указан непосредственно на блоке;
при наличии установленного газового оборудования, это также должно отражаться в ПТС;
не стоит приобретать машину, при отсутствии в паспорте свободных мест, так как в некоторых МРЭО могут заставить ехать к бывшему владельцу за дубликатом. Это может доставить неудобства, если машина была куплена в другом городе.

В любом случае, машину стоит полноценно проверить в ГИБДД, с проведением технического осмотра и сверки всех данных на табличках с документацией. Это обезопасит нового владельца от проблем в будущем.

Изменение данных собственника транспортного средства

Заявители вправе обжаловать в досудебном (внесудебном) порядке действия (бездействие) и (или) решения, принятые (осуществленные) в ходе предоставления государственной услуги должностными лицами регистрационных подразделений, в том числе в случаях:

нарушения срока регистрации заявления о предоставлении государственной услуги;
нарушения срока предоставления государственной услуги;
требования представления заявителем документов, не предусмотренных нормативными правовыми актами Российской Федерации для предоставления государственной услуги;
отказа в приеме документов, представление которых предусмотрено нормативными правовыми актами Российской Федерации для предоставления государственной услуги;
отказа в предоставлении государственной услуги, если основания отказа не предусмотрены федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;
требования о внесении заявителем при предоставлении государственной услуги платы, не предусмотренной нормативными правовыми актами Российской Федерации;
отказа регистрационного подразделения, предоставляющего государственную услугу, его должностных лиц в исправлении допущенных опечаток и ошибок в выданных в результате предоставления государственной услуги документах либо нарушение установленного срока таких исправлений;
нарушения срока или порядка выдачи документов по результатам предоставления государственной услуги;
приостановления предоставления государственной услуги;
требования у заявителя при предоставлении государственной услуги документов или информации, отсутствие и (или) недостоверность которых не указывались при первоначальном отказе в приеме документов, необходимых для предоставления государственной услуги, либо в предоставлении государственной услуги.

Жалоба на решения и действия (бездействие) должностного лица регистрационного подразделения, предоставляющего государственную услугу, подается в письменной форме, в том числе при личном приеме заявителя, или в электронном виде.

Жалоба рассматривается руководителем регистрационного подразделения, предоставляющего государственную услугу, порядок предоставления которой был нарушен вследствие решений и действий (бездействия) регистрационного подразделения либо его должностного лица.

В случае если обжалуются решения руководителя регистрационного подразделения, предоставляющего государственную услугу, жалоба подается в подразделение Госавтоинспекции на региональном или федеральном уровнях.

Жалобы на решения, принятые должностными лицами подразделения Госавтоинспекции на федеральном уровне, рассматриваются начальником подразделения Госавтоинспекции на федеральном уровне.

Жалобы на решения, принятые начальником (заместителем начальника) подразделения Госавтоинспекции на федеральном уровне, рассматриваются заместителем Министра внутренних дел Российской Федерации, ответственным за соответствующее направление деятельности, Министром внутренних дел Российской Федерации.

В регистрационном подразделении, предоставляющем государственную услугу, определяются уполномоченные на рассмотрение жалоб должностные лица, которые обеспечивают:

прием и рассмотрение жалоб в соответствии с требованиями законодательства Российской Федерации;
направление жалоб в уполномоченный на их рассмотрение орган в соответствии с пунктом 177 административного регламента.

Информирование заявителей о порядке обжалования решений и действий (бездействия) должностных лиц регистрационного подразделения обеспечивается посредством размещения информации на стендах в местах предоставления государственных услуг, на сайтах МВД России, на Едином портале.

Информирование заявителей о порядке обжалования решений и действий (бездействия) должностных лиц подразделения осуществляется, в том числе, по телефону либо при личном приеме.

Досудебное (внесудебное) обжалование решений и действий (бездействия) регистрационных подразделений, а также уполномоченных должностных лиц осуществляется в соответствии с:

Федеральным законом о предоставлении государственных услуг;
постановлением Правительства Российской Федерации от 16.08.2012. №840 «О порядке подачи и рассмотрения жалоб на решения и действия (бездействие) федеральных органов исполнительной власти и их должностных лиц, федеральных государственных служащих, должностных лиц государственных внебюджетных фондов Российской Федерации, государственных корпораций, наделенных в соответствии с федеральными законами полномочиями по предоставлению государственных услуг в установленной сфере деятельности, и их должностных лиц, организаций, предусмотренных частью 1.1 статьи 16 Федерального закона «Об организации предоставления государственных услуг», и их работников, а также многофункциональных центров предоставления государственных и муниципальных услуг и их работников»;
постановлением Правительства Российской Федерации от 20.11.2012 №1198 «О федеральной государственной информационной системе, обеспечивающей процесс досудебного (внесудебного) обжалования решений и действий (бездействия), совершенных при предоставлении государственных и муниципальных услуг».

Информация, указанная в настоящем разделе, размещается на сайте МВД России и сайтах территориальных органов МВД России в сети «Интернет», на Едином портале и в Федеральном реестре.

Технология построения современных ПТС

Технология построения современных ПТС

Автор: Юрий Киринов

Вероятно, наиболее технически сложным комплексом телевизионного производства являются передвижные телевизионные станции (ПТС), и на это есть свои основания – многофункциональность, работа в экстремальных (погодных, технологических и, порой, организационных) условиях и практически всегда в «прямом» эфире. Все это предъявляет особые требования как к составу оборудования ПТС, так и к технологическим и системным решениям закладываемых при их проектировании.

Выбор видеоформата и концепции построения ПТС

Несмотря на то, что телевизионное вещание в настоящее время в основном осуществляется в формате стандартной четкости (SD – Standard Definition), форматы ТВЧ (HD – High Definition) все чаще используют для вещания различные спутниковые и кабельные каналы. Кроме того, для производства видеопродукции формат ТВЧ также является предпочтительным. Исходя из этого, оптимальным является закладывать в проектируемые ПТС возможность формирования программ, как стандартной, так и высокой четкости.

Безусловно, оптимальной технологией создания телевизионной продукции является формирование программ в формате HD с последующим преобразованием в формат SD для обеспечения телевизионного вещания. При этом записанные программы стандарта HD могут использоваться для последующего монтажа и архивирования. Если при формировании программ предполагается их использование как источников сигналов обоих форматов (SD и HD), то возможно несколько решений. Одно из них предполагает организацию параллельного видеотракта для производства программ в формате SD. Причем основой тракта может служить переключаемый видеомикшер HD/SD. Современное телевизионное оборудование, как правило, обеспечивает поддержку обоих форматов, причем разница в стоимости оборудования стандартной четкости и ТВЧ не так уж и велика.

В другом случае для каждого из источников SD, набираемых в программу, используется конвертер с повышающим преобразованием. При достаточно большем количестве источников SD и, соответственно, преобразователей, стоимость последних может сравняться или даже превышать стоимость дополнительного видеомикшера HD/SD. Так же очевидно, что чередование в одном видеоряде программы фрагментов существенно отличающихся по качеству изображения понижает его восприятие.

Вероятно, более 80% всех внестудийных передач составляют трансляции спортивных соревнований, на втором месте идут различные концерты и шоу. Данные программы являются основными для ПТС, для эффективного использования которых необходимо иметь возможность обеспечить проведение трансляций.

Требования, предъявляемые к ПТС при съемках спортивных программ и концертов, имеют существенное различие, не столько по количеству телевизионных камер, сколько по количеству и типу одновременно формируемых программ, составу дополнительного оборудования и количеству подключаемых внешних линий.

Для организации трансляций спортивных мероприятий, в зависимости от их уровня и вида спорта, требуется от 8 до 20 телевизионных камер, а также от двух до шести, иногда более, источников внешних программных сигналов («миникамеры», «удочки», камеры с радиоканалом, специальные графические станции). Иногда, наряду с собственными телевизионными камерами в тракт ПТС включаются дополнительные камеры, размещенные на других машинах. Чем выше ранг соревнований, тем больше заказывается телевизионных камер. Так для трансляции футбольного матча национальных команд обычно используется от 12 до 16 ТВ-камер, международные встречи требуют уже 20-22 камеры, ну а финальные матчи, к примеру, Лиги чемпионов до 30 и более ТВ-камер.

Практически повсеместным требованием при проведении спортивных трансляций стало наличие на борту ПТС специализированных серверов видеоповторов. На практике это не всегда означает, что все ПТС для спорта должны иметь в составе оборудования полный комплект данных устройств, тем более что для трансляции различных соревнований требуется их разное количество. Но иметь возможность включить в тракт требуемое количество серверов и организовать рабочие места для их операторов является необходимым условием возможности использования ПТС для спортивных трансляций.

Для архивных записей транслируемых спортивных соревнований, обычно используются 2-3 видеомагнитофона и DVD-рекордера.

К особенностям «спортивных» ПТС относится и возможность формирования вторых программ, причем, в основном, предназначенных для разных потребителей.

Вторая программа может отличаться от основной графическим оформлением, комментаторскими каналами и содержанием в перерывах спортивных трансляций. При этом звуковое сопровождение может формироваться на одном микшере.

В отдельных случаях, когда спортивные соревнования происходят одновременно на различных площадках или снарядах, каждая из программ формируется своим набором телевизионных камер. При этом звук для одной из программ формируется непосредственно ПТС, а для формирования звукового сопровождения другой используются или ПЗС (передвижная звукозаписывающая станция) или отдельная «звуковая кабина».

Помимо формирования собственных программ ПТС при проведении спортивных трансляций обеспечивает «раздачу» различных телевизионных и звуковых сигналов широкому кругу потребителей.

Одним из отличий работы ПТС при проведении телевизионных трансляций концертных мероприятий является использование для формирования программ только собственных ТВ-камер. Единственными внешними источниками для ПТС являются сигналы «обратной» программы из телецентра и только в том случае, если ведется трансляция в «прямом» эфире.

В подавляющем большинстве случаев для съемок концертных программ редко требуется не более 8-14 телевизионных камер. Это связано как с очевидными трудностями размещения большего количества камер в ограниченном объеме концертного зала, так и с относительной статичностью (действие ограничивается сценой) самого мероприятия.

Безусловным стандартом записи концертных программ должен быть один из форматов HD как обеспечивающий наилучшие возможности для последующего монтажа и архивирования.

Характерной особенностью проведения концертных мероприятий является требование заказчика использовать для записи программ максимально возможное количество видеомагнитофонов. Иногда приходилось устанавливать дополнительные ВМ во вспомогательном автомобиле, так как в самой ПТС уже было размещено до 12 аппаратов. Дополнительные ВМ, не входящие в состав штатного оборудования, обычно размещаются в ПТС вместо серверов видеоповторов.

Формируемая вторая, а иногда и третья, программы используются или «под запись» или для формирования видеоряда для светодиодных панелей оформления сцены. Основой звуковой программы, как правило, является фонограмма, принимаемая от основного концертного микшера.

Еще одной особенностью работы на концертных программах является большое количество различных ассистентов, помощников режиссеров и продюсера, для которых требуется организовывать дополнительные рабочие места (обычно используются рабочие места операторов видеоповторов).

Компоновка ПТС

В зависимости от количества используемых телевизионных камер ПТС может монтироваться на базе микроавтобуса (как правило, не более 4-6 ТВ-камер), шасси полноразмерного грузового автомобиля (8-16 камер) или трейлера (20 и более телекамер). Для расширения рабочего пространства внутри ПТС в последних двух случаях применяются раздвижные борта, с одной или двух сторон. Возможны и другие варианты компоновки в зависимости от особенностей технического задания. Так, примером удачной компоновки могут служить ПТС созданные на базе двухуровнего автобуса Van Hool (ПТС серии OB13 – OB22, ОВ43) компании Alfacam.

Внутри ПТС разбита на несколько рабочих зон или отсеков, как правило, разделенных между собой сдвижными перегородками или дверьми – отсек видеорежиссера, отсек звукорежиссера, отсек операторов видеомагнитофонов и/или операторов видео-серверов повторов и инженерно-технический отсек. Во многих случаях некоторые отсеки объединяются между собой, например, очень часто операторы повторов располагаются в отсеке видеорежиссера, а контроль работы видеомагнитофонов организован в инженерном отсеке.

В ПТС смонтированных на базе микрофургонов или микроавтобусов из-за крайне ограниченного свободного места, разделение внутреннего пространства на рабочие зоны носит условный характер.

В зависимости от расположения рабочих мест и мониторного стеллажа внутри ПТС различают продольную компоновку, когда все рабочие места располагаются вдоль одного или обоих бортов ПТС, поперечную, соответственно, рабочие места располагаются перпендикулярно оси ПТС, а также комбинированную. Наибольшее пространство для отсека видеорежиссера (основного в ПТС) дает поперечная компоновка, но при этом один из отсеков, как правило, звукорежиссера, оказывается полностью изолированным от остальных, и доступ в него возможен только через «улицу». В любом случае выбор оптимальной компоновки осуществляется на этапе проектирования в зависимости от количества камерных каналов, требуемого количества рабочих мест и типа выбранного шасси.

Оборудование и организация рабочих мест

Отсек видеорежиссера

Практика показывает – сколько бы рабочих мест не было организованно в отсеке видеорежиссера – их всегда будет не хватать, особенно при съемках особо значимых мероприятий.

Классические рабочие места отсека видеорежиссера – это рабочее место продюсера, видеорежиссера, ассистента видеорежиссера, редакторов и оператора графической станции. Если ПТС предназначена для формирования более чем одной программы, то на каждую дополнительную программу необходимо предусмотреть одно-два рабочих места.

Минимальный набор отсека видеорежиссера включает в себя консоль, на которой располагаются основные органы управления и рабочие места, и стеллаж видеомониторов. Во многих современных ПТС в отсеке видеорежиссера размещены несколько консолей – для видеорежиссера, для ассистентов, редакторов или режиссера второй программы, для операторов повторов видеосюжетов или ВМ.

На консоли видеорежиссера размещаются панель управления видеомикшером, панели служебной связи, аварийная панель матричного коммутатора и выносные панели управления дополнительными выходами (AUX) видеомикшера, которые иногда используются для формирования второй программы. В общем случае для формирования второй программы предпочтительней использовать дополнительную панель управления видеомикшером, чем панель управления AUX, тем более что практически все современные модели микшеров имеют подобные опции. Часто для формирования второй программы используется отдельный видеомикшер со своей панелью управления.

Одним из важнейших элементов отсека видеорежиссера является организация мониторного стеллажа. В ПТС предыдущих поколений применялись отдельные видеомониторы для каждого из источников, что определяло максимальное количество используемых для формирования программ сигналов. В последнее время практически повсеместно в ПТС используются различные полиэкранные системы отображения (видеопроцессоры) что позволяет значительно увеличить число возможных источников в программе. Здесь можно выделить два направления.

В одном случае используется набор LCD-мониторов диагональю 20-24 дюйма, каждый из которых может отображать или полноразмерное изображение или четыре отдельных изображения. К преимуществам такого решения можно отнести возможность размещения мониторов на стеллаже с максимальным использованием рабочего пространства и обеспечения оптимального угла зрения. К недостаткам – относительно большое количество полиэкранных видеопроцессоров (как минимум один на каждую пару мониторов), фиксированный размер видеоизображений и время, необходимое для изменения конфигурации мониторного стеллажа.

Другое направление – отдельные прецизионные мониторы используются только для отображения “Программы” и “Предварительного набора”, а все остальные источники, так же при помощи видеопроцессоров, выводятся на LCD-панели с диагональю от 40 дюймов. При таком подходе существенно сокращается количество используемого оборудования и время необходимое для создания нужной конфигурации мониторного стеллажа (оба момента достаточно важны для ПТС), появляется возможность формировать любое (ограничивается размерностью применяемых видеопроцессоров) количество изображений требуемого размера на каждой из панелей. К недостаткам можно отнести то, что данное решение требует более тщательной проработки расположения LCD-панелей для обеспечения оптимального угла зрения и более сложной кинематике при использовании раздвижных бортов.

Иногда применяют и комбинированную схему, с использованием обоих решений.

Отсек звукорежиссера

В отсеке звукорежиссера фактически предусмотрено одно основное рабочее место – для звукорежиссера и, иногда, рабочее место ассистента или звукоинженера.

Очевидно, что основным рабочим инструментом является звуковой микшер.

В подавляющем большинстве ПТС для формирования звукового сопровождения использует цифровые звуковые микшеры фактически различных классов различающихся по архитектуре построения и количеству «линеек управления» (фейдеров).

В некоторых машинах предусматривается установка дополнительного звукового микшера, который может выполнять функции резерва или используется для формирования второй программы.

Помимо акустических систем и индикаторов уровня сигнала для контроля параметров стереофонического (или 5.1) звукового сопровождения практически во всех ПТС используются гониометры.

Для контроля видеоряда на рабочем месте звукорежиссера располагаются несколько видеомониторов, обычно от двух до четырех. Один, как правило, постоянно «заведен» на основную программу, остальные – наборные, «создаваемые» при помощи соответствующей панели управления видеоматрицей. Для связи с остальными участниками процесса рабочее место оборудовано панелью служебной связи (интерком).

Так же в отсеке звукорежиссера располагаются различные устройства обработки звукового сигнала, включаемые в тракт по мере необходимости, панели ручного коммутатора, причем на коммутатор выведены не только входные и выходные звуковые сигналы, но и сигналы 2- и 4-проводной матрицы служебной связи. Там же находится компьютерный терминал управления матрицей служебной связи и, иногда, различные устройства записи звукового сигнала и/или звуковые монтажные станции.

Операторы ВМ и серверов видеоповторов

Учитывая, что операторы видеоповторов работают в прямом контакте с видеорежиссером, в большинстве ПТС их рабочие места располагаются в одном отсеке. Стандартный набор оборудования оператора видеосервера включает в себя пульт управления видеосервером, один-два видеомонитора (как правило, используются системы полиэкранных изображений) и, иногда, Х-У панель управления матричным коммутатором. В случае если рабочие места операторов видеоповторов располагаются в отдельном отсеке, то на каждое необходимо предусмотреть панель интеркома или терминал для обеспечения прямой связи с видеорежиссером.

В некоторых ТЗ на проектирование ПТС иногда встречается требование об организации отдельных рабочих мест операторов видеомагнитофонов с возможностью простого или сложного видеомонтажа. Безусловно, это было актуально лет 15 назад, когда в ПТС кроме ВМ практически не использовалось другой видеозаписывающей и монтажной техники, и видеоповторы так же осуществлялись при помощи видеомагнитофонов.

В современных ПТС для повтора и монтажа видеосюжетов применяются видеосерверы, а видеомагнитофоны, за редким исключением, используются только для записи формируемых программ и, иногда, для воспроизведения «заставок» в паузах трансляции.

Рабочее место оператора ВМ, если оно предусмотрено проектом, обычно, располагается в непосредственной близости от места установки видеомагнитофонов. Это может быть, как отдельный отсек, так и выделенная зона в инженерно-техническом отсеке, реже – в режиссерском.

Полный набор оборудования оператора ВМ включает в себя монтажный контроллер или контроллер управления ВМ, видеоконтрольные устройства, устройства контроля сигнала звукового сопровождения, контрольно-измерительное оборудование, панели служебной связи и панели управления матричным коммутатором. Если видеомагнитофоны используются только для записи, то вполне можно ограничиться набором видеомониторов и обычными наушниками для контроля звукового сопровождения. Помимо видеомагнитофонов необходимо так же предусмотреть возможность размещения и подключения для записи программ некоторого количества DVD (обычно от одного-двух и более).

Рабочие места инженерного отсека

В инженерном отсеке располагаются рабочие места операторов камерных каналов, и старшего инженера и/или «супервайзера».

Каждое рабочее место оператора камерных каналов оборудуется необходимым количеством пультов дистанционного управления камерными каналами видеоконтрольными устройствами (в последнее время все чаще применяются различные системы полиэкранных изображений), прецизионным монитором и контрольно-измерительным прибором (монитор формы сигнала). Панели управления камерными каналами должны поддерживать функцию Joystick Override (возможность набора на прецизионный монитор и измерительный прибор выбранной камеры с панели управления данным камерными каналами). Кроме того, на одно или два рабочих места приходится одна панель матрицы служебной связи и панель управления видео коммутационной матрицей.

Для производства некоторых программ иногда возникает необходимость в организации специального рабочего места «цветоустановщика». Обычно это происходит при работе с «западными» компаниями по их технологии и съемках с небольшим количеством камер (не более 6-8) классических балетов и концертов и некоторых церемоний. В этом случае «специально обученный» специалист с использованием мастер-панели управления камерными каналами постоянно отслеживает работу всех ТВ-камер, внося по мере необходимости необходимые корректировки в настройку их параметров, фактически «забирая» на себя большинство функций операторов камерных каналов. В обычной практике эти функции выполняет старший инженер ПТС. Отсюда следует номинальный набор оборудования для организации рабочего места старшего инженера ПТС. Это два видеомонитора в комплекте с измерительным оборудованием, как минимум один из них должен быть прецизионным, одна-две Х-Y-панели управления видеоматрицей, панель служебной связи и устройства контроля звуковых источников. В обычной практике один из мониторов и измерительный прибор осуществляют постоянный контроль основной программы, второй, по мере необходимости, используется для контроля параметров отдельных источников сигнала или второй программы.

И, наконец, самое важное. Трудно представить современную ПТС, как впрочем, и любой другой телевизионный комплекс, без компьютерной системы управления всеми блоками и устройствами, входящими в ее состав. Каждая подсистема, будь то видео- или связная матрица, модули обработки сигналов и видеопроцессоры, системы отображения информации и т.д., имеют свои программы управления, которые позволяют не только дистанционно настроить все требуемые параметры, но контролировать работу всей ПТС. Для получения доступа ко всем этим программам рабочее место инженера должно быть оборудовано соответствующим компьютерным терминалом с возможностью доступа ко всем управляющим компьютерам (обычно используются серверы) и программам.

Подключение к внешним источникам сигналов

Одним из параметров ПТС является количество источников внешних сигналов, видео, звуковых и связных, которые ПТС может принять на борт и соответственно, сколько сигналов она сможет раздать различным потребителям.

Для подключения внешних линий, телевизионных камер и обеспечения связи со всеми потребителями сигналов на борту ПТС предусматриваются специальные панели, оснащенные различными типами видео- и звуковых разъемов. Для контроля принимаемых и выдаваемых сигналов там же располагается мультиформатный видеомонитор и часто панель управления видеоматрицей, а для связи с инженерным отсеком и другим техническими службами – панель служебной связи. Во многих случаях панели с разъемами подключения внешних источников используются как дополнительное коммутационное поле конфигурации ПТС.

Сформированные программы передаются в телевизионный вещательный центр по каналам радиорелейной или спутниковой связи (как правило, не входит в состав штатного оборудования ПТС), или по оптоволоконному кабелю там, где это возможно. В последнем случае обеспечивается наивысшее качество сигнала.

Иметь собственные оптоволоконные преобразователи в составе оборудования ПТС имеет смысл только в том случае если, есть гарантия того, что однотипное оборудование используется и на принимаемой стороне.

Электропитание и инженерное обеспечение

Одним из важнейших условий работы ПТС является наличие гарантированного бесперебойного электропитания. Питание ПТС осуществляется от трехфазной сети переменного тока напряжением 380 В. Для обеспечения гарантированного электропитания, подавляющее большинство ПТС имеет два ввода питающих фидеров, основной и резервный, и внутренние источники бесперебойного электропитания (UPS), позволяющие продолжать работу в течении 10-15 минут при пропадании основного напряжения. Этого времени, как правило, хватает для переключения на резервный источник электропитания. В качестве резервного источника, а при проведении особо важных работ – как основного, используются дизель-генераторы.

Электрическая сеть внутри ПТС разделяется на технологическую, которая обеспечивает напряжением основное оборудование, и техническую, предназначенную для питания кондиционеров, нагревателей и осветительных приборов. Устройствами бесперебойного питания резервируется технологическая сеть.

Инженерные системы ПТС включают в себя систему кондиционирования воздуха и отопления и предназначены обеспечивать комфортные условия работы персонала и оборудования. Учитывая большой годовой перепад температур, решения данной задачи в условиях нашего климата весьма сложная проблема.

Конечно, в формате статьи рассказать обо всех возможностях и особенностях современных ПТС и технологии их применения невозможно, но, по крайней мере, некоторые направления, надеюсь, удалось обозначить.

Назад в раздел

Как работает DNS?

В наших предыдущих статьях о DNS мы дали обзор процесса рекурсии, но прежде чем мы продолжим изучение того, как DNS влияет на производительность, нам нужно понять, как работает протокол DNS.

В пакете протоколов TCP / IP DNS — это протокол прикладного уровня. Протокол DNS по умолчанию полагается на протокол дейтаграмм пользователя (UDP), но также может работать по протоколу управления передачей (TCP) в качестве запасного варианта, когда брандмауэры блокируют UDP.

UDP и TCP являются протоколами транспортного уровня.UDP — это облегченный протокол, который не требует квитирования для установления соединения или подтверждения доставки, тем самым сокращая количество требуемых пакетов, прошедшее время и круговые обходы. Самый большой недостаток UDP заключается в том, что нет никаких гарантий, что пакет был получен другой стороной, поэтому приложение должно обрабатывать случаи, когда ответ не получен.

С другой стороны, TCP требует установления соединения через трехэтапное рукопожатие и имеет проверку ошибок доставки, но требует больше циклов и, следовательно, больше времени.

Поскольку мы рассматриваем протоколы TCP / IP, в некоторых областях мы спустимся до битового уровня. Но не пугайтесь — вам не нужно учиться работать с «битовыми флагами», чтобы понять DNS. В Catchpoint мы используем и настоятельно рекомендуем использовать программу захвата пакетов, такую как Wireshark, чтобы сделать пакеты удобочитаемыми и упростить отладку.

Протокол

Протокол DNS состоит из трех типов сообщений: запросов, ответов и обновлений. Мы не будем рассказывать об «обновлениях» в нашей серии статей, поскольку они не влияют на работу конечных пользователей.Сообщение DNS может иметь пять разделов: заголовок DNS, вопрос, записи ресурсов ответа, записи ресурсов полномочий и записи дополнительных ресурсов.

Заголовок

Заголовок пакета содержит идентифицирующую информацию вместе с подсказками (сводками) о том, что содержится в остальной части сообщения. Заголовок состоит из шести полей по шестнадцать бит в каждом, всего двенадцать байтов. Первые шестнадцать битов предназначены для идентификатора транзакции, который используется для сопоставления ответа на запрос, создается клиентом в сообщении запроса и возвращается сервером в ответе.

Следующее поле предназначено для флагов. Это, вероятно, самая важная часть пакета DNS, поскольку эти флаги различают ответ от запроса и итеративный запрос от рекурсивного. Они перечислены в следующем порядке:

Бит 1: QR, флаг запроса / ответа. Когда 0, сообщение является запросом. Когда 1, сообщение является ответом.
Биты 2-5: Код операции, код операции. Сообщает принимающей машине цель сообщения. Обычно 0 означает нормальный запрос, однако есть и другие допустимые параметры, такие как 1 для обратного запроса и 2 для статуса сервера.
Бит 6: AA, авторитетный ответ. Устанавливается только в том случае, если отвечающая машина является официальным сервером имен запрашиваемого домена.
Бит 7: TC, усеченный. Устанавливается, если размер пакета превышает максимальный размер UDP 512 байт.
Бит 8: RD, желательна рекурсия. Если 0, запрос является итеративным. Если 1, запрос рекурсивный. См. Наш пост о рекурсии для получения дополнительной информации.
Бит 9: RA, доступна рекурсия. Устанавливается при ответе, если сервер поддерживает рекурсию.
Бит 10: Z. Зарезервирован для использования в будущем, должен быть установлен в 0 для всех запросов и ответов.
Бит 11: AD, достоверные данные. Используется в DNSSEC. Считается частью Z в старых машинах.
Бит 12: CD, проверка отключена. Используется в DNSSEC. Считается частью Z в старых машинах.
Бит 13-16: Rcode, код возврата. Обычно это 0, если ошибки нет, или 3, если имя не существует.

Остальные четыре поля заголовка — это количество вопросов, записи ресурсов ответов, записи авторитетных ресурсов и дополнительные записи ресурсов.Эти числа различаются в зависимости от того, является ли это запросом или ответом, а также от типа ответа. В общем, однако, всегда будет хотя бы один вопрос.

Вопрос

Вопрос присутствует как в запросе, так и в ответе и должен быть идентичным. Некоторые инструменты, такие как Wireshark, называют это «Запрос» (см. Изображение выше).

Обычно в пакете будет только один вопрос или запрос. Вопрос состоит из трех частей: имя запроса, которое может быть именем хоста, например www.google.com, тип вопроса и класс вопроса, который для Интернета почти всегда равен 1 или IN. Тип вопроса — это тип записи ресурса. Ниже перечислены несколько основных типов, а полный список можно найти здесь.

A, IPv4-адрес: , которому соответствует доменное имя. Каждый домен веб-сайта должен иметь хотя бы одну запись A, иначе конечные пользователи не смогут получить доступ к вашему веб-сайту.
AAAA, Quad-A, запись адреса IPv6: Адрес IPv6 — это тип, которому сопоставляется доменное имя.Поскольку адреса IPv4 больше не доступны, наблюдается большое движение в поддержку IPv6, однако не все интернет-провайдеры и веб-сайты поддерживают его.
MX, запись почтового обмена: Указывает, какой почтовый сервер принимает сообщения электронной почты от имени получателя домена.
NS, запись сервера имен: Сопоставляет домен с его официальным сервером имен. В каждом домене должно быть более 1 NS-записи.

Записи ресурсов ответа

Ответ состоит из записей ресурсов, которые отвечают на вопрос.Раздел «Ответ» присутствует в ответе рекурсивного преобразователя на компьютер конечного пользователя или в ответе полномочного сервера имен домена рекурсивному преобразователю. Это зависит от типа вопроса, но для разрешения DNS веб-доменов это будет A, AAAA или CNAME. CNAME означает каноническое имя, это означает, что домен в запросе является псевдонимом для другого домена.

Первые три поля в записи ресурса идентичны формату вопроса и представляют собой имя RR, тип RR и класс RR.Однако записи RR содержат три дополнительных поля, двухбайтовое значение времени жизни, однобайтовое поле длины данных и поле данных. Содержимое поля данных варьируется в зависимости от типа записи, но вот основные из них:

A: Одно поле данных, в котором хранится четырехбайтовый IPv4-адрес
AAAA: Одно поле данных, в котором хранится шестнадцатибайтовый IPv6-адрес
MX: Два поля данных, одно для хранения значения приоритета и одно для хранения IP-адреса
NS: Одно поле данных, в котором хранится доменное имя полномочного сервера имен
CNAME: Одно поле данных сохранение доменного имени, для которого является псевдонимом домена вопроса

Записи ресурсов органов власти

Когда сервер имен, такой как TLD, не имеет ответа на запрос (поскольку не является авторитетным), он не будет отправлять записи ответов.Вместо этого он заполнит раздел полномочий всеми серверами имен, которые он знает как авторитетные для домена или части дерева доменов (например, .com), если они у него есть. Эти NS-записи отличаются от A-записей, поскольку у них есть доменное имя как в полях RR name, так и в полях данных RR. В отличие от раздела ответов, в разделе полномочий могут быть только записи NS. Обратите внимание, что NS-записи можно отправлять в других разделах.

Дополнительные записи

Дополнительные или «скрепляющие» записи помогают избежать дополнительной рекурсии, предоставляя IP-адреса (записи A или AAAA) записей NS, отправленных в авторитетном разделе или разделе ответа, так что эти домены не должны быть решено.Эти RR обычно представляют собой записи A и / или AAAA для записей NS в разделе полномочий, хотя они могут быть любой записью.

Не забудьте также ознакомиться с публикацией на следующей неделе, когда мы продолжим изучение DNS и рассмотрим процесс кэширования.

DNS TCP или UDP порт 53?

По мере того, как все больше и больше людей внедряют новые функции, такие как IPv6, предотвращение спама и DNSSEC, DNS с большей вероятностью переключится на TCP из-за большего размера ответа.

Что произойдет, если TCP заблокирован?

В любом случае, когда размер сообщения превышает 512 байт, он запускает установку бита «TC» (усечение) в DNS, информируя клиента о том, что длина сообщения превышает допустимый размер.В этих ситуациях клиенту необходимо повторно передать данные по протоколу TCP, который не имеет ограничений по размеру. Если DNS-серверы и сетевая среда не могут поддерживать большие пакеты UDP, это вызовет повторную передачу по TCP; если TCP заблокирован, большой ответ UDP либо приведет к фрагментации IP, либо будет полностью отброшен. Конечным признаком для конечного клиента обычно является медленное разрешение DNS или вообще неспособность разрешить определенные доменные имена.

Размер имеет значение: EDNS

Вам может быть интересно, откуда берется ограничение на размер в 512 байт.Размер полезной нагрузки UDP в 512 байт зависит от IPv4. Стандарт IPv4 ² определяет, что каждый хост должен иметь возможность повторно собирать пакеты размером 576 байтов или меньше, удалять заголовок и другие параметры, что оставляет 512 байтов для данных полезной нагрузки. Это причина того, что изначально существует ровно 13 корневых серверов DNS ³: 13 доменных имен и 13 адресов IPv4 прекрасно вписываются в один пакет UDP.

Это ограничение размера давно было признано проблемой. В 1999 году был предложен механизм расширения для DNS (EDNS), который с годами обновлялся, увеличивая размер до 4096 байтов или 4 килобайт.Итак, если вы используете достаточно современный DNS-сервер, шансы его переключения на TCP должны быть невелики (mer).

Однако, хотя EDNS существует уже давно, его поддержка не была столь универсальной, как должна быть ⁴. Некоторое сетевое оборудование, такое как межсетевые экраны, может по-прежнему делать предположения о размере пакета DNS. Брандмауэр может отбросить или отклонить большой пакет DNS, думая, что это атака. Такое поведение, возможно, не вызывало видимых проблем в прошлом (или это было, но никто не понимал почему), но поскольку данные DNS продолжают увеличиваться в размере, важно, чтобы все сетевое оборудование было правильно настроено для поддержки больших размеров пакетов DNS.Если сетевая среда не полностью поддерживает большие сообщения DNS, это может привести к тому, что сообщение DNS будет отклонено сетевым оборудованием или частично отброшено во время фрагментации. Для конечного пользователя это выглядит так: запросы DNS остаются без ответа или занимают очень много времени, создавая впечатление, что «DNS / сеть очень медленная».

Хотя EDNS необходим для работы современной DNS, возможность отправлять более крупные сообщения способствовала объемным атакам, таким как Amplification и Reflection .

Сеть 101: Безопасность транспортного уровня (TLS) Сеть через браузер (O’Reilly)

Введение

Протокол SSL был первоначально разработан в Netscape для обеспечения безопасность транзакций электронной торговли в Интернете, которая требует шифрования для защищать личные данные клиентов, а также аутентификацию и целостность гарантии для обеспечения безопасной транзакции. Для этого SSL протокол был реализован на уровне приложений, непосредственно поверх TCP (Рисунок 4-1), что позволяет протоколы над ним (HTTP, электронная почта, обмен мгновенными сообщениями и многие другие) для работать без изменений, обеспечивая безопасность связи, когда общение по сети.

При правильном использовании SSL сторонний наблюдатель может только сделать вывод конечные точки подключения, тип шифрования, а также частоту и приблизительный объем отправленных данных, но не может читать или изменять какие-либо фактические данные. Рисунок 4-1. Безопасность транспортного уровня (TLS)

Когда протокол SSL был стандартизирован IETF, он был переименован. к безопасности транспортного уровня (TLS). Многие используют имена TLS и SSL взаимозаменяемы, но технически они разные, поскольку каждый описывает другую версию протокола.

SSL 2.0 был первой публично выпущенной версией протокола, но он был быстро заменен на SSL 3.0 из-за ряда обнаруженных средств защиты недостатки. Поскольку протокол SSL был проприетарным для Netscape, IETF предприняли попытку стандартизировать протокол, в результате чего появился RFC 2246, который был опубликован в январе 1999 года и стал известен как TLS 1.0. С затем IETF продолжил итерацию протокола для решения недостатки безопасности, а также расширение ее возможностей: TLS 1.1 (RFC 4346) был опубликован в апреле 2006 г., TLS 1.2 (RFC 5246) в августе 2008 г. и работает сейчас ведется определение TLS 1.3.

При этом не позволяйте обилию номеров версий вводить вас в заблуждение: ваши серверы всегда должны отдавать предпочтение и согласовывать последнюю стабильную версию протокола TLS для обеспечения максимальной безопасности, возможностей и гарантии исполнения. Фактически, некоторые критически важные для производительности функции, такие как как HTTP / 2, явно требуют использования TLS 1.2 или выше и будет прервано в противном случае связь. Хорошая безопасность и производительность идут рука об руку.

TLS был разработан для работы поверх надежного транспортного протокола. типа TCP. Однако он также был адаптирован для работы с дейтаграммами. протоколы, такие как UDP. Безопасность на транспортном уровне дейтаграмм (DTLS) протокол, определенный в RFC 6347, основан на протоколе TLS и может предоставить аналогичные гарантии безопасности при сохранении дейтаграммы модель доставки.

§Шифрование, аутентификация и целостность

Протокол TLS предназначен для предоставления трех основных услуг: все приложения, работающие над ним: шифрование, аутентификация и данные честность. Технически вам не обязательно использовать все три в каждом ситуация. Вы можете принять решение о принятии сертификата без подтверждения его подлинность, но вы должны быть хорошо осведомлены о рисках безопасности и последствия этого. На практике безопасное веб-приложение будет использовать все три услуги.

Шифрование: Механизм скрытия того, что отправляется с одного хоста на другой.
Аутентификация: Механизм проверки действительности предоставленной идентификации материал.
Целостность: Механизм обнаружения фальсификации и подделки сообщений.

Чтобы установить криптографически безопасный канал данных, одноранговые узлы должны договориться о том, какие наборы шифров будут использоваться, и ключи, используемые для шифрования данных.Протокол TLS определяет четко определенный последовательность рукопожатия для выполнения этого обмена, которую мы рассмотрим в подробно в TLS Handshake. Гениальная часть этого рукопожатия и причина, по которой TLS работает в На практике это связано с использованием криптографии с открытым ключом (также известной как криптография с асимметричным ключом), что позволяет одноранговым узлам согласовывать общий секретный ключ без необходимости устанавливать какие-либо предварительные знания о каждом другое, и сделать это по незашифрованному каналу.

В рамках рукопожатия TLS протокол также позволяет обоим одноранговым узлам подтвердить свою личность. При использовании в браузере это механизм аутентификации позволяет клиенту проверить, что сервер кем он себя называет (например, ваш банк), а не просто притворяется быть получателем, подделав его имя или IP-адрес. Этот проверка основана на установленной цепочке доверия — см. Цепочка доверия и Центры сертификации.Кроме того, сервер также может опционально проверить личность клиента — например, прокси-сервер компании может аутентифицировать всех сотрудников, каждый из которых может иметь свой уникальный сертификат, подписанный компанией.

Наконец, с шифрованием и аутентификацией, протокол TLS также предоставляет собственный механизм кадрирования сообщений и подписывает каждое сообщение с кодом аутентификации сообщения (MAC). Алгоритм MAC является односторонним. криптографическая хеш-функция (фактически контрольная сумма), ключи к которой согласовываются обоими одноранговыми узлами.Всякий раз, когда отправляется запись TLS, Значение MAC создается и добавляется к этому сообщению, а получатель затем сможет вычислить и проверить отправленное значение MAC, чтобы гарантировать, что сообщение целостность и подлинность.

Вместе все три механизма служат основой для безопасного общение в сети. Все современные веб-браузеры поддерживают множество наборов шифров, способных аутентифицировать как клиента, так и сервер, и прозрачно выполнять проверки целостности сообщений для каждого записывать.

§Прокси, посредники, TLS и новые протоколы на Интернет

Расширяемость и успех HTTP создали яркую экосистема различных прокси и посредников в сети: кеш серверы, шлюзы безопасности, веб-ускорители, фильтры содержимого и многие другие другие. В некоторых случаях мы знаем об их присутствии (явное прокси), а в других полностью прозрачны до конца Пользователь.

К сожалению, сам успех и наличие этих серверов создал проблему для всех, кто пытается отклониться от HTTP / 1.Икс протокол любым способом: некоторые прокси-серверы могут просто передавать новый HTTP расширения или альтернативные форматы проводов, которые они не могут интерпретировать, другие могут продолжать слепо применять свою логику, даже если они не должны этого делать, и некоторые, такие как устройства безопасности, могут предполагать злонамеренный умысел, когда здесь ничего нет.

Другими словами, на практике отклонение от четко определенного семантика HTTP / 1.x на порту 80 часто приводит к ненадежным развертываниям: у некоторых клиентов нет проблем, у других же возникают непредсказуемые и непредсказуемые проблемы. трудно воспроизводимое поведение — e.g., один и тот же клиент может видеть разные поведения при перемещении между разными сетями.

Из-за такого поведения появились новые протоколы и расширения HTTP, такие как поскольку WebSocket, HTTP / 2 и другие должны полагаться на установку HTTPS туннель для обхода промежуточных прокси и обеспечения надежного модель развертывания: зашифрованный туннель скрывает данные от всех посредники. Если вы когда-нибудь задумывались, почему большинство руководств по WebSocket скажет вам использовать HTTPS для доставки данных мобильным клиентам, это Зачем.

§HTTPS везде

Незашифрованная связь — через HTTP и другие протоколы — создает большой количество уязвимостей конфиденциальности, безопасности и целостности. Такой обмены восприимчивы к перехвату, манипуляции и олицетворение и может раскрыть учетные данные пользователей, историю, личность и другая конфиденциальная информация. Наши приложения должны защищать себя, и наши пользователи против этих угроз путем доставки данных по HTTPS.

HTTPS защищает целостность веб-сайта: Шифрование предотвращает несанкционированное вмешательство злоумышленников в обмен данные — например, переписывание контента, внедрение нежелательных и вредоносных контент и так далее.
HTTPS защищает конфиденциальность и безопасность пользователя: Шифрование не позволяет злоумышленникам прослушивать обмен данные. Каждый незащищенный запрос может раскрыть конфиденциальную информацию о пользователь, и когда такие данные собираются во многих сеансах, может использоваться для деанонимности их личности и раскрытия других конфиденциальных Информация.Вся активность в браузере с точки зрения пользователя, следует считать конфиденциальными и конфиденциальными.
HTTPS обеспечивает широкие возможности в Интернете: Растущее число новых функций веб-платформы, таких как доступ геолокация пользователей, фотографирование, запись видео, включение офлайн взаимодействие с приложением и многое другое требует явного согласия пользователя, что в очередь, требует HTTPS. Предоставляемые гарантии безопасности и целостности по HTTPS — важные компоненты для обеспечения безопасности пользователя разрешение рабочего процесса и защита своих предпочтений.

Чтобы продолжить, как Internet Engineering Task Force (IETF) Совет по архитектуре Интернета (IAB) выпустил руководство для разработчиков и разработчиков протоколов, которые настоятельно рекомендуют внедрение HTTPS:

По мере роста нашей зависимости от Интернета возрастают и риски, и ставки для всех, кто на это полагается. В итоге это наш ответственность как разработчиков приложений, так и пользователей за обеспечение что мы защищаем себя, разрешая HTTPS повсюду.

Стандарт только для HTTPS опубликованный Управлением управления и бюджета Белого дома, является отличный ресурс для получения дополнительной информации о необходимости HTTPS, и практические советы по его развертыванию.

§Давайте Зашифровать

Распространенное возражение и препятствие на пути к широкому внедрению HTTPS был требованием для покупки сертификатов у одного из доверенные органы — см. Цепь доверия и Центры сертификации.Проект Let’s Encrypt запущен в 2015 году. решает эту конкретную проблему:

«Let’s Encrypt — бесплатный, автоматизированный и открытый сертификат. авторитет, предоставленный вам Исследовательской группой по интернет-безопасности (ISRG). Цель Let’s Encrypt и протокола ACME — позволяют настроить HTTPS-сервер и получить его автоматически получить сертификат, доверенный браузеру, без участия человека вмешательство.»

Посетите веб-сайт проекта, чтобы узнать, как настроить его самостоятельно сайт. Нет никаких ограничений, теперь любой может получить доверенный сертификат для своего сайта, бесплатно.

§TLS Рукопожатие

Прежде, чем клиент и сервер смогут начать обмен данными приложения через TLS необходимо согласовать зашифрованный туннель: клиент и сервер должен согласовать версию протокола TLS, выберите ciphersuite и при необходимости проверьте сертификаты.К сожалению, каждый из для этих шагов требуются новые пакеты (рис. 4-2) между клиентом и server, что увеличивает задержку запуска для всех TLS-подключений. Рисунок 4-2. Протокол рукопожатия TLS

Рисунок 4-2 предполагает то же (оптимистично) Задержка одностороннего «света в волокне» 28 миллисекунд между Новым Йорк и Лондон, как использовалось в предыдущем установлении TCP-соединения Примеры; см. Таблицу 1-1.

0 мс: TLS работает через надежный транспорт (TCP), что означает, что мы должны сначала завершите трехстороннее рукопожатие TCP, которое занимает одно полное поездка в оба конца.
56 мс: Установив TCP-соединение, клиент отправляет несколько спецификации в виде обычного текста, такие как версия протокола TLS он запущен, список поддерживаемых шифровальных наборов и другие TLS параметры, которые он может захотеть использовать.
84 мс: Сервер выбирает версию протокола TLS для дальнейшего связи, выбирает набор шифров из списка, предоставленного клиент, прикрепляет свой сертификат и отправляет ответ обратно клиент.При желании сервер также может отправить запрос на сертификат клиента и параметры для других расширений TLS.
112 мс: Предполагая, что обе стороны могут согласовать общую версию и cipher, и клиент доволен сертификатом, предоставленным сервер, клиент инициирует либо RSA, либо ключ Диффи-Хеллмана обмен, который используется для установления симметричного ключа для следующая сессия.
140 мс: Сервер обрабатывает параметры обмена ключами, отправленные клиент, проверяет целостность сообщения, проверяя MAC, и возвращает encrypted Завершено сообщение клиенту.
168 мс: Клиент расшифровывает сообщение согласованным симметричным ключом, проверяет MAC, и если все в порядке, то туннель установлен и данные приложения теперь могут быть отправлены.

Как видно из приведенного выше обмена, для новых подключений TLS требуется два обходы для «полного рукопожатия» — это плохие новости. Однако в практика, оптимизированные развертывания могут работать намного лучше и обеспечивать согласованное рукопожатие 1-RTT TLS:

False Start — это расширение протокола TLS, которое позволяет клиенту и сервер, чтобы начать передачу зашифрованных данных приложения, когда рукопожатие завершено только частично — i.э., однажды ChangeCipherSpec и Finished Сообщения отправлено, но не дожидаясь, пока другая сторона сделает то же самое. Этот оптимизация снижает накладные расходы на рукопожатие для новых подключений TLS к одна поездка туда и обратно; см. Включение ложного запуска TLS.
Если клиент ранее связывался с сервером, может использоваться «сокращенное рукопожатие», которое требует одного обращения и также позволяет клиенту и серверу снизить накладные расходы ЦП на повторное использование ранее согласованных параметров для безопасного сеанса; см. сеанс TLS Возобновление.

Комбинация обеих вышеупомянутых оптимизаций позволяет нам обеспечить согласованное рукопожатие TLS 1-RTT для новых и вернувшихся посетителей, плюс экономия вычислений для сеансов, которые могут быть возобновлены на основе предварительно согласованные параметры сеанса. Обязательно воспользуйтесь преимуществами эти оптимизации в ваших развертываниях.

Одна из целей разработки TLS 1.3 заключается в уменьшении накладных расходов на задержку при настройке безопасного соединение: 1-RTT для новых и 0-RTT для возобновленных сеансов!

§RSA, Диффи-Хеллман и прямая секретность

По разным историческим и коммерческим причинам ЮАР рукопожатие было доминирующим механизмом обмена ключами в большинстве TLS развертывания: клиент генерирует симметричный ключ, шифрует его с помощью открытый ключ сервера и отправляет его на сервер для использования в качестве симметричного ключ для установленной сессии.В свою очередь, сервер использует свои частные ключ для расшифровки отправленного симметричного ключа, и обмен ключами завершен. С этого момента клиент и сервер используют согласованный симметричный ключ для шифрования их сеанса.

Рукопожатие RSA работает, но имеет критический недостаток: то же самое. пара открытого и закрытого ключей используется как для аутентификации сервера, так и для зашифровать симметричный сеансовый ключ, отправленный на сервер. В результате, если злоумышленник получает доступ к закрытому ключу сервера и прослушивает обмен, то они могут расшифровать весь сеанс.Даже хуже если злоумышленник в настоящее время не имеет доступа к закрытому ключу, он все еще может записать зашифрованный сеанс и расшифровать его позже как только они получат закрытый ключ.

Напротив, обмен ключами Диффи-Хеллмана позволяет клиенту и сервер для согласования общего секрета без явной передачи его в рукопожатии: закрытый ключ сервера используется для подписи и проверки рукопожатие, но установленный симметричный ключ никогда не покидает клиент или сервер и не может быть перехвачен пассивным злоумышленником даже если у них есть доступ к закрытому ключу.

Для любопытных: статья в Википедии об обмене ключами Диффи-Хеллмана — это отличное место, чтобы узнать об алгоритме и его свойствах.

Лучше всего то, что обмен ключами Диффи-Хеллмана может использоваться для уменьшения риск компрометации прошлых сеансов связи: мы можем создать новый «эфемерный» симметричный ключ как часть каждого обмена ключами и отбросьте предыдущие ключи. В результате, поскольку эфемерные ключи никогда не сообщаются и активно пересматриваются для каждого нового сеанса, в худшем случае злоумышленник может скомпрометировать клиент или сервер и получить доступ к ключам сеанса текущего и будущие сессии.Однако зная закрытый ключ или текущий эфемерный ключ, не помогает злоумышленнику расшифровать любой из предыдущих сеансы!

Комбинированный, использование обмена ключами Диффи-Хеллмана и эфемерный ключи сеансов обеспечивают «совершенную прямую секретность» (PFS): компромисс долгосрочных ключей (например, закрытого ключа сервера) не ставит под угрозу прошлые ключи сеанса и не позволяет злоумышленнику расшифровать ранее записанные сеансы. Очень желанная недвижимость, мягко говоря!

В результате, и это не должно вызывать удивления, RSA рукопожатие сейчас активно отменяется: все популярные браузеры предпочитают шифры, которые обеспечивают прямую секретность (т.е., положитесь на Обмен ключами Диффи-Хеллмана), и в качестве дополнительного стимула может включать определенные оптимизации протокола только тогда, когда прямая секретность доступно — например, Подтверждение связи 1-RTT через TLS False Start.

То есть обратитесь к документации по серверу, чтобы узнать, как включить и разверните прямую секретность! Еще раз, хорошая безопасность и производительность идти, держась за руки.

§Производительность открытого и симметричного ключа Криптография

Криптография с открытым ключом используется только во время начальной настройки Туннель TLS: сертификаты аутентифицируются и обмен ключами алгоритм выполняется.

Криптография с симметричным ключом, в которой используется установленный симметричный ключ. затем используется ключ для дальнейшего взаимодействия между клиентом и сервер в сеансе. В основном это делается для того, чтобы повысить производительность — криптография с открытым ключом — это гораздо больше вычислительно дорого. Чтобы проиллюстрировать разницу, если у вас есть OpenSSL установлен на вашем компьютере, вы можете запустить следующие тесты:

$> скорость openssl ecdh
$> скорость openssl aes

Обратите внимание, что единицы между двумя тестами не являются напрямую сравнимо: тест Диффи-Хеллмана на эллиптических кривых (ECDH) дает сводная таблица операций в секунду для разных размеров ключей, а Производительность AES измеряется в байтах в секунду.Тем не менее, это должно быть легко увидеть, что операции ECDH намного больше вычислительно дорого.

Точные значения производительности значительно различаются в зависимости от используемого оборудование, количество ядер, версия TLS, конфигурация сервера и другие факторы. Не поддавайтесь устаревшим тестам! Всегда запускайте тесты производительности на вашем собственном оборудовании и обратитесь к разделу «Уменьшение вычислительных ресурсов». Затраты на дополнительный контекст.

§ Согласование протокола уровня приложений (ALPN)

Два сетевых узла могут захотеть использовать собственный протокол приложения для общаться друг с другом.Один из способов решить эту проблему — определить заранее назначьте ему известный порт (например, порт 80 для HTTP, порт 443 для TLS) и настройте все клиенты и серверы для использования Это. Однако на практике это медленный и непрактичный процесс: каждый назначение портов должно быть одобрено и, что еще хуже, межсетевые экраны и другие посредники часто разрешают трафик только на порты 80 и 443.

В результате, чтобы обеспечить простое развертывание пользовательских протоколов, мы должны повторно использовать порты 80 или 443 и использовать дополнительный механизм для согласования протокол приложения.Порт 80 зарезервирован для HTTP, а HTTP Спецификация предоставляет специальный поток обновления для этого очень цель. Однако использование Обновление может добавить дополнительные сетевой обход задержки, и на практике часто ненадежен в наличие множества посредников; см. Прокси, Посредники, TLS и новые протоколы в Интернете.

Решение, как вы уже догадались, использовать порт 443, который зарезервирован. для безопасных сеансов HTTPS, работающих через TLS.Использование сквозного зашифрованный туннель скрывает данные от промежуточных прокси и обеспечивает быстрый и надежный способ развертывания новых протоколов приложений. Однако нам все еще нужен другой механизм для согласования протокола, который будет использоваться в сеансе TLS.

Application Layer Protocol Negotiation (ALPN), как следует из названия, — это расширение TLS, которое удовлетворяет эту потребность. Расширяет TLS рукопожатие (рисунок 4-2) и позволяет партнерам согласовывать протоколы без дополнительных обходов.В частности, процесс выглядит следующим образом:

Клиент добавляет новое поле ProtocolNameList , содержащий список поддерживаемых протоколов приложений, в ClientHello сообщение.
Сервер проверяет поле ProtocolNameList и возвращает поле ProtocolName , указывающее выбранный протокол как часть сообщения ServerHello .

Сервер может ответить только одним именем протокола, и если он не поддерживает то, что запрашивает клиент, тогда он может выбрать прервать соединение. В результате, когда рукопожатие TLS завершается, оба безопасного туннеля установлены, и клиент и сервер находятся в соглашение о том, какой протокол приложения будет использоваться; клиент и сервер может немедленно начать обмен сообщениями через согласованный протокол.

§История и отношения NPN и ALPN

Next Protocol Negotiation (NPN) — это расширение TLS, которое разработан в рамках программы SPDY в Google, чтобы обеспечить эффективную согласование протокола приложения во время рукопожатия TLS. Звук знакомый? Конечный результат функционально эквивалентен ALPN.

ALPN — это пересмотренная и одобренная IETF версия расширения NPN. В NPN сервер объявлял, какие протоколы он поддерживает, а Затем клиент выбрал и подтвердил протокол.В ALPN этот обмен было отменено: теперь клиент указывает, какие протоколы он поддерживает, Затем сервер выбирает и подтверждает протокол. Обоснование изменение состоит в том, что это приводит к более близкому согласованию ALPN с другие стандарты согласования протоколов.

Короче говоря, ALPN является преемником NPN.

§Имя сервера Индикация (SNI)

Зашифрованный туннель TLS может быть установлен между любыми двумя TCP одноранговые узлы: клиенту необходимо знать только IP-адрес другого однорангового узла. чтобы установить соединение и выполнить рукопожатие TLS.Однако что, если сервер хочет разместить несколько независимых сайтов, каждый со своим Сертификат TLS на том же IP-адресе — как это работает? Обманывать вопрос; это не так.

Чтобы решить предыдущую проблему, указание имени сервера (SNI) было введено расширение для протокола TLS, которое позволяет клиенту чтобы указать имя хоста, к которому клиент пытается подключиться как часть рукопожатия TLS. В свою очередь, сервер может проверять SNI. имя хоста, отправленное в сообщении ClientHello , выберите соответствующий сертификат и завершите рукопожатие TLS для желаемого хозяин.

§TLS, HTTP и Выделенные IP-адреса

Рабочий процесс TLS + SNI идентичен заголовку Host реклама в HTTP, где клиент указывает имя хоста сайт, который он запрашивает: один и тот же IP-адрес может содержать много разных домены, и SNI и Host необходимы для устранить неоднозначность между ними.

К сожалению, некоторые старые клиенты (например, большинство запущенных версий IE в Windows XP, Android 2.2 и другие) не поддерживают SNI. Как результат, если вам нужно предоставить TLS таким клиентам, то вам может понадобиться выделенный IP-адрес для каждого хоста.

§ Возобновление сеанса TLS

Дополнительная задержка и вычислительные затраты полного рукопожатия TLS налагают серьезное снижение производительности на все приложения, требующие безопасное общение. Чтобы снизить некоторые затраты, TLS предоставляет механизм для возобновления или обмена данными согласованного секретного ключа между несколько подключений.

§ Идентификаторы сеанса

Первый механизм возобновления идентификаторов сеанса (RFC 5246) был представленный в SSL 2.0, который позволял серверу создавать и отправлять 32-байтовый идентификатор сеанса как часть его ServerHello сообщение во время полного согласования TLS, которое мы видели ранее. С идентификатор сеанса на месте, и клиент, и сервер могут хранить предварительно согласованные параметры сеанса — с ключом по идентификатору сеанса — и повторное использование их для последующего сеанса.

В частности, клиент может включить идентификатор сеанса в ClientHello сообщение, чтобы указать серверу, что он все еще помнит согласованный набор шифров и ключи из предыдущих рукопожатие и может использовать их повторно. В свою очередь, если сервер может найти параметры сеанса, связанные с объявленным идентификатором, в его cache, тогда может произойти сокращенное рукопожатие (рис. 4-3). В противном случае полный требуется согласование нового сеанса, которое приведет к созданию нового сеанса Я БЫ.Рисунок 4-3. Сокращенное рукопожатие TLS протокол

Использование идентификаторов сеанса позволяет нам удалить полный цикл туда и обратно, а также накладные расходы на криптографию с открытым ключом, которая используется для согласовать общий секретный ключ. Это позволяет обеспечить безопасное соединение. устанавливается быстро и без потери безопасности, поскольку мы повторно используем ранее согласованные данные сеанса.

Возобновление сеанса — важная оптимизация как для HTTP / 1.Икс и развертывания HTTP / 2. Сокращенное рукопожатие исключает полное круговая задержка и значительно снижает вычислительные затраты для обеих сторон.

Фактически, если браузеру требуется несколько подключений к одному и тому же хост (например, когда используется HTTP / 1.x), он часто намеренно ждет для завершения первого согласования TLS перед открытием дополнительных подключения к одному серверу, чтобы их можно было «возобновить» и повторно использовать те же параметры сеанса.Если вы когда-нибудь смотрели в сети проследить и задаться вопросом, почему вы редко видите несколько TLS на одном хосте переговоры в полете, вот почему!

Однако одно из практических ограничений идентификаторов сеансов механизм — это требование к серверу для создания и поддержки кеш сеанса для каждого клиента. Это приводит к нескольким проблемам на сервер, который может видеть десятки тысяч или даже миллионы уникальных подключений каждый день: потребляемая память для каждого открытого TLS-соединения, требование для кеширования идентификаторов сеансов и политик выселения, а также нетривиальные задачи развертывания для популярных сайтов с большим количеством серверов, который в идеале должен использовать общий кеш сеанса TLS для наилучшего представление.

Ни одна из вышеперечисленных проблем не может быть решена, и многие сайты с высокой посещаемостью сегодня успешно используют идентификаторы сеансов. Но для любого развертывания с несколькими серверами идентификаторы сеанса потребуют осторожное мышление и системная архитектура, чтобы кеш рабочей сессии.

§Билеты на сеанс

Для решения этой проблемы при развертывании сеанса TLS на стороне сервера. кеши, механизм замены «Session Ticket» (RFC 5077) был введено, что устраняет требование к серверу сохранять состояние сеанса для каждого клиента.Вместо этого, если клиент указывает, что он поддерживает билеты сеанса, сервер может включать новый сеанс Запись билета , которая включает все согласованные данные сеанса зашифровано секретным ключом, известным только серверу.

Этот билет сеанса затем сохраняется клиентом и может быть включен в расширении SessionTicket внутри ClientHello сообщение следующего сеанса. Таким образом, все данные сеанса хранятся только на клиенте, но билет по-прежнему в безопасности потому что он зашифрован ключом, известным только серверу.

Идентификаторы сеанса и механизмы билета сеанса соответственно, обычно называемые сессионное кеширование и возобновления без сохранения состояния механизмов. Главное улучшение Возобновление без сохранения состояния — это удаление кеша сеанса на стороне сервера, что упрощает развертывание, требуя от клиента предоставления билет сеанса при каждом новом подключении к серверу, то есть до тех пор, пока срок действия билета истек.

На практике развертывание билетов сеанса в наборе серверы с балансировкой нагрузки также требуют тщательного мышления и систем архитектура: все серверы должны быть инициализированы одним и тем же сеансом ключ, и требуется дополнительный механизм, чтобы периодически и безопасно повернуть общий ключ на всех серверах.

§Цепь Доверительных и Сертификационных Центров

Аутентификация является неотъемлемой частью установления каждого TLS. связь.Ведь можно вести разговор за зашифрованный туннель с любым партнером, включая злоумышленника, и если мы не сможем убедитесь, что хозяин, с которым мы говорим, тот, которому мы доверяем, тогда все работа по шифрованию могла быть напрасной. Чтобы понять, как мы можем проверить идентичность партнера, давайте рассмотрим простой рабочий процесс аутентификации между Алисой и Бобом:

И Алиса, и Боб генерируют свои собственные открытый и закрытый ключи.
И Алиса, и Боб скрывают свои закрытые ключи.
Алиса делится своим открытым ключом с Бобом, а Боб — с Алиса.
Алиса создает новое сообщение для Боба и подписывает его. закрытый ключ.
Боб использует открытый ключ Алисы для проверки предоставленного сообщения. подпись.

Доверие — ключевой компонент предыдущего обмена.Конкретно, шифрование с открытым ключом позволяет нам использовать открытый ключ отправителя для убедитесь, что сообщение было подписано правильным закрытым ключом, но решение об утверждении отправителя по-прежнему основано на доверии. В только что показанный обмен, Алиса и Боб могли бы обменяться своими общедоступными при личной встрече, и поскольку они хорошо знают друг друга, они уверены, что их обмен не был скомпрометирован самозванец — возможно, они даже подтвердили свою личность через другого, секретное (физическое) рукопожатие, которое они установили ранее!

Затем Алиса получает сообщение от Чарли, с которым она никогда не встречалась, но который утверждает, что является другом Боба.Фактически, чтобы доказать, что он дружив с Бобом, Чарли попросил Боба подписать свой открытый ключ с помощью закрытый ключ и прикрепил эту подпись к своему сообщению (рис. 4-4). В этом случае Алиса сначала проверяет Подпись Боба на ключе Чарли. Она знает открытый ключ Боба и поэтому возможность проверить, действительно ли Боб подписал ключ Чарли. Потому что она доверяет Решение Боба проверить Чарли, она принимает сообщение и выполняет аналогичная проверка целостности сообщения Чарли, чтобы убедиться, что это так, действительно, от Чарли.Рисунок 4-4. Цепочка доверия для Алисы, Боб, и Чарли

То, что мы только что сделали, это установление цепочки доверия: Алиса доверяет Боб, Боб доверяет Чарли, и в результате транзитивного доверия Алиса решает доверять Чарли. Пока никто в цепочке не скомпрометирован, это позволяет нам создавать и расширять список доверенных лиц.

Аутентификация в Интернете и в вашем браузере выполняется точно так же процесс, как показано. Это означает, что на этом этапе вы должны спросить: кому доверяет ваш браузер и кому вы доверяете, когда используете браузер? На этот вопрос есть как минимум три ответа:

Сертификаты, указанные вручную: Каждый браузер и операционная система предоставляет вам механизм для вручную импортируйте любой сертификат, которому вы доверяете.Как получить сертификат и проверка его целостности полностью зависит от вас.
Центры сертификации: Центр сертификации (ЦС) — это доверенная третья сторона, которая доверяет как субъект (владелец) сертификата, так и сторона полагаясь на сертификат.
Браузер и операционная система: Каждая операционная система и большинство браузеров поставляются со списком известные центры сертификации.Таким образом, вы также доверяете продавцам этого программного обеспечения, чтобы предоставить и поддерживать список доверенных сторон.

На практике было бы непрактично хранить и вручную проверять каждый и каждый ключ для каждого веб-сайта (хотя вы можете, если так наклонный). Следовательно, наиболее распространенным решением является использование сертификата. органы (ЦС), которые выполняют эту работу за нас (рис. 4-5): браузер указывает, каким ЦС доверять (корневые центры сертификации), а затем на них ложится бремя проверки каждого сайта, который они подписать, а также проверить и убедиться, что эти сертификаты не используются неправомерно или скомпрометирован.Если безопасность любого сайта с сертификатом ЦС нарушено, то этот ЦС также обязан отозвать скомпрометированный сертификат. Рисунок 4-5. Подписание ЦС цифровых сертификаты

Каждый браузер позволяет вам проверять цепочку доверия вашего безопасного соединение (рис. 4-6), обычно доступное, щелкнув на значке замка рядом с URL-адресом. Рисунок 4-6. Цепочка сертификатов доверия для igvita.com (Google Chrome, версия 25)

igvita.com сертификат подписан StartCom Class 1 Primary Промежуточный сервер.
Сертификат первичного промежуточного сервера StartCom класса 1 подписан Центром сертификации StartCom.
StartCom Certification Authority — это признанный корневой сертификат власть.

«Якорем доверия» для всей цепочки является корневой сертификат. полномочия, которым в только что показанном случае является Сертификат StartCom Власть.Каждый браузер поставляется с предварительно инициализированным списком доверенных центры сертификации («корни»), и в этом случае браузер доверяет и может проверить корневой сертификат StartCom. Следовательно, через транзитивная цепочка доверия к браузеру, поставщику браузера и Центр сертификации StartCom, мы расширяем доверие до места назначения сайт.

§Прозрачность сертификата

Каждый поставщик операционной системы и каждый браузер предоставляют общедоступную список всех центров сертификации, которым они доверяют по умолчанию.Использовать ваша любимая поисковая система, чтобы найти и исследовать эти списки. В практики, вы обнаружите, что большинство систем полагается на сотни проверенных центры сертификации, что также является частой жалобой на система: большое количество доверенных центров сертификации создает большую поверхность для атак область против цепочки доверия в вашем браузере.

Хорошая новость — Сертификат Проект прозрачности работает над устранением этих недостатков, предоставляя структура — общедоступный журнал — для мониторинга и аудита выпуска всех новые сертификаты.Посетите веб-сайт проекта, чтобы узнать больше.

§ Отзыв сертификата

Иногда издателю сертификата необходимо отозвать или признать сертификат недействительным по ряду возможных причин: закрытый ключ сертификата был скомпрометирован, сертификат сам авторитет был скомпрометирован, или из-за множества более мягких такие причины, как заменяющий сертификат, изменение принадлежности и т. д. на. Для решения этой проблемы сами сертификаты содержат инструкции (Рисунок 4-7) о том, как проверьте, не были ли они отозваны.Следовательно, чтобы гарантировать, что цепочка доверия не скомпрометирован, каждый одноранговый узел может проверить статус каждого сертификата с помощью следуя встроенным инструкциям вместе с подписями, так как это проверяет цепочку сертификатов. Рисунок 4-7. Инструкции CRL и OCSP для igvita.com (Google Chrome, версия 25)

§Сертификат Список отзыва (CRL)

Список отозванных сертификатов (CRL) определен RFC 5280 и определяет простой механизм проверки статуса каждого сертификата: каждый центр сертификации ведет и периодически публикует список серийных номеров отозванных сертификатов.Любой, кто пытается подтвердить сертификат затем может загрузить список отзыва, кэшировать его и проверьте наличие в нем определенного серийного номера — если он присутствует, то он был отозван.

Этот процесс прост и понятен, но он имеет ряд ограничения:

Растущее число отзывов означает, что список CRL будет становятся только длиннее, и каждый клиент должен получить весь список серийные номера.
Нет механизма мгновенного уведомления о сертификате. отзыв — если CRL был кэширован клиентом до сертификат был отозван, то CRL будет считать отозванным сертификат действителен до истечения срока действия кеша.
Необходимость получить последний список CRL из CA может блокировать проверка сертификата, которая может значительно увеличить задержку Рукопожатие TLS.
Получение CRL может завершиться ошибкой по разным причинам, и в таких случаях поведение браузера не определено. Большинство браузеров рассматривают такие случаев как «мягкий сбой», позволяя продолжить проверку — да, ой.

§Онлайн Протокол статуса сертификата (OCSP)

Чтобы устранить некоторые ограничения механизма CRL, Online Протокол статуса сертификата (OCSP) был введен RFC 2560, который предоставляет механизм для выполнения проверки в реальном времени статуса сертификат.В отличие от файла CRL, который содержит все отозванные серийные номера номеров, OCSP позволяет клиенту запрашивать базу данных сертификатов CA непосредственно для только серийного номера, о котором идет речь, при проверке цепочка сертификатов.

В результате механизм OCSP потребляет меньше полосы пропускания и может для обеспечения проверки в реальном времени. Однако требование выполнить Запросы OCSP в реальном времени создают свой собственный набор проблем:

CA должен быть в состоянии обрабатывать нагрузку запросов в реальном времени.
Центр сертификации должен гарантировать, что служба работает и доступна по всему миру. всегда.
Запросы OCSP в реальном времени могут нарушить конфиденциальность клиента, поскольку CA знает, какие сайты посещает клиент.
Клиент должен блокировать запросы OCSP во время проверки цепочка сертификатов.
Поведение браузера снова не определено и обычно приводит к «мягкому сбою», если выборка OCSP завершается неудачно из-за сети тайм-аут или другие ошибки.

В качестве реальной точки данных телеметрия Firefox показывает, что OCSP время ожидания запросов составляет 15% времени, и добавьте примерно 350 мс до подтверждения TLS в случае успеха — см. Hpbn.co/ocsp-performance.

§OCSP Сшивание

По причинам, указанным выше, ни отзыва CRL, ни OSCP механизмы предлагают гарантии безопасности и производительности, которые мы желаем для наших приложений.Однако не отчаивайтесь, ведь сшивание OCSP (RFC 6066, расширение «Запрос статуса сертификата») адресовано большинству проблемы, которые мы видели ранее, разрешив выполнение проверки сервер и будет отправлен («скреплен») как часть рукопожатия TLS на клиент:

Вместо клиента, отправляющего запрос OCSP, это сервер который периодически извлекает подписанный OCSP с отметкой времени ответ от CA.
Затем сервер добавляет (т. Е. «Скрепляет») подписанный OCSP. ответ как часть рукопожатия TLS, позволяя клиенту проверить как сертификат, так и прикрепленный отзыв OCSP запись, подписанная CA.

Эта смена ролей безопасна, поскольку скрепленная запись подписана ЦС и может быть проверен клиентом, и предлагает ряд важные преимущества:

Клиент не пропускает историю переходов.
Клиенту не нужно блокировать и запрашивать сервер OCSP.
Клиент может завершить обработку отзыва, если сервер opts-in (путем рекламы флага OSCP «Must-Staple») и проверка не удалась.

Короче говоря, чтобы получить как лучшую безопасность, так и гарантии производительности, не забудьте настроить и протестировать сшивание OCSP на своих серверах.

Протокол записи TLS

В отличие от уровней IP или TCP ниже, все данные обмениваются внутри Сеанс TLS также создается с использованием четко определенного протокола (рис. 4-8). Запись TLS протокол отвечает за идентификацию различных типов сообщений (рукопожатие, предупреждение или данные через поле «Тип содержимого»), а также обеспечение безопасности и проверка целостности каждого сообщения. Рисунок 4-8. Структура записи TLS

Типичный рабочий процесс для доставки данных приложения выглядит следующим образом:

Протокол записи принимает данные приложения.
Полученные данные разбиваются на блоки: максимум 2 ¹⁴ байт или 16 КБ на запись.
Код аутентификации сообщения (MAC) или HMAC добавляется к каждой записи.
Данные в каждой записи зашифрованы с использованием согласованного шифра.

По завершении этих шагов зашифрованные данные передаются в уровень TCP для транспорта.На принимающей стороне тот же рабочий процесс, но в обратном порядке применяется одноранговым узлом: расшифровать запись с использованием согласованного зашифровать, проверить MAC, извлечь и доставить данные в приложение, указанное выше Это.

Хорошая новость заключается в том, что вся только что показанная работа выполняется TLS. сам слой и полностью прозрачен для большинства приложений. Тем не мение, протокол записи вводит несколько важных выводов, которые мы нужно знать:

Максимальный размер записи TLS составляет 16 КБ.
Каждая запись содержит 5-байтовый заголовок, MAC (до 20 байтов для SSLv3, TLS 1.0, TLS 1.1 и до 32 байтов для TLS 1.2) и заполнение если используется блочный шифр.
Чтобы расшифровать и проверить запись, вся запись должна быть имеется в наличии.

Выбор правильного размера записи для вашего приложения, если у вас есть возможность сделать это может быть важной оптимизацией. Небольшие записи влекут за собой большие накладные расходы ЦП и байтов из-за кадрирования записи и проверки MAC, тогда как большие записи должны быть доставлены и собраны заново Уровень TCP, прежде чем они могут быть обработаны уровнем TLS и доставлены в ваше приложение — перейдите к разделу «Оптимизация размера записи TLS, чтобы получить полный доступ» подробности.

§Оптимизация для TLS

Для развертывания вашего приложения через TLS потребуется дополнительная работа, как внутри вашего приложения (например, перенос ресурсов на HTTPS, чтобы избежать смешанный контент), а также от конфигурации инфраструктуры отвечает за доставку данных приложения по TLS. Хорошо настроенный развертывание может иметь огромное положительное значение в наблюдаемых производительность, удобство использования и общие эксплуатационные расходы. Давай нырнем в.

§Сокращение вычислений Стоит

Создание и поддержание зашифрованного канала вводит дополнительные вычислительные затраты для обоих партнеров. В частности, сначала существует асимметричное (с открытым ключом) шифрование, используемое во время TLS рукопожатие (объяснение TLS Handshake). Затем, когда общий секрет установлен, он используется как симметричный ключ для шифрования всех записей TLS.

Как мы уже отмечали ранее, криптография с открытым ключом требует больше вычислений. дорого по сравнению с криптографией с симметричным ключом, а в первые дни Интернета часто требовали дополнительного оборудования для выполнения «Разгрузка SSL.»Хорошая новость в том, что в этом больше нет необходимости и то, что когда-то требовало специального оборудования, теперь можно сделать прямо на ПРОЦЕССОР. Крупные организации, такие как Facebook, Twitter и Google, которые предлагать TLS миллиардам пользователей, выполнять все необходимые TLS переговоры и вычисления в программном обеспечении и на серийном оборудовании.

В январе этого года (2010) Gmail перешел на использование HTTPS для все по умолчанию. Ранее он был представлен как вариант, но теперь все наши пользователи используют HTTPS для защиты своей электронной почты между их браузерами и Google, все время.Для этого нам не пришлось развертывать никаких дополнительных машин и специального оборудования. На на наших производственных интерфейсных машинах SSL / TLS составляет менее 1% загрузки ЦП, менее 10 КБ памяти на одно соединение и менее более 2% накладных расходов сети. Многие считают, что SSL / TLS требует много процессорного времени, и мы надеемся, что предыдущие цифры (общедоступны для первый раз) поможет это развеять.
Если вы перестанете читать сейчас, вам нужно запомнить только одно: SSL / TLS больше не требует больших вычислительных затрат.
Адам Лэнгли (Google)

Мы развернули TLS в большом масштабе, используя как оборудование, так и программные балансировщики нагрузки. Мы обнаружили, что современные программные TLS реализации, работающие на обычных процессорах, достаточно быстры, чтобы справиться с высокая нагрузка HTTPS-трафика без необходимости использования выделенных криптографическое оборудование. Мы обслуживаем весь наш HTTPS-трафик, используя программное обеспечение, работающее на серийном оборудовании.
Дуг Бивер (Facebook)

Эллиптическая кривая Диффи-Хеллмана (ECDHE) — это всего лишь немного больше. дороже RSA для эквивалентного уровня безопасности… На практике развертывания, мы обнаружили, что включение и определение приоритета шифра ECDHE наборы фактически вызвали незначительное увеличение загрузки ЦП. HTTP сообщения поддержки активности и возобновление сеанса означают, что большинство запросов не требуется полное рукопожатие, поэтому операции рукопожатия не доминируют в нашем Использование процессора.Мы обнаружили, что 75% клиентских запросов Twitter пересылаются соединения установлены с помощью ECDHE. Остальные 25% составляют в основном это старые клиенты, которые еще не поддерживают шифр ECDHE апартаменты.
Джейкоб Хоффман-Эндрюс (Twitter)

Чтобы добиться наилучших результатов в собственных развертываниях, извлеките максимум из Сессия TLS Возобновление — разверните, оцените и оптимизируйте процент успеха. Устранение необходимости выполнять дорогостоящую криптографию с открытым ключом операции при каждом рукопожатии значительно уменьшат как вычислительные затраты и время ожидания TLS; нет причин тратить CPU циклы работы, которую вам не нужно делать.

Говоря об оптимизации циклов ЦП, убедитесь, что ваши серверы в актуальном состоянии с последней версией библиотек TLS! Кроме того к улучшениям безопасности, вы также часто будете видеть производительность преимущества. Безопасность и производительность идут рука об руку.

§Включить 1-RTT TLS Рукопожатия

Неоптимизированное развертывание TLS может легко добавить много дополнительных туда и обратно и вводят значительную задержку для пользователя — e.грамм. рукопожатие с несколькими RTT, медленный и неэффективный отзыв сертификата проверки, большие записи TLS, требующие многократного обращения и т. д. Не будь тем сайтом, ты можешь сделать намного лучше.

Хорошо настроенное развертывание TLS должно добавить не более одного дополнительного туда и обратно для согласования TLS-соединения, независимо от независимо от того, является ли он новым или возобновленным, и избегайте всех других ловушек, связанных с задержкой: настроить возобновление сеанса и включить прямую секретность, чтобы включить TLS Фальстарт.

Чтобы получить наилучшую сквозную производительность, обязательно проведите аудит обоих собственные и сторонние сервисы и серверы, используемые вашим приложением, включая вашего провайдера CDN. Для быстрого обзора табеля успеваемости популярные серверы и CDN, посетите istlsfastyet.com.

§Оптимизировать повторное использование соединения

Лучший способ минимизировать задержку и вычислительные затраты установка новых соединений TCP + TLS предназначена для оптимизации повторного использования соединений.Таким образом снижаются затраты на установку по запросам и обеспечивается значительная более быстрый опыт для пользователя.

Убедитесь, что настройки вашего сервера и прокси-сервера позволяют соединения keepalive и аудит настроек тайм-аута соединения. Многие популярные серверы устанавливают агрессивные тайм-ауты соединения (например, некоторые Apache версии по умолчанию имеют таймаут 5 секунд), что заставляет много ненужных повторные переговоры. Для достижения наилучших результатов используйте свои журналы и аналитику, чтобы определить оптимальные значения тайм-аута.

§Первая прибыль Прекращение действия

Как мы обсуждали в Primer on Latency and Пропускная способность, мы не сможем ускорить передачу наших пакетов, но мы можем заставить их пройти меньшее расстояние. Разместив наш «край» серверов ближе к пользователю (рис. 4-9), мы можем значительно сократить время приема-передачи и общая стоимость рукопожатий TCP и TLS. Рисунок 4-9. Досрочное увольнение клиента связи

Простым способом добиться этого является использование услуг сеть доставки контента (CDN), которая поддерживает пулы пограничных серверов по всему миру или развернуть свой собственный.Позволяя пользователю разорвать соединение с ближайшим сервером, вместо того, чтобы пересекать через океаны и континентальные ссылки на вашу страну происхождения, клиент получает преимущество «досрочного прекращения» с более короткими поездками туда и обратно. Эта техника одинаково полезен и важен как для статического, так и для динамического контента: static контент также может кэшироваться и обслуживаться пограничными серверами, тогда как динамические запросы могут быть перенаправлены по установленным соединениям из край к исходной точке.

§ Некэшированная исходная выборка

Метод использования CDN или прокси-сервера для получения ресурс, который может потребоваться настроить для каждого пользователя или содержит другие частные данные, и, следовательно, не является глобально кешируемым ресурсом на edge, обычно известен как «некэшируемая исходная выборка».

Хотя сети CDN работают лучше всего, когда данные кэшируются в географически распределенном серверов по всему миру, некэшированная исходная выборка по-прежнему обеспечивает очень важная оптимизация: клиентское соединение прерывается с соседний сервер, который может значительно сократить рукопожатие затраты на задержку.В свою очередь, CDN или ваш собственный прокси-сервер может поддерживать «теплый пул соединений» для передачи данных источнику серверов, что позволяет быстро вернуть ответ клиенту.

Фактически в качестве дополнительного уровня оптимизации некоторые CDN провайдеры будут использовать соседние серверы на обеих сторонах соединения! Клиентское соединение разрывается на ближайшем узле CDN, который затем передает запрос узлу CDN, расположенному близко к источнику, и затем запрос направляется к источнику.Переход в сети CDN позволяет маршрутизировать трафик по оптимизированной магистрали CDN, что может помочь еще больше уменьшить задержку между клиентом и источником серверы.

§Настройка кэширования сеанса и возобновления без сохранения состояния

Прерывание соединения ближе к пользователю — оптимизация это поможет уменьшить задержку для ваших пользователей во всех случаях, кроме одного раза опять же, ни один бит не может быть быстрее, чем бит, который не был отправлен — отправьте меньше битов.Включение Кэширование сеанса TLS и возобновление без сохранения состояния позволяет нам устранить полная обратная задержка и сокращение вычислительных накладных расходов для повторные посетители.

Идентификаторы сеанса, от которых зависит кеширование сеанса TLS, были введены в SSL 2.0 и имеют широкую поддержку среди большинства клиентов и серверы. Однако, если вы настраиваете TLS на своем сервере, не Предположим, что поддержка сеанса будет включена по умолчанию. На самом деле это больше Обычно он отключен на большинстве серверов по умолчанию, но вам виднее! Дважды проверьте и проверьте конфигурацию вашего сервера, прокси и CDN:

Серверы с несколькими процессами или рабочими должны использовать общий кеш сеанса.
Размер общего кеша сеанса должен быть настроен в соответствии с вашими уровнями трафика.
Должен быть указан период ожидания сеанса.
В конфигурации с несколькими серверами маршрутизация одного и того же IP-адреса клиента или одного и того же Идентификатор сеанса TLS на один и тот же сервер — это один из способов обеспечить использование кеша сеанса.
Если «липкая» балансировка нагрузки невозможна, общий кеш должен использоваться между разными серверами для обеспечения хорошего сеанса использование кеша, и необходимо установить безопасный механизм для обмена и обновления секретных ключей для расшифровки предоставленного сеанса Билеты.
Проверяйте и отслеживайте статистику кеширования сеансов TLS для наилучшего представление.

На практике и для достижения наилучших результатов вам следует настроить оба сеанса. кэширование и механизмы сеансового билета. Эти механизмы работают вместе чтобы обеспечить наилучшее покрытие как для новых, так и для старых клиентов.

§Включение ложного запуска TLS

Возобновление сеанса дает два важных преимущества: устраняет дополнительное рукопожатие в оба конца для возвращающихся посетителей и сокращает вычислительные затраты на рукопожатие, позволяя повторно использовать ранее согласованные параметры сеанса.Однако это не помогает в тех случаях, когда посетитель общается с сервером впервые, или если предыдущая сессия истекла.

Чтобы получить лучшее из обоих миров — рукопожатие в оба конца для новых и повторных посетителей и экономия вычислительных ресурсов для повторных посетителей — мы можем используйте TLS False Start, которое является необязательным расширением протокола, позволяет отправителю отправлять данные приложения (рис. 4-10), когда рукопожатие только частично завершено.Рисунок 4-10. Рукопожатие TLS с False Начинать

False Start не изменяет протокол рукопожатия TLS, а скорее влияет только на время протокола, когда данные приложения могут быть послал. Интуитивно понятно, как только клиент отправил ClientKeyExchange запись, она уже знает шифрование ключ и может начать передачу данных приложения — остальную часть рукопожатие проводится для подтверждения того, что никто не вмешивался в записи рукопожатия и могут выполняться параллельно.В результате False Пуск позволяет нам сохранить рукопожатие TLS за один проход независимо от того, от того, выполняем ли мы полное или сокращенное рукопожатие.

§Развертывание TLS Ложь Старт

Потому что False Start только изменяет время рукопожатия протокол, он не требует никаких обновлений самого протокола TLS и может быть реализован в одностороннем порядке, то есть клиент может просто начать передача зашифрованных данных приложения раньше.Ну вот и теория.

На практике, даже если TLS False Start должен быть обратным совместим со всеми существующими клиентами и серверами TLS, что позволяет по умолчанию для всех подключений TLS оказалось проблематичным из-за некоторых плохо реализованные сервера. В результате все современные браузеры может использовать ложный запуск TLS, но будет делать это только при определенных условия выполняются сервером:

Chrome и Firefox требуют объявления протокола ALPN для присутствовать в рукопожатии сервера, и что набор шифров выбранный сервером обеспечивает прямую секретность.
Safari требует, чтобы набор шифров, выбранный сервером обеспечивает прямую секретность.
Internet Explorer использует комбинацию черного списка известных сайты, которые ломаются при включении TLS False Start, и тайм-аут для повторения рукопожатия, если квитирование TLS False Start не удалось.

Чтобы включить ложный запуск TLS во всех браузерах, сервер должен рекламировать список поддерживаемых протоколов через расширение ALPN — e.грамм., «h3, http / 1.1» — и должен быть настроен для поддержки и предпочтения наборов шифров. которые обеспечивают прямую секретность.

§Оптимизировать размер записи TLS

Все данные приложения, доставляемые через TLS, передаются в протокол записи (рисунок 4-8). Максимальный размер каждого размер записи составляет 16 КБ, и в зависимости от выбранного шифра каждая запись будет добавить от 20 до 40 байтов служебных данных для заголовка, MAC и необязательная прокладка.Если запись затем умещается в один TCP-пакет, тогда мы также должны добавить служебные данные IP и TCP: 20-байтовый заголовок для IP и 20-байтовый заголовок для TCP без параметров. В результате есть Потенциально от 60 до 100 байтов накладных расходов для каждой записи. Для типичный максимальный размер блока передачи (MTU) 1500 байт на провод, эта структура пакета переводит как минимум 6% кадрирования накладные расходы.

Чем меньше запись, тем выше накладные расходы на кадрирование.Тем не мение, просто увеличить размер записи до максимального размера (16 КБ) — это не обязательно хорошая идея. Если запись охватывает несколько пакетов TCP, тогда уровень TLS должен дождаться прибытия всех пакетов TCP, прежде чем он может расшифровать данные (рис. 4-11). Если какой-либо из этих пакетов TCP получит потерян, переупорядочен или задросселирован из-за перегрузки, тогда отдельные фрагменты записи TLS необходимо буферизовать перед они могут быть декодированы, что приводит к дополнительной задержке.На практике, эти задержки могут создать значительные узкие места для браузера, которые предпочитает использовать данные в потоковом режиме. Рисунок 4-11. WireShark захватывает 11211-байтовая запись TLS, разделенная на 8 сегментов TCP

Маленькие записи несут накладные расходы, большие записи вызывают задержку, и там нет единственного значения для «оптимального» размера записи. Вместо этого для Интернета приложения, которые использует браузер, лучшая стратегия — для динамической регулировки размера записи в зависимости от состояния TCP связь:

Если соединение новое и окно перегрузки TCP низкое, или когда соединение какое-то время простаивало (см. Медленный старт Restart), каждый пакет TCP должен содержать ровно одну запись TLS, и запись TLS должна занимать полный максимальный размер сегмента (MSS), выделенный TCP.
Когда окно перегрузки соединения велико, и если мы передача большого потока (например, потокового видео), размер запись TLS может быть увеличена для охвата нескольких пакетов TCP (до 16 КБ), чтобы снизить нагрузку на кадры и ЦП на клиенте и сервере.

Если TCP-соединение было в режиме ожидания, и даже если медленный запуск На сервере отключен перезапуск, лучшая стратегия — уменьшить размер записи при отправке нового пакета данных: условия могут изменились с момента последней передачи, и наша цель — свести к минимуму вероятность буферизации на прикладном уровне из-за потери пакеты, переупорядочивание и повторные передачи.

Использование динамической стратегии обеспечивает максимальную производительность для интерактивный трафик: небольшой размер записи исключает ненужную буферизацию задержка и улучшает время до первого — {HTML-байт,…, видео frame} , а больший размер записи оптимизирует пропускную способность за счет минимизация накладных расходов TLS для долгоживущих потоков.

Чтобы определить оптимальный размер записи для каждого состояния, начнем с начальный случай нового или незанятого TCP-соединения, когда мы хотим избежать Записи TLS из нескольких пакетов TCP:

Выделите 20 байтов для служебных данных кадрирования IPv4 и 40 байтов для IPv6.
Выделите 20 байтов для служебных данных кадрирования TCP.
Выделите 40 байтов для служебных данных опций TCP (отметки времени, SACK).

Если исходный MTU составляет 1500 байт, остается 1420 байт. для записи TLS, доставленной по IPv4, и 1400 байт для IPv6. Быть в будущем используйте размер IPv6, который оставляет нам 1400 байт для каждую запись TLS и при необходимости отрегулируйте, если ваш MTU ниже.

Затем решение о том, когда следует увеличить размер записи. и сбросить, если соединение было бездействующим, может быть установлено на основе предварительно настроенные пороги: увеличьте размер записи до 16 КБ после X КБ данных было перенесено, и сбросить запись размер после Y миллисекунд простоя.

Обычно мы не можем настроить размер записи TLS. управление на прикладном уровне.Вместо этого часто это настройка и иногда постоянная времени компиляции для вашего TLS-сервера. Проверить документации вашего сервера для получения подробной информации о том, как настроить эти значения.

§ Оптимизация TLS в Google

По состоянию на начало 2014 г. серверы Google используют небольшие записи TLS, которые подходят в один сегмент TCP для первого 1 МБ данных, увеличьте запись размер до 16 КБ после этого для оптимизации пропускной способности, а затем сбросить размер записи обратно в один сегмент после одной секунды бездействие — вспенить, сполоснуть, повторить.

Аналогично, если ваши серверы обрабатывают большое количество TLS подключений, то минимизация использования памяти для каждого подключения может быть жизненная оптимизация. По умолчанию популярные библиотеки, такие как OpenSSL будет выделять до 50 КБ памяти на каждое соединение, но, как и в случае размер записи, возможно, стоит проверить документацию или источник код для настройки этого значения. Серверы Google сокращают свои Буферы OpenSSL уменьшаются примерно до 5 КБ.

§Оптимизировать Цепочка сертификатов

Проверка цепочки доверия требует, чтобы браузер прошел через цепочку, начиная с сертификата сайта, и рекурсивно проверьте сертификат родителя, пока он не достигнет доверенного корня. Следовательно, это важно, чтобы предоставленная цепочка включала все промежуточные сертификаты. Если какие-либо из них опущены, браузер будет вынужден приостановить работу. процесс проверки и получить недостающие сертификаты, добавив дополнительные поиски DNS, рукопожатия TCP и HTTP-запросы в процесс.

Как браузер узнает, откуда брать недостающие сертификаты? Каждый дочерний сертификат обычно содержит URL-адрес для родитель. Если URL-адрес опущен, а требуемый сертификат не указан включен, то проверка не удастся.

И наоборот, не включайте ненужные сертификаты, такие как доверенные корни в вашей цепочке сертификатов — они добавляют ненужные байты. Напомним, что цепочка сертификатов сервера отправляется как часть TLS. рукопожатие, которое, вероятно, происходит через новое TCP-соединение, которое на ранних этапах своего алгоритма медленного старта.Если сертификат размер цепочки превышает начальное окно перегрузки TCP, тогда мы непреднамеренно добавить дополнительные обходы к рукопожатию TLS: длина сертификата переполнит окно перегрузки и вызовет сервер, чтобы остановить и дождаться подтверждения клиента, прежде чем продолжить.

На практике размер и глубина цепочки сертификатов были очень значительными. большие проблемы и проблемы со старыми стеками TCP, которые инициализировали свои начальное окно перегрузки до 4 сегментов TCP — см. Медленный запуск.Для новее развертываний, начальное окно перегрузки увеличено до 10 TCP сегментов и должно быть более чем достаточно для большинства сертификатов цепи.

Тем не менее, убедитесь, что ваши серверы используют последний стек TCP и настройки, а также оптимизировать и уменьшить размер вашего сертификата цепь. Отправка меньшего количества байтов — это всегда хорошо и стоит оптимизация.

§Настройка сшивания OCSP

Каждое новое соединение TLS требует, чтобы браузер проверял подписи отправленной цепочки сертификатов.Однако есть еще одно важный шаг, который мы не можем забыть: браузер также должен проверять что сертификаты не отозваны.

Для проверки статуса сертификата браузер может использовать один из несколько методов: Список отозванных сертификатов (CRL), Статус онлайн-сертификата Протокол (OCSP) или OCSP Сшивание. У каждого метода есть свои ограничения, но OCSP Stapling обеспечивает, безусловно, лучшие гарантии безопасности и производительности — см. подробности в предыдущих разделах.Обязательно настройте свои серверы на включить (скрепить) ответ OCSP от CA к предоставленному цепочка сертификатов. Это позволит браузеру выполнить проверка отзыва без дополнительных сетевых обходов и с улучшенными гарантии безопасности.

ответов OCSP могут иметь размер от 400 до 4000 байт. Привязка этого ответа к вашей цепочке сертификатов увеличит его size — обратите особое внимание на общий размер сертификата цепочка, чтобы она не переполняла начальное окно перегрузки для новых TCP-соединений.
Текущие реализации OCSP Stapling допускают только один OCSP ответ должен быть включен, что означает, что браузеру, возможно, придется откат к другому механизму отзыва, если ему нужно проверить другие сертификаты в цепочке — сократите длину своего цепочка сертификатов. В будущем OCSP Multi-Stapling должен решить эту конкретную проблему.

Самые популярные серверы поддерживают сшивание OCSP.Проверить соответствующие документация по поддержке и инструкции по настройке. Аналогично, если используя или выбирая CDN, убедитесь, что их стек TLS поддерживает и настроен на использование сшивания OCSP.

§ Включить строгую транспортную безопасность HTTP (HSTS)

HTTP Strict Transport Security — важная политика безопасности механизм, который позволяет источнику объявлять правила доступа совместимому браузер через простой HTTP-заголовок, например « Strict-Transport-Security: max-age = 31536000 «.В частности, он инструктирует пользовательского агента, чтобы соблюдать следующие правила:

Все запросы к источнику следует отправлять по HTTPS. Этот включает как навигацию, так и все другие подресурсы того же происхождения запросы — например, если пользователь вводит URL без префикса https пользовательский агент должен автоматически преобразовать его в запрос https; если страница содержит ссылку на не-https ресурс, пользователь агент должен автоматически преобразовать его, чтобы запросить версию https.
Если безопасное соединение не может быть установлено, пользователь не разрешено обойти предупреждение и запросить версию HTTP, т.е. источник только HTTPS.
max-age указывает время жизни указанного HSTS набор правил в секундах (например, max-age = 31536000 равно 365-дневному время жизни для рекламируемой политики).
includeSubdomains указывает, что политика должна применяется ко всем субдоменам текущего происхождения.

HSTS преобразует источник в пункт назначения, поддерживающий только HTTPS, и помогает защитить приложение от множества пассивных и активных сетей атаки. В качестве дополнительного бонуса он также предлагает хорошую производительность. оптимизация за счет устранения необходимости перенаправления HTTP-to-HTTPS: клиент автоматически перезаписывает все запросы в безопасный источник перед они отправлены!

Обязательно тщательно протестируйте развертывание TLS перед включением HSTS.После кэширования политики клиентом невозможность согласования Подключение TLS приведет к серьезному отказу, т. Е. пользователь увидит страницу с ошибкой браузера, и продолжить работу не удастся. Это поведение явный и необходимый выбор дизайна для предотвращения сетевых атак от обмана клиентов для получения доступа к вашему сайту без HTTPS.

Список предварительной загрузки §HSTS

Механизм HSTS оставляет самый первый запрос источнику незащищены от активных атак — e.грамм. злонамеренная сторона могла понизить рейтинг запроса клиента и предотвратить регистрацию Политика HSTS. Чтобы решить эту проблему, большинство браузеров предоставляют отдельный HSTS список предварительной загрузки «, который позволяет источнику запрашивать включен в список сайтов с поддержкой HSTS, которые поставляются с браузер.

Когда вы будете уверены в развертывании HTTPS, подумайте о добавление вашего сайта в список предварительной загрузки HSTS через hstspreload.appspot.com.

§Включить HTTP Закрепление открытого ключа (HPKP)

Один из недостатков существующей системы — как обсуждалось в Цепочка доверия и Центры сертификации — мы полагаемся на большое количество доверенные центры сертификации (CA). С одной стороны, это удобно, потому что это означает, что мы можем получить действующий сертификат из широкого круга организаций. Однако это также означает, что любой из эти организации также могут выдать действительный сертификат для наших и любое другое происхождение без их явного согласия.

Компрометация центра сертификации DigiNotar является одним из несколько громких примеров, когда злоумышленник смог выдать и использовать поддельные, но действительные сертификаты против сотен известных места.

Public Key Pinning позволяет сайту отправлять HTTP-заголовок, который указывает браузерам запомнить (закрепить) один или несколько сертификатов в свою цепочку сертификатов. Поступая таким образом, он может определить, какие сертификаты или эмитенты должны приниматься браузером на последующие посещения:

Источник может закрепить свой листовой сертификат.Это самый безопасная стратегия, потому что вы, по сути, жестко кодируете небольшой набор специальных подписей сертификатов, которые должны быть приняты браузер.
Источник может закрепить один из родительских сертификатов в цепочка сертификатов. Например, начало координат может закрепить промежуточный сертификат своего ЦС, который сообщает браузеру, что для этого конкретного происхождения, он должен доверять только сертификатам, подписанным этим конкретный центр сертификации.

Выбор правильной стратегии, для каких сертификатов закреплять, какие и сколько резервных копий предоставить, продолжительность и другие критерии для развертывания HPKP важны, детализированы и выходят за рамки нашего обсуждения. Проконсультируйтесь с вашей любимой поисковой системой или вашим местным гуру безопасности, чтобы узнать, больше информации.

HPKP также предоставляет режим «только отчет», который не обеспечивает принудительное выполнение предоставлен PIN-код, но может сообщать об обнаруженных сбоях.Это может быть отличный первый шаг к валидации вашего развертывания и служит механизм выявления нарушений.

§Обновить содержимое сайта на HTTPS

Для обеспечения максимальной безопасности и производительности критически важно что сайт фактически использует HTTPS для получения всех своих ресурсов. В противном случае мы столкнемся с рядом проблем, которые поставят под угрозу оба или хуже, сломайте сайт:

Смешанное «активное» содержимое (напр.грамм. поставлены скрипты и таблицы стилей через HTTP) будет заблокирован браузером и может нарушить функциональность сайта.
Смешанный «пассивный» контент (например, изображения, видео, аудио и т. Д., доставляется через HTTP) будет получен, но позволит злоумышленнику наблюдать и делать выводы о действиях пользователей, а также снижать производительность требующие дополнительных подключений и рукопожатий.

Проверяйте свой контент и обновляйте ресурсы и ссылки, в том числе сторонний контент, чтобы использовать HTTPS.Механизм политики безопасности контента (CSP) может окажут здесь большую помощь, как для выявления нарушений HTTPS, так и для обеспечения соблюдения желаемая политика.

Content-Security-Policy: обновления-небезопасные-запросы
Content-Security-Policy-Report-Only: default-src https :;
  report-uri https://example.com/reporting/endpoint

Указывает браузеру обновить все (собственные и сторонние) запросы к HTTPS.
Указывает браузеру сообщать о любых нарушениях, не связанных с HTTPS, на назначенная конечная точка.

CSP предоставляет настраиваемый механизм для управления активам разрешено использовать, и как и откуда они могут быть доставлено. Используйте эти возможности, чтобы защитить свой сайт и пользователей.

§ Контрольный список производительности

Как разработчики приложений мы защищены от большинства сложность протокола TLS — клиент и сервер выполняют большую часть тяжелая работа от нашего имени.Однако, как мы видели в этой главе, это не означает, что мы можем игнорировать аспекты производительности наших приложения через TLS. Настройка наших серверов для включения критически важного TLS оптимизации и настройки наших приложений, чтобы клиент мог Воспользуйтесь такими функциями, чтобы получить высокие дивиденды: более быстрое рукопожатие, уменьшенная задержка, лучшие гарантии безопасности и многое другое.

Имея это в виду, краткий контрольный список для включения в повестку дня:

Получите максимальную производительность от TCP; см. Оптимизация для TCP.
Обновите библиотеки TLS до последней версии и (пере) соберите серверы против них.
Включите и настройте кэширование сеанса и возобновление без сохранения состояния.
Отслеживайте процент попаданий в кэширование сеанса и настраивайте конфигурацию соответственно.
Настройте шифры прямой секретности, чтобы включить ложный запуск TLS.
Завершайте сеансы TLS ближе к пользователю, чтобы минимизировать круговые обходы задержки.
Используйте динамическое изменение размера записи TLS для оптимизации задержки и пропускная способность.
Проверяйте и оптимизируйте размер вашей цепочки сертификатов.
Настройте сшивание OCSP.
Настройте HSTS и HPKP.
Настроить политики CSP.
Включить HTTP / 2; см. HTTP / 2.

§Тестирование и проверка

Наконец, чтобы проверить и протестировать вашу конфигурацию, вы можете использовать онлайн сервис, такой как Qualys SSL Server Протестируйте общедоступный сервер на предмет общей конфигурации и безопасности. недостатки. Кроме того, вам следует ознакомиться с openssl интерфейс командной строки, который поможет вам проверить все рукопожатие и конфигурация вашего сервера локально.

    $> openssl s_client -state -CAfile root.ca.crt -connect igvita.com:443 

  ПОДКЛЮЧЕНО (00000003)
  SSL_connect: до инициализации / подключения
  SSL_connect: SSLv2 / v3 пишет клиенту привет A
  SSL_connect: SSLv3 читает сервер привет A
  глубина = 2 / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
          / CN = Центр сертификации StartCom
  проверить возврат: 1
  глубина = 1 / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
          / CN = ЦС первичного промежуточного сервера StartCom класса 1
  проверить возврат: 1
  глубина = 0 / описание = ABjQuqt3nPv7ebEG / C = США
          / CN = www.igvita.com/[email protected]
  проверить возврат: 1
  SSL_connect: SSLv3 читать сертификат сервера A
  SSL_connect: сервер чтения SSLv3 выполнен A
  SSL_connect: SSLv3 записывает обмен ключами клиента A
  SSL_connect: спецификация шифра изменения записи SSLv3 A
  SSL_connect: запись SSLv3 завершена A
  SSL_connect: данные сброса SSLv3
  SSL_connect: чтение SSLv3 завершено A
  ---
  Цепочка сертификатов
   0 с: / description = ABjQuqt3nPv7ebEG / C = US
       /CN=www.igvita.com/[email protected]
     i: / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
       / CN = ЦС первичного промежуточного сервера StartCom класса 1
   1 с: / C = IL / O = StartCom Ltd./ OU = Безопасная подпись цифрового сертификата
       / CN = ЦС первичного промежуточного сервера StartCom класса 1
     i: / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
       / CN = Центр сертификации StartCom
  ---
  Сертификат сервера
  ----- НАЧАТЬ СЕРТИФИКАТ -----
  ... отрезать ...
  ---
  Имена ЦС сертификатов клиента не отправлены
  ---
  Рукопожатие SSL прочитало 3571 байт и записало 444 байта
  ---
  Новый, TLSv1 / SSLv3, шифр RC4-SHA
  Открытый ключ сервера - 2048 бит
  Поддерживается безопасное повторное согласование
  Сжатие: НЕТ
  Расширение: НЕТ
  SSL-сессия:
      Протокол: TLSv1
      Шифр: RC4-SHA
      Идентификатор сеанса: 269349C84A4702EFA7...
      Идентификатор сеанса-ctx:
      Мастер-ключ: 1F5F5F33D50BE6228A ...
      Key-Arg: Нет
      Время начала: 1354037095
      Тайм-аут: 300 (сек)
      Проверить код возврата: 0 (ок)
  ---

Клиент завершил проверку полученной цепочки сертификатов.
Цепочка полученных сертификатов (два сертификата).
Размер полученной цепочки сертификатов.
Выданный идентификатор сеанса для возобновления TLS с отслеживанием состояния.

В предыдущем примере мы подключаемся к igvita.com через порт TLS по умолчанию (443) и выполните рукопожатие TLS. Поскольку s_client не делает предположения об известных корневых сертификатах, вручную указываем путь к корневому сертификату, который на момент написания является StartSSL Центр сертификации для домена примера.В вашем браузере уже есть общие корневые сертификаты и, таким образом, может проверить цепочку, но s_client не делает таких предположений. Попробуйте опустить корень сертификат, и вы увидите в журнале ошибку проверки.

Проверка цепочки сертификатов показывает, что сервер отправил два сертификаты, которые в сумме составляют 3571 байт. Также мы можем видеть согласованные переменные сеанса TLS — выбранный протокол, шифр, ключ — и мы можем также убедитесь, что сервер выдал идентификатор сеанса для текущего сессия, которая может быть возобновлена в будущем.

ssl — 2 уровня записи TLS в одном пакете

TCP — это протокол потока байтов. Данные, которые верхний уровень (например, TLS, но не ограничиваясь им) предоставляет в виде одного блока, могут быть отправлены в виде (с использованием нескольких сегментов) нескольких пакетов, а несколько блоков данных с верхнего уровня могут быть отправлены в одном сегменте / пакете. Вот почему заголовок уровня записи TLS содержит количество байтов в записи (после 5-байтового заголовка фиксированной длины), поэтому получатель знает, где заканчивается одна запись и нужно ли прочитать больше данных для завершения записи. , или уже доступны другие данные, составляющие другую запись.

Если вы захватите и посмотрите на (полное) рукопожатие, которое установило этот сеанс, вы, вероятно, увидите другой случай; как упомянул BillThor, серверы TLS обычно используют цепочку сертификатов, состоящую из нескольких сертификатов — хотя устройство IoT, такое как камера, может быть исключением и может закреплять частный или промежуточный ЦС, а не использовать общедоступный доверенный сертификат — и каждый сертификат обычно около 1 КБ или более, поэтому полная цепочка плюс небольшая часть для остальной части первого полета сервера, такой как ServerKX и CertReq, очень часто превышает PMTU, и поэтому должна отправляться в виде нескольких пакетов.В этом случае Wireshark покажет вам один или несколько пакетов как [TCP-сегмент повторно собранного PDU] , за которым следует пакет, который в дополнение к своим собственным данным будет отображать и декодировать объединенные (повторно собранные) данные из группы пакетов.

Многие другие протоколы и приложения, построенные на TCP, должны решать ту же проблему и использовать различные методы. Некоторые используют счетчики. Некоторые используют разделители, такие как SMTP для передачи содержимого электронной почты, которое может быть гигабайтами и принимать много пакетов, пока строка (разделенная CRLF) не будет состоять только из точки (.). Некоторые используют оба: HTTP / 1.1 может отправлять несколько запросов и ответов по одному соединению; каждый блок заголовка представляет собой текст в формате, подобном 822, после первой строки и ограничен пустой строкой (два CRLF подряд), в то время как тело (при его наличии) обычно определяется либо заголовком длины содержимого в блоке заголовка, либо серия заголовков блоков распространяется по данным, каждый из которых содержит части данных, составляющих . Конечно, некоторые приложения, такие как достопочтенный TELNET, просто передают серию байтов и вообще не предоставляют значимых записей.14 (16384) байтов, не требуется, чтобы блок данных, предоставленный отправителем, становился одной записью данных TLS или одна запись данных TLS доставлялась получателю как один блок данных.

В вашем случае соединение использует TLS1.0 . Вы не показываете и не описываете рукопожатие, которое его установило, но я предполагаю, что — это не , использующий RC4 (или, точнее, набор шифров, который включает RC4), который был значительно ослаблен атаками и теперь, как правило, запрещено все используют включая TLS.Таким образом, он должен использовать какой-то набор шифров CBC (в SSL3 через TLS1.1 это были единственные альтернативы), и я снова думаю, что это набор шифров AES-CBC. TLS1.0 (и SSL3) подвергся атаке с выбранным открытым текстом под названием BEAST, в результате которой большинство реализаций TLS1.0 выполняли «1 / n-разделение» (также известное как фрагментация) — когда отправитель предоставляет блок данных (подробнее чем 1 байт), стек TLS фактически отправляет только первый байт данных как одну запись данных приложения (которая для пакета AES-CBC с HMAC-SHA1 получает HMAC, дополняется и зашифровывается до 32-байтовой записи), а оставшаяся data (в вашем случае не более 27 байт) в качестве другой записи данных приложения (или нескольких в зависимости от длины).Поскольку в стеке TLS есть обе эти записи, готовые к отправке одновременно, и они обе помещаются (легко) в один сегмент TCP, они , вероятно, отправляются как один сегмент = пакет, но им это не обязательно. Конечно, более простое решение для BEAST — это просто полностью запретить TLS1.0, и через 8 лет после BEAST, когда TLS1.3 уже опубликован и развертывается, многие это делают.

Neardupes в других стеках:
https://crypto.stackexchange.com/questions/41709/weird-size-of-data-transmitted-in-sslv3
https://crypto.stackexchange.com/questions/41709/weird-size-of-data-transmitted-in-sslv3
https://crypto.ru/crypto.stackexchange.com/questions/14349/do-both-client-and-server-need-to-implement-openssl-protections-to-protect-from
https://stackoverflow.com/questions/33357924/mysterious-byte- after-tls-package
https://stackoverflow.com/questions/13528021/java-ssl-streaming-splitted-applicationdata/
https://stackoverflow.com/questions/15224909/jsse-wrap-creates-two-tls -пакеты-требующие-два-разворачивания-почему /

Стандартный формат записи ресурсов для TCP / IP

Справочник по файлам AIX версии 4

Стандартный формат записи ресурсов для TCP / IP

Назначение

Определяет формат строк в файлах данных с именем .

Описание

Записи в именованных файлах называются записями ресурсов . Файлы, использующие стандартный формат записи ресурсов:

Записи ресурсов

в файлах с именами имеют следующий общий формат:

{ Имя } { TTL } AddressClass RecordType RecordSpecificData

Определения полей

Имя	Зависит от поля RecordType .В поле Name можно указать имя домена, зону полномочий, имя хоста, псевдоним хоста или почтового ящика или идентификатор входа пользователя. Поле Имя должно начинаться с первого столбца. Если это поле оставить пустым, в качестве имени по умолчанию используется значение предыдущей записи ресурса.
TTL	Время жить. Это определяет, как долго запись хранится в базе данных. Если это поле оставить пустым, время жизни по умолчанию равно времени жизни, указанному в начале авторитетной записи.Это поле не является обязательным.
Адрес Класс	Адресный класс записи. В этом поле есть три действительных записи: ЛЮБОЙ для всех классов адресов, IN для Интернета и CHAOS для сети Хаоса.
Тип записи	Тип записи ресурса. Допустимые типы записей:
SOA	Начало авторитетной записи
NS	Запись сервера имен
A	Адресная запись
HINFO	Информационная запись хоста
WKS	Запись общеизвестных услуг
CNAME	Запись канонического имени
PTR	Запись указателя имени домена
МБ	Запись почтового ящика
MR	Почта переименовать запись имени
MINFO	Запись информации почтового ящика
MG	Запись участника почтовой группы
MX	Запись почтового обменника Подробности и примеры типов записей приведены ниже.
RecordSpecificData	Эти поля зависят от поля RecordType .

Хотя различия в регистре сохраняются при загрузке баз данных, все запросы к базе данных сервера имен не чувствительны к регистру.

Следующие символы имеют особое значение:

.	Если используется в поле Имя , a. (точка) указывает текущий домен. Примечание: Используйте расширение.(точка) в конце записей ресурсов, чтобы добавить путь к текущему домену.
. .	Если используется в поле Имя , две точки указывают нулевое доменное имя корневого домена.
@	Если используется в поле Имя , @ (знак at) указывает текущее происхождение.
\ X	Где X — любой символ, кроме цифр от 0 до 9 или . (точка), обратная косая черта перед символом указывает на то, что особое значение символа использовать не следует. Например, `\` @ (обратная косая черта, знак) можно использовать для вставки символа @ в метку записи в поле Имя .
\ DDD	Где каждый D — любое число от 0 до 9. Каждое число идентифицируется как двоичный октет, соответствующий этому числу. Эти октеты не проверяются на предмет специального значения. Примечание. Символ \ DDD не используется в поле Имя записи ресурса.
()	Круглые скобки указывают на то, что данные, разбитые более чем на одну строку, должны быть сгруппированы вместе. () (Круглые скобки) в настоящее время используются в ресурсных записях SOA и WKS .
;	Обозначает строку комментария. Все символы после; (точка с запятой) игнорируются.
*	* (звездочка) обозначает подстановочные знаки. Примечание: Символ * (звездочка) не используется в поле Имя записи ресурса.
Особые типы линий

Есть два специальных типа линий, которые не являются линиями данных. Вместо этого они указывают специальную обработку. Это строки $ INCLUDE и $ ORIGIN .

$ ВКЛЮЧИТЬ Имя файла

Эта строка начинается с первого столбца и сопровождается именем файла. Это указывает на то, что указанный файл должен быть включен в базу данных сервера имен.Это полезно для разделения разных типов данных на несколько файлов. Например:

 $ ВКЛЮЧИТЬ / usr / named / data / mailbox

указывает, что этот файл должен быть загружен в базу данных сервера имен. Файлы данных, указанные в строке $ INCLUDE , не обрабатываются иначе, чем любой другой файл данных с именем .

$ ORIGIN OriginName

Эта строка начинается с первого столбца и сопровождается именем домена.Эта строка указывает на то, что необходимо изменить происхождение из более чем одного домена в файле данных.

Типы записей ресурсов

Ниже приводится список типов записей ресурсов, используемых в файлах данных с именем :

Начало авторитетной записи

Запись начала полномочий ( SOA ) указывает на начало зоны полномочий. Должна быть только одна начальная авторитетная запись для каждой зоны, обозначенная значением SOA в поле RecordType .Однако запись SOA для зоны должна находиться в каждом файле named.data и named.rev на каждом сервере имен в зоне. Его структура соответствует следующему формату:

{Name} {TTL} AddressClass RecordType Источник PersonInCharge
@ IN SOA merl.century.com jane.merl.century.com
(1.1 ; Последовательный
3600 ; Обновить
600 ; Повторить попытку
3600000 ; Срок действия
86400) ; Минимум

Поля

Имя	Название зоны.
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	Начало полномочий ( SOA ).
Происхождение	Имя хоста, на котором находится этот файл данных.
Персонал	Лицо, ответственное за поддержание актуальности файла данных.Формат аналогичен почтовому адресу, но @ (знак at), который обычно отделяет пользователя от имени хоста, заменен на. (период).
`Серийный`	Номер версии этого файла данных. Это число следует увеличивать каждый раз при изменении данных. Верхний предел числа справа от десятичной точки — 9999.
`Обновить`	Количество секунд, по истечении которых вторичный сервер имен проверяет с первичным сервером имен, требуется ли обновление.Предлагаемое значение для этого поля — 3600 (1 час).
`Повторить`	Количество секунд, по истечении которых вторичный сервер имен должен повторить попытку после неудачной попытки обновления. Предлагаемое значение для этого поля — 600 (10 минут).
`Срок действия`	Верхний предел в секундах, в течение которого вторичный сервер имен может использовать данные до истечения срока их действия, поскольку они не были обновлены. Это значение должно быть довольно большим, рекомендуемое значение — 3600000 (42 дня).
`Минимум`	Минимальное время в секундах для использования в качестве значений времени жизни в записях ресурсов. Предлагаемое значение — 86400 (один день).

Запись сервера имен

Запись сервера имен указывает сервер имен, ответственный за данный домен. Для каждого основного сервера домена должна быть одна запись сервера имен, обозначенная значением NS в поле RecordType . Запись сервера имен может находиться в named.data , файл named.rev , файл named.ca и файл named.local . Его структура соответствует следующему формату:

{Имя} {TTL} AddressClass RecordType NameServerName

 IN NS arthur.century.com

Поля

Имя	Указывает домен, обслуживаемый указанным сервером имен. В этом случае для домена по умолчанию используется значение из предыдущей записи ресурса.
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	Сервер имен ( NS ).
ИмяСервера	Сервер имен, отвечающий за указанный домен.

Адресная запись

Адресная запись определяет адрес хоста и указывается значением A в поле RecordType .Записи адресов могут быть записями в файлах named.ca , named.data и named.rev . Его структура соответствует следующему формату:

{Имя} {TTL} AddressClass RecordType Адрес

 артур IN A 132.10.8.1
 
 IN A 10.0.4.1

Поля

Адрес

Имя	Имя хоста.
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	( A ).
Адрес	Интернет-адрес хоста в десятичной форме, разделенной точками. Для каждого Интернет-адреса хоста должна быть одна адресная запись. Если хост сервера имен для определенного домена находится внутри домена, то требуется ресурсная запись A (адрес), которая указывает адрес сервера.Эта адресная запись необходима только на сервере, делегирующем домен, но не в самом домене. Если, например, сервер для домена `aus.century.com` был `fran.aus.century.com` , то запись `NS` и необходимая запись A будут выглядеть так: aus.century.com. IN NS fran.aus.century.com. fran.aus.century.com. IN A 192.9.201.14

Запись информации о хосте

В записи информации о хосте ( HINFO ) содержится информация о хосте, которая обозначена HINFO в поле RecordType .Здесь перечислены оборудование и операционная система, которые работают на указанном хосте. Обратите внимание, что информация об оборудовании и операционной системе разделена одним пробелом. Для каждого хоста должна быть одна информационная запись хоста. Запись HINFO является допустимой записью в файлах named.data и named.rev . Его структура соответствует следующему формату:

{ Имя } { TTL } AddressClass RecordType Аппаратная ОС

Поля

Имя	Имя хоста.
TTL	Время жить.
Адрес Класс	Адресный класс. Допустимые значения: IN для Интернета и CHAOS для сети Chaos.
Тип записи	Информация о хосте ( HINFO ).
Аппаратное обеспечение	Марка и модель оборудования.
OS	Имя операционной системы, работающей на хосте.

Отчет об общеизвестных услугах

В записи хорошо известных служб ( WKS ) перечислены общеизвестные службы, поддерживаемые конкретным протоколом по указанному адресу. Эта запись обозначается WKS в поле RecordType . Хотя протокол AIX TCP / IP обеспечивает обратную совместимость, теперь он устарел.

Службы и номера портов взяты из списка служб в файле / etc / services .Должна быть только одна запись WKS для каждого протокола на адрес. Запись WKS является допустимой записью в файле named.data . Его структура соответствует следующему формату:

{Name} {TTL} AddressClass RecordType Address Protocol ListOfServices

 IN WKS 125.10.0.4 UDP (маршрутизирующий домен с временной привязкой)
В WKS 125.10.0.4 TCP (echo telnet ftp netstat finger)

Поля

Имя	Имя хоста.В этом случае имя хоста по умолчанию соответствует значению в предыдущей записи ресурса.
TTL	Время жить
AddressClass	Интернет (IN)
RecordType	Известные службы ( WKS )
Адрес	Интернет-адрес адаптера в десятичном формате с точками
Протокол	Протокол, используемый списком услуг по указанному адресу
ListOfServices	Услуги, поддерживаемые протоколом по указанному адресу

Запись канонического имени

Запись канонического имени определяет псевдоним для канонического имени ( CNAME ) и обозначается CNAME в поле RecordType . CNAME Запись — единственная запись ресурса, которая может использовать псевдоним канонического имени. Все остальные записи ресурсов должны использовать полное каноническое (или доменное) имя. Запись CNAME является допустимой записью в файле named.data . Для каждой записи CNAME должна быть соответствующая запись адреса (A). Его структура соответствует следующему формату:

{Псевдонимы} {TTL} AddressClass RecordType CanonicalName

 рыцарь IN CNAME ланселот
Джон В CNAME ланселот

Поля

Псевдонимы	Псевдоним, под которым известен хост
TTL	Время жить
AddressClass	Интернет (IN)
RecordType	Каноническое имя ( CNAME )
Каноническое имя	Официальное имя, связанное с псевдонимом

IN-ADDR.Запись ARPA

Структура имен в доменной системе построена иерархически. Адрес имени можно найти, проследив структуру домена, связавшись с сервером для каждой метки в имени. Поскольку структура основана на именах, нет простого способа преобразовать адрес хоста обратно в его имя.

Чтобы обеспечить простую обратную трансляцию, был создан домен IN-ADDR.ARPA. Этот домен использует адреса хостов как часть имени, указывающего на данные для этого хоста.Домен IN-ADDR.ARPA предоставляет индекс для записей ресурсов каждого хоста на основе его адреса. В домене IN-ADDR.ARPA есть поддомены для каждой сети в зависимости от номера сети. Кроме того, для обеспечения согласованности и естественного группирования 4 октета номера хоста меняются местами. Домен IN-ADDR.ARPA определяется записью IN-ADDR.ARPA в файлах named.boot и файлом данных хостов DOMAIN.

Например, ARPANET — это сеть 10 , что означает, что существует домен с именем 10.in-addr.arpa . В этом домене есть запись ресурса PTR по адресу 51.0.0.10.IN-ADDR , которая указывает на записи ресурсов для хоста sri-nic.arpa (адрес 10.0.0.51 ). Поскольку сетевая карта также находится в MILNET (сеть 26 , адрес 26.0.0.73 ), существует также запись ресурса PTR по адресу 73.0.0.26.in-addr.arpa , которая указывает на те же записи ресурсов. для SRI-NIC.ARPA. Формат этих специальных указателей определен в следующем разделе о записях ресурсов PTR вместе с примерами для сетевой карты.

Запись указателя доменного имени

Запись указателя доменного имени позволяет специальным именам указывать на какое-либо другое место в домене. Эта запись обозначается PTR в поле RecordType . PTR Записи ресурсов в основном используются в записях IN-ADDR.ARPA для преобразования адресов в имена.

Примечание. В записях PTR должны использоваться официальные имена хостов, а не псевдонимы.

Запись PTR является действительной записью в названном .rev файл. Его структура соответствует следующему формату:

{Псевдонимы} {TTL} AddressClass RecordType RealName

 7.0 IN PTR arthur.century.com.

Поля

Псевдонимы	Указывает, где эта запись должна указывать в домене. Также указывает Интернет-адрес хоста с октетами в обратном порядке. Если вы не определили IN-ADDR.ARPA в вашем файле named.boot , после этого адреса должен следовать `.in-addr.arpa` .
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	Указатель ( PTR ).
RealName	Доменное имя хоста, на который указывает эта запись.

Запись PTR шлюза

Домен IN-ADDR также используется для поиска шлюзов в определенной сети.Шлюзы имеют те же записи ресурсов PTR , что и хосты, но у них также есть другие записи PTR , используемые для их определения только по номеру сети. Эти записи содержат 1, 2 или 3 октета как часть имени, в зависимости от того, относятся ли они к сетям класса A, B или C соответственно.

Хост шлюза с именем gw , например, соединяет три разные сети, по одной для каждого класса, A, B и C. Шлюз gw имеет стандартные записи ресурсов для хоста в csl.sri.com зона:

 gw.csl.sri.com. IN A 10.2.0.2
                      IN A 128.18.1.1
                      IN A 192.12.33.2

Кроме того, этот шлюз имеет одну из следующих пар указателей преобразования числа в имя и указателей местоположения шлюза в каждой из трех различных зон (по одному для каждой сети). В каждом примере сначала указывается указатель числа к имени, а затем указатель местоположения шлюза.

Класс A

 2.0.2.10.in-addr.arpa. В PTR gw.csl.sri.com.
10.in-addr.arpa. В PTR gw.csl.sri.com.

Класс B

 1.1.18.128.in-addr.arpa. В PTR gw.csl.sri.com.
18.128.in-addr.arpa. В PTR gw.csl.sri.com.

Класс C

 2.33.12.192.in-addr.arpa. В PTR gw.csl.sri.com.
33.12.192.in-addr.arpa. В PTR gw.csl.sri.com.

Например, пользователь с именем elizabeth использовал следующую запись ресурса для доставки своей почты на хост venus.abc.aus.century.com :

 elizabeth IN MB venus.abc.aus.century.com.

Запись почтового ящика

Запись почтового ящика ( МБ, ) определяет машину, на которую пользователь хочет получать почту, и обозначается МБ в поле RecordType . Запись МБ является допустимой записью в файле named.data . Его структура соответствует следующему формату:

{Псевдонимы} {TTL} AddressClass RecordType Machine

 Джейн IN МБ, Мерлин.столетие.com

Поля

Псевдонимы	Идентификатор входа пользователя
TTL	Время жить
AddressClass	Интернет (IN)
RecordType	Почтовый ящик ( МБ )
Машина	Имя машины, на которую пользователь хочет получать почту

Почта Переименовать Имя Запись

Запись имени переименования почты ( MR ) позволяет пользователю получать почту, адресованную списку псевдонимов.Эта запись обозначается MR в поле RecordType . Запись MR является допустимой записью в файле named.data . Его структура соответствует следующему формату:

{Псевдонимы} {TTL} AddressClass RecordType СоответствуетMB

 merlin IN MR jane

Поля

Псевдонимы	Псевдоним для имени почтового ящика, указанного в последнем поле.
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	Переименование почты ( MR ).
Соответствующий MB	Имя почтового ящика. Эта запись должна иметь соответствующую запись МБ .

Запись информации о почтовом ящике

Запись информации почтового ящика ( MINFO ) создает почтовую группу для списка рассылки и обозначается MINFO в поле RecordType .Эта запись обычно имеет соответствующую запись почтовой группы, но также может использоваться с записью почтового ящика. Запись MINFO является допустимой записью в файле named.data . Его структура соответствует следующему формату:

{Имя} {TTL} AddressClass RecordType Запросы Сопровождающий

 postmaster IN MINFO post-request greg.century.com

Поля

Запись информации о почте

Имя	Имя почтового ящика.
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	( MINFO ).
Запросы	Куда следует отправлять почтовые запросы (например, запрос на добавление в список рассылки).
Сопровождающий	Почтовый ящик, в который должны поступать сообщения об ошибках.Это особенно полезно, когда об ошибках почты следует сообщать кому-либо, кроме отправителя.

Запись участника почтовой группы

В записи члена почтовой группы ( MG ) перечислены члены почтовой группы. Эта запись обозначается MG в поле RecordType . Запись MG является допустимой записью в файле named.data . Его структура соответствует следующему формату:

{MailGroupName} {TTL} AddressClass RecordType MemberName

 отдел IN MG Tom

Поля

MailGroupName	Имя почтовой группы.
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	Запись участника почтовой группы ( MG ).
Имя участника	Идентификатор входа члена группы.

Запись почтового обменника

Записи почтового обменника ( MX ) идентифицируют машины (шлюзы), которые знают, как доставлять почту на машину, которая не подключена напрямую к сети.Эта запись обозначается MX в поле RecordType . Имена подстановочных знаков, содержащие * (звездочку), могут использоваться для маршрутизации почты с записями MX . В сети могут быть серверы, которые заявляют, что любая почта в домен должна маршрутизироваться через ретранслятор. Запись MX является допустимой записью в файле named.data . Его структура соответствует следующему формату:

{Name} {TTL} AddressClass RecordType PrefValue MailExchanger

 Ann.bus.com В МХ 0 Hamlet.Century.Com
* .dev.bus.com IN MX 0 Lear.Century.Com

Поля

Имя	Задает полное имя хоста, на который почтовый обменник знает, как доставлять почту. Примечание: * (звездочка) во втором имени запись — это запись с подстановочным знаком. Он указывает, что любая почта в домен `dev.bus.com` должна маршрутизироваться через почтовый шлюз `Lear.Век.ком` .
TTL	Время жить.
Адрес Класс	Интернет (IN).
Тип записи	Почтовый обменник (MX ).
PrefValue	Указывает порядок, которому должна следовать почтовая программа, если существует более одного способа доставки почты на хост.
MailerExchanger	Полное имя почтового шлюза.См. RFC 974 для получения дополнительной информации.

Примеры

Ниже приводится пример списка рассылки:

 dept IN MINFO dept-request jane.merlin.century.com
В MG greg.arthur.century.com
В MG tom.lancelot.century.com
В MG gary.guinevere.century.com
В МГ kent.gawain.century.com

Особенности реализации

Этот файл является частью TCP / IP в средствах сетевой поддержки в среде выполнения базовой операционной системы (BOS).

Связанная информация

назвал демон .

Формат файла DOMAIN Data , формат файла DOMAIN Cache , формат файла DOMAIN Local , формат файла DOMAIN Reverse Data .

Именование в Руководство по управлению системой AIX версии 4.3: Связь и сети .

Настройка серверов имен в AIX версии 4.3 Основные понятия программирования связи .

Что такое запись SRV?

Общий

VPS

Выделенный

Что такое запись SRV?

SRV (Сервисные) записи — это настраиваемые записи DNS.Они используются для установления соединений между службой и именем хоста. Когда приложению необходимо найти местоположение определенной службы, оно будет искать связанную запись SRV. Если он найдет его, он просмотрит список служб и их имена хостов, чтобы найти следующее:

Создание записи SRV потенциально может сэкономить ваше время в дальнейшем.

Например, совместимый новый почтовый клиент извлечет ваши порты и настройки параметров из записи SRV, если она у вас настроена.Без записи SRV новый почтовый клиент будет угадывать (обычно неправильно) эти предпочтения.

Структура SRV

В этом разделе вы познакомитесь с различными частями записи SRV.

Сервис

Каждая запись SRV начинается с подчеркивания (_). Это позволяет записи SRV знать, где начинается каждая строка.

За нижним подчеркиванием следует имя службы. Серверные службы имеют символические имена, которые используются в записях SRV, например FTP (протокол передачи файлов) или IMAPS (протокол доступа к сообщениям в Интернете).Это служба, для которой вы публикуете информацию. Например, IMAPS будет услугой электронной почты.

Управление по распределению номеров в Интернете (IANA) ведет список служб и их символических имен. Посетите их список здесь.

После службы добавляются точка (.) И подчеркивание (_), чтобы указать, что служба установлена и начинается следующий раздел.

Протокол

Далее указан протокол

. Обычно это TCP или UDP, два распространенных транспортных протокола.

Если вам нужна дополнительная информация о TCP и UDP, прочтите эту статью.

Точка (.) Следует за протоколом. Это сигнализирует о завершении раздела протокола.

Доменное имя

Далее отображается доменное имя службы.

Точка добавляется в конце имени домена, чтобы указать, где оно заканчивается.

Приоритет

Далее добавляется приоритетный номер. В записях SRV часто указывается несколько служб, поэтому, чтобы определить, какие службы следует искать в первую очередь, каждой строке присваивается номер приоритета.Чем ниже числовое значение, тем раньше запись SRV будет смотреть на него.

Например, в строках ниже первая строка имеет приоритет 10 , а вторая — 20 . Сначала будет просматриваться строка с приоритетом 10. Строка с приоритетом 20 будет просматриваться второй.

 _imaps._tcp.mydomain.com 10 1993 имя пользователя1.mail.pairserver.com

_imaps._tcp.mydomain.com 20 1993 имя пользователя2.mail.pairserver.com

Вес

Если две или более служб имеют одинаковый приоритет, весовое число используется для определения, какая строка должна идти первой. Чем выше число, тем раньше запись SRV будет смотреть на него.

Значение нумерации переключается между приоритетом и весом .

Приоритет: чем ниже значение, тем предпочтительнее.

Вес: чем выше значение, тем предпочтительнее.

В приведенном ниже примере приоритеты такие же, но веса различаются. В этом случае сначала будет просматриваться строка с весом 20 .

 _imaps._tcp.mydomain.com SRV 20 10 993 username1.mail.pairserver.com

_imaps._tcp.mydomain.com SRV 20 20 993 username2.mail.pairserver.com

Порт (дополнительно)

Номер порта указывать не обязательно. Обычно он включается только в строки, относящиеся к электронной почте.

Общие номера портов:

993 (IMAPS)
995 (POPS)
587 (SMTPS)

Цель

Это имя хоста, предоставляющего услугу.

Точка (.) Используется для обозначения конца цели.

Если имя хоста отсутствует, поставщик услуг по умолчанию использует внутренний.

Если имя хоста заменено точкой (.), Услуга будет заблокирована.

Настройка записи SRV

Войдите в Центр управления учетными записями (ACC)
Щелкните Домены на левой боковой панели
Нажмите Управляйте своими доменными именами
Щелкните имя домена, с которым вы хотите работать
Нажмите Управление настраиваемыми записями DNS
Нажмите Добавить новые настраиваемые записи DNS
Рядом с Тип записи выберите SRV из раскрывающегося списка
Нажмите Продолжить
Рядом с Имя хоста вы можете ввести конкретное имя хоста или оставить поле пустым, чтобы создать SRV для всего домена
Рядом с SRV Record введите SRV запись Структура записи SRV:
Имя хоста: _Service._protocol
Запись SRV: Порт приоритетного веса (опция) Цель.
Не забудьте добавить «.» после «Мишени».
По завершении записи SRV-записи щелкните Create SRV Record
Ваша запись SRV завершена.
Правда о блокчейне
Коротко
Шумиха
Мы все слышали, что блокчейн произведет революцию в бизнесе, но это займет гораздо больше времени, чем многие люди утверждают.
Причина
Подобно TCP / IP (на котором был построен Интернет), блокчейн является фундаментальной технологией, требующей широкой координации. Уровень сложности — технологической, нормативной и социальной — будет беспрецедентным.
Правда
Принятие TCP / IP предполагает, что цепочка блоков пойдет по довольно предсказуемому пути. Хотя этот путь займет годы, компаниям еще не рано начинать планировать.
Контракты, транзакции и их записи являются одними из определяющих структур в нашей экономической, правовой и политической системах.Они защищают активы и устанавливают организационные границы. Они устанавливают и проверяют личности и записывают события. Они управляют взаимодействием между странами, организациями, сообществами и отдельными людьми. Они направляют управленческие и социальные действия. И все же эти важнейшие инструменты и бюрократия, сформированная для управления ими, отстают от цифровой трансформации экономики. Они похожи на тупик в час пик, застрявший в болоте Формулы-1. В цифровом мире способ регулирования и поддержания административного контроля должен измениться.
Blockchain обещает решить эту проблему. Технология, лежащая в основе биткойнов и других виртуальных валют, блокчейн — это открытый распределенный реестр, который может эффективно записывать транзакции между двумя сторонами, проверяемым и постоянным образом. Сама бухгалтерская книга также может быть запрограммирована на автоматический запуск транзакций. (См. Врезку «Как работает блокчейн».)
С помощью блокчейна мы можем представить себе мир, в котором контракты встроены в цифровой код и хранятся в прозрачных общих базах данных, где они защищены от удаления, подделки и пересмотра.В этом мире каждое соглашение, каждый процесс, каждая задача и каждый платеж будут иметь цифровую запись и подпись, которые можно будет идентифицировать, проверять, хранить и передавать. Посредники, такие как юристы, брокеры и банкиры, могут больше не понадобиться. Люди, организации, машины и алгоритмы будут свободно взаимодействовать и взаимодействовать друг с другом без особых трений. В этом огромный потенциал блокчейна.
Действительно, практически каждый слышал утверждение, что блокчейн произведет революцию в бизнесе и изменит определение компаний и экономики.Хотя мы разделяем энтузиазм по поводу его потенциала, мы беспокоимся о шумихе. Нас беспокоят не только проблемы безопасности (такие как крах одной биткойн-биржи в 2014 году и недавние взломы других). Наш опыт изучения технологических инноваций говорит нам, что если произойдет революция в сфере блокчейнов, многие барьеры — технологические, управленческие, организационные и даже социальные — должны будут разрушиться. Было бы ошибкой стремиться к инновациям в сфере блокчейнов, не понимая, как они могут закрепиться.
Мы считаем, что до истинной трансформации бизнеса и правительства с помощью блокчейна еще много лет. Это связано с тем, что блокчейн не является «разрушительной» технологией, которая может атаковать традиционную бизнес-модель с помощью более дешевого решения и быстро обойти существующие компании. Блокчейн — это основополагающая технология : он может создать новые основы для наших экономических и социальных систем. Но хотя влияние будет огромным, потребуются десятилетия, чтобы блокчейн проник в нашу экономическую и социальную инфраструктуру.Процесс принятия будет постепенным и устойчивым, а не внезапным, поскольку волны технологических и институциональных изменений набирают силу. Это понимание и его стратегическое значение — вот что мы исследуем в этой статье.
Модели внедрения технологий
Прежде чем перейти к стратегии и инвестициям в блокчейн, давайте поразмышляем над тем, что мы знаем о внедрении технологий и, в частности, о процессе трансформации, типичном для других основополагающих технологий. Одним из наиболее актуальных примеров является технология распределенных компьютерных сетей, которая проявляется в принятии TCP / IP (протокол управления передачей / интернет-протокол), который заложил основу для развития Интернета.
Представленный в 1972 году, TCP / IP впервые получил распространение в одноразовом случае : в качестве основы для электронной почты среди исследователей ARPAnet, предшественника коммерческого Интернета Министерством обороны США. До TCP / IP телекоммуникационная архитектура была основана на «коммутации каналов», при которой соединения между двумя сторонами или машинами должны были быть предварительно установлены и поддерживаться на протяжении всего обмена. Чтобы обеспечить связь любых двух узлов, поставщики телекоммуникационных услуг и производители оборудования вложили миллиарды в строительство выделенных линий.
TCP / IP перевернул эту модель с ног на голову. Новый протокол передавал информацию путем ее оцифровки и разбиения на очень маленькие пакеты, каждый из которых содержал адресную информацию. После попадания в сеть пакеты могут идти к получателю по любому маршруту. Интеллектуальные отправляющие и принимающие узлы на границах сети могут разбирать и повторно собирать пакеты и интерпретировать закодированные данные. Не было необходимости в выделенных частных линиях или массивной инфраструктуре. TCP / IP создал открытую совместно используемую общедоступную сеть без какого-либо центрального органа или стороны, ответственных за ее обслуживание и улучшение.
Эта статья также встречается в:
Традиционные телекоммуникационные и компьютерные отрасли смотрели на TCP / IP скептически. Мало кто предполагал, что в новой архитектуре могут быть установлены надежные соединения для передачи данных, сообщений, голоса и видео или что соответствующая система может быть безопасной и масштабируемой. Но в конце 1980-х и 1990-х годах все большее число фирм, таких как Sun, NeXT, Hewlett-Packard и Silicon Graphics, использовали TCP / IP частично для создания локализованных частных сетей внутри организаций.Для этого они разработали строительные блоки и инструменты, которые расширили его использование за пределы электронной почты, постепенно заменяя более традиционные технологии и стандарты локальных сетей. По мере того, как организации применяли эти строительные блоки и инструменты, они заметили резкий рост производительности.
TCP / IP получил широкое распространение с появлением всемирной паутины в середине 1990-х годов. Быстро появились новые технологические компании, которые предоставили «сантехнику» — оборудование, программное обеспечение и услуги, необходимые для подключения к общедоступной сети и обмена информацией.Netscape коммерциализировала браузеры, веб-серверы и другие инструменты и компоненты, которые способствовали разработке и внедрению интернет-сервисов и приложений. Sun руководила разработкой Java, языка программирования приложений. По мере того, как информация в сети росла в геометрической прогрессии, появились Infoseek, Excite, AltaVista и Yahoo, которые помогали пользователям ориентироваться в ней.
Когда эта базовая инфраструктура набрала критическую массу, новое поколение компаний воспользовалось преимуществами недорогих подключений, создав интернет-сервисы, которые заменили существующим предприятиям.CNET переместила новости в онлайн. Amazon предлагал на продажу больше книг, чем любой книжный магазин. Priceline и Expedia упростили покупку авиабилетов и обеспечили беспрецедентную прозрачность процесса. Способность этих новичков получить широкий охват по относительно низкой цене оказала значительное давление на традиционные предприятия, такие как газеты и обычные розничные торговцы.
Опираясь на широкие возможности подключения к Интернету, следующая волна компаний создала новаторских, преобразующих приложения, которые коренным образом изменили способ создания и получения стоимости компаниями.Эти компании были построены на новой одноранговой архитектуре и создавали ценность за счет координации распределенных сетей пользователей. Подумайте о том, как eBay изменил онлайн-розницу через аукционы, Napster изменил музыкальную индустрию, Skype изменил телекоммуникации, а Google, который использовал созданные пользователями ссылки для предоставления более релевантных результатов, изменил поиск в Интернете.
Компании уже используют блокчейн для отслеживания товаров в сложных цепочках поставок.
В конечном итоге TCP / IP потребовалось более 30 лет, чтобы пройти все этапы — разовое использование, локализованное использование, замещение и преобразование — и изменить экономику.Сегодня более половины самых ценных публичных компаний мира используют бизнес-модели, основанные на интернет-платформе. Изменились самые основы нашей экономики. Физический масштаб и уникальная интеллектуальная собственность больше не дают непревзойденных преимуществ; все чаще экономическими лидерами становятся предприятия, которые действуют как «краеугольные камни», активно организуют, влияют и координируют широкие сети сообществ, пользователей и организаций.
Новая архитектура
Блокчейн
— одноранговая сеть, расположенная поверх Интернета — была введена в октябре 2008 года в рамках предложения по биткойну, системе виртуальной валюты, в которой отсутствует центральный орган по выпуску валюты, передаче прав собственности и подтверждению транзакций. .Биткойн — первое применение технологии блокчейн.
Параллели между блокчейном и TCP / IP очевидны. Так же, как электронная почта поддерживает двусторонний обмен сообщениями, биткойн позволяет осуществлять двусторонние финансовые транзакции. Разработка и обслуживание блокчейна открыты, распределены и совместно используются, как и TCP / IP. Команда добровольцев со всего мира обслуживает основное программное обеспечение. И так же, как и электронная почта, биткойн сначала завоевал популярность среди энтузиастов, но относительно небольшого сообщества.
TCP / IP открыл новую экономическую ценность за счет значительного снижения стоимости соединений.Точно так же блокчейн может значительно снизить стоимость транзакций. Он может стать системой записи всех транзакций. Если это произойдет, экономика снова подвергнется радикальному изменению, поскольку появятся новые источники влияния и контроля, основанные на блокчейне.
Подумайте, как сейчас работает бизнес. Постоянный учет транзакций — ключевая функция любого бизнеса. Эти записи отслеживают прошлые действия и производительность и направляют планирование на будущее. Они дают представление не только о том, как организация работает внутри, но и о внешних отношениях организации.Каждая организация ведет свои записи, и они частные. Многие организации не имеют главной книги всей своей деятельности; вместо этого записи распределяются по внутренним подразделениям и функциям. Проблема в том, что согласование транзакций в индивидуальных и частных реестрах занимает много времени и подвержено ошибкам.
Например, обычная биржевая транзакция может быть выполнена за микросекунды, часто без вмешательства человека. Однако урегулирование — передача прав собственности на акции — может занять до недели.Это связано с тем, что стороны не имеют доступа к бухгалтерским книгам друг друга и не могут автоматически подтвердить, что активы действительно принадлежат и могут быть переданы. Вместо этого ряд посредников действуют как гаранты активов, поскольку записи о транзакциях проходят через организации, а бухгалтерские книги обновляются индивидуально.
В системе блокчейн реестр реплицируется в большом количестве идентичных баз данных, каждая из которых размещается и поддерживается заинтересованной стороной. Когда изменения вносятся в одну копию, все остальные копии обновляются одновременно.Поэтому по мере совершения транзакций записи об обмене стоимости и активах постоянно вносятся во все бухгалтерские книги. Сторонним посредникам нет необходимости проверять или передавать право собственности. Если транзакция с акциями имела место в системе на основе блокчейна, она была бы урегулирована в течение нескольких секунд, безопасно и надежно. (Печально известные взломы, поразившие биржи биткойнов, выявили слабые места не в самой цепочке блоков, а в отдельных системах, связанных с сторонами, использующими цепочку блоков.)
Основа для внедрения блокчейна
Если биткойн похож на раннюю электронную почту, разве через десятилетия блокчейн сможет полностью раскрыть свой потенциал? На наш взгляд, ответ — положительное да.Мы не можем точно предсказать, сколько лет займет трансформация, но мы можем угадать, какие виды приложений получат поддержку в первую очередь и как в конечном итоге произойдет широкое распространение блокчейна.
В нашем анализе история показывает, что два измерения влияют на развитие базовой технологии и сценариев ее использования в бизнесе. Во-первых, новизна — степень новизны приложения для мира. Чем новее он будет, тем больше усилий потребуется, чтобы пользователи поняли, какие проблемы он решает.Второе измерение — это сложность, представленная уровнем задействованной координации экосистемы — количеством и разнообразием сторон, которые должны работать вместе для создания ценности с помощью технологии. Например, социальная сеть, в которой есть только один участник, бесполезна; социальная сеть имеет смысл только тогда, когда многие из ваших знакомых подписались на нее. Другие пользователи приложения должны быть привлечены к работе, чтобы создать ценность для всех участников. То же самое будет верно для многих приложений блокчейна.И по мере роста масштабов и влияния этих приложений их внедрение потребует значительных институциональных изменений.
Мы разработали схему, которая сопоставляет инновации с этими двумя контекстными измерениями, разделяя их на квадранты. (См. Выставку «Как закрепляются фундаментальные технологии».) Каждый квадрант представляет собой этап развития технологий. Определение того, к какой из них относится инновация блокчейна, поможет руководителям понять типы проблем, которые она представляет, уровень сотрудничества и консенсуса, который ей нужен, а также законодательные и нормативные усилия, которые для этого потребуются.Карта также предложит, какие процессы и инфраструктура должны быть созданы для облегчения внедрения инноваций. Менеджеры могут использовать его для оценки состояния развития блокчейна в любой отрасли, а также для оценки стратегических инвестиций в свои собственные возможности блокчейна.
Одноразового использования.
В первом квадранте находятся приложения с низким уровнем новизны и низкой координацией, которые создают лучшие, менее дорогие и узконаправленные решения. Электронная почта, дешевая альтернатива телефонным звонкам, факсам и обычной почте, была одноразовым приложением для TCP / IP (хотя ее ценность росла с увеличением числа пользователей).Биткойн тоже попадает в этот квадрант. Даже в первые дни своего существования биткойн предлагал немедленную ценность для тех немногих людей, которые использовали его просто как альтернативный способ оплаты. (Вы можете думать об этом как о сложном электронном письме, которое передает не только информацию, но и фактическую ценность). В конце 2016 года ожидалось, что стоимость транзакций с биткойнами составит 92 миллиарда долларов. Это все еще ошибка округления по сравнению с 411 триллионами долларов общих глобальных платежей, но биткойн быстро растет и становится все более важным в таких контекстах, как мгновенные платежи и торговля иностранной валютой и активами, где существующая финансовая система имеет ограничения.
Локализация.
Второй квадрант включает инновации, которые относительно новизны, но требуют лишь ограниченного числа пользователей для создания немедленной ценности, поэтому продвигать их внедрение по-прежнему относительно легко. Если блокчейн пойдет по пути, принятому сетевыми технологиями в бизнесе, мы можем ожидать, что инновации в блокчейне будут основываться на одноразовых приложениях для создания локальных частных сетей, в которых несколько организаций связаны через распределенный реестр.
Большая часть начальных разработок на основе частных блокчейнов происходит в секторе финансовых услуг, часто в рамках небольших сетей фирм, поэтому требования к координации относительно скромны.Nasdaq работает с Chain.com, одним из многих поставщиков инфраструктуры блокчейнов, чтобы предложить технологии для обработки и проверки финансовых транзакций. Bank of America, JPMorgan, Нью-Йоркская фондовая биржа, Fidelity Investments и Standard Chartered тестируют технологию блокчейн в качестве замены бумажной и ручной обработки транзакций в таких областях, как торговое финансирование, обмен валюты, международные расчеты и ценные бумаги. урегулирование. Банк Канады тестирует цифровую валюту под названием CAD-монета для межбанковских переводов.Мы ожидаем распространения частных блокчейнов, которые служат определенным целям в различных отраслях.
Замена.
Третий квадрант содержит приложения с относительно низким уровнем новизны, поскольку они основаны на существующих одноразовых и локализованных приложениях, но с высокими требованиями к координации, поскольку они предполагают более широкое и все более широкое общедоступное использование. Эти нововведения направлены на замену целых способов ведения бизнеса. Однако они сталкиваются с большими препятствиями на пути к усыновлению; Они не только требуют большей координации, но и процессы, которые они надеются заменить, могут быть полноценными и глубоко встроенными в организации и учреждения.Примеры заменителей включают криптовалюты — новые, полностью сформированные валютные системы, выросшие из простой технологии оплаты биткойнами. Критическое различие заключается в том, что криптовалюта требует, чтобы каждая сторона, которая совершает денежные транзакции, приняла ее, что бросает вызов правительствам и учреждениям, которые давно обрабатывают и контролируют такие транзакции. Потребители также должны изменить свое поведение и понять, как реализовать новые функциональные возможности криптовалюты.
Недавний эксперимент в Массачусетском технологическом институте высветил проблемы, стоящие перед системами цифровых валют.В 2014 году Биткойн-клуб MIT предоставил каждому из 4494 студентов MIT по 100 долларов в биткойнах. Интересно, что 30% студентов даже не подписались на бесплатные деньги, а 20% подписчиков конвертировали биткойны в наличные в течение нескольких недель. Даже технически подкованным было непросто понять, как и где использовать биткойны.
Одним из самых амбициозных приложений-заменителей блокчейна является Stellar, некоммерческая организация, цель которой — предоставить доступные финансовые услуги, включая банковское дело, микроплатежи и денежные переводы, людям, которые никогда не имели к ним доступа.Stellar предлагает собственную виртуальную валюту, люмены, а также позволяет пользователям хранить в своей системе ряд активов, включая другие валюты, телефонные минуты и кредиты данных. Первоначально Stellar ориентировался на Африку, особенно на Нигерию, крупнейшую там экономику. Он получил широкое распространение среди целевой аудитории и доказал свою экономическую эффективность. Но его будущее никоим образом не определено, потому что проблемы координации экосистемы высоки. Хотя массовое внедрение продемонстрировало жизнеспособность Stellar, чтобы стать банковским стандартом, он должен будет влиять на политику правительства и убеждать центральные банки и крупные организации использовать его.На это могут потребоваться годы согласованных усилий.
Преобразование.
В последний квадрант попадают совершенно новые приложения, которые в случае успеха могут изменить саму природу экономических, социальных и политических систем. Они включают в себя координацию деятельности многих участников и достижение институционального согласия по стандартам и процессам. Их принятие потребует серьезных социальных, правовых и политических изменений.
«Смарт-контракты» на данный момент могут быть наиболее трансформирующим приложением блокчейна.Они автоматизируют платежи и перевод валюты или других активов при соблюдении согласованных условий. Например, смарт-контракт может отправлять платеж поставщику сразу после доставки груза. Фирма может сигнализировать через блокчейн, что конкретный товар был получен, или продукт может иметь функцию GPS, которая автоматически регистрирует обновление местоположения, которое, в свою очередь, инициирует платеж. Мы уже видели несколько ранних экспериментов с такими самозавершающимися контрактами в области венчурного финансирования, банковского дела и управления цифровыми правами.
Выводы поражают. Фирмы строятся на контрактах, от создания до отношений покупатель-поставщик и отношений с сотрудниками. Если контракты автоматизированы, что же произойдет с традиционными структурами, процессами и посредниками фирм, такими как юристы и бухгалтеры? А что с менеджерами? Все их роли радикально изменились бы. Однако, прежде чем мы будем слишком взволнованы, давайте вспомним, что мы находимся в десятилетии от повсеместного внедрения смарт-контрактов. Например, они не могут быть эффективными без институциональной поддержки.Потребуется колоссальная степень координации и ясности в том, как умные контракты разрабатываются, проверяются, внедряются и применяются. Мы считаем, что организациям, отвечающим за эти сложные задачи, потребуется много времени, чтобы развиться. А технологические проблемы, особенно проблемы безопасности, огромны.
Ваш подход к инвестициям в блокчейн
Как руководители должны думать о блокчейне в своих организациях? Наша структура может помочь компаниям определить правильные возможности.
Для большинства проще всего начать с одноразовых приложений, которые сводят к минимуму риск, поскольку они не новы и не требуют согласования с третьими сторонами. Одна из стратегий — добавить биткойн в качестве платежного механизма. Инфраструктура и рынок биткойнов уже хорошо развиты, и внедрение виртуальной валюты заставит множество функций, включая ИТ, финансы, бухгалтерский учет, продажи и маркетинг, развивать возможности блокчейна. Другой подход с низким уровнем риска — внутреннее использование блокчейна в качестве базы данных для таких приложений, как управление физическими и цифровыми активами, запись внутренних транзакций и проверка личности.Это может быть особенно полезным решением для компаний, которые пытаются согласовать несколько внутренних баз данных. Тестирование одноразовых приложений поможет организациям развить навыки, необходимые для более сложных приложений. А благодаря появлению облачных сервисов блокчейна как стартапами, так и крупными платформами, такими как Amazon и Microsoft, экспериментировать становится все проще.
Эта статья также встречается в:
Локализованные приложения — естественный следующий шаг для компаний.В настоящее время мы видим много инвестиций в частные сети блокчейнов, и соответствующие проекты, похоже, готовы к реальным краткосрочным последствиям. Компании, предоставляющие финансовые услуги, например, обнаруживают, что созданные ими частные сети блокчейнов с ограниченным числом доверенных контрагентов могут значительно снизить транзакционные издержки.
Организации также могут решать определенные проблемы в транзакциях через границы с помощью локализованных приложений. Например, компании уже используют блокчейн для отслеживания товаров в сложных цепочках поставок.Это происходит в алмазной отрасли, где драгоценные камни отслеживаются от шахт до потребителей. Технология для таких экспериментов теперь доступна в готовом виде.
Разработка приложений-заменителей требует тщательного планирования, так как существующие решения может быть трудно отменить. Один из способов — сосредоточиться на заменах, которые не потребуют от конечных пользователей значительных изменений в своем поведении, но представляют альтернативы дорогостоящим или непривлекательным решениям. Чтобы добиться успеха, заменители должны обеспечивать такую же функциональность, как и традиционные решения, и должны легко усваиваться и адаптироваться экосистемой.Набег First Data на подарочные карты на основе блокчейна — хороший пример хорошо продуманной замены. Розничные продавцы, предлагающие их потребителям, могут значительно снизить затраты на транзакцию и повысить безопасность, используя блокчейн для отслеживания потоков валюты внутри счетов, не полагаясь на внешних платежных систем. Эти новые подарочные карты даже позволяют переводить остатки и транзакции между продавцами через общую бухгалтерскую книгу.
Блокчейн может снизить стоимость транзакций и изменить экономику.
Преобразующие приложения еще далеко. Но имеет смысл оценить их возможности сейчас и инвестировать в развитие технологий, которые могут их реализовать. Они будут наиболее эффективными, если будут привязаны к новой бизнес-модели, в которой логика создания и получения ценности отходит от существующих подходов. Такие бизнес-модели трудно принять, но они могут открыть для компаний возможность роста в будущем.
Подумайте, как должны будут измениться юридические фирмы, чтобы смарт-контракты стали жизнеспособными. Им потребуется приобрести новые знания в области программного обеспечения и программирования блокчейнов.Им, вероятно, также придется переосмыслить свою почасовую модель оплаты и поддержать идею взимания платы за транзакцию или хостинг по контрактам, и это всего лишь два возможных подхода. Какой бы курс они ни выбрали, руководители должны быть уверены, что они понимают и протестировали последствия бизнес-модели, прежде чем переходить на какой-либо переход.
Сценарии трансформации будут реализованы в последнюю очередь, но они также принесут огромную пользу. Две области, на которые они могут оказать серьезное влияние: крупномасштабные общедоступные системы идентификации для таких функций, как паспортный контроль и принятие решений на основе алгоритмов для предотвращения отмывания денег и сложных финансовых транзакций, в которых участвует множество сторон.Мы ожидаем, что эти приложения не получат широкого распространения и критической массы как минимум еще десять лет, а возможно, и больше.
Преобразующие приложения также приведут к появлению новых игроков на уровне платформы, которые будут координировать и управлять новыми экосистемами. Это будут Google и Facebook следующего поколения. Для реализации таких возможностей потребуется терпение. Хотя сейчас может быть преждевременным начинать в них вкладывать значительные средства, разработка необходимых основ для них — инструментов и стандартов — все еще имеет смысл.
ЗАКЛЮЧЕНИЕ
TCP / IP, скорее всего, не только предоставил хороший шаблон для внедрения блокчейна, но и облегчил ему путь. TCP / IP стал повсеместным, и приложения блокчейна строятся на основе инфраструктуры цифровых данных, связи и вычислений, что снижает стоимость экспериментов и позволит быстро появиться новым вариантам использования.
С нашей структурой руководители могут понять, с чего начать наращивание своих организационных возможностей для блокчейна уже сегодня.Им необходимо убедиться, что их сотрудники узнают о блокчейне, разрабатывать приложения для конкретных компаний в определенных нами квадрантах и инвестировать в инфраструктуру блокчейнов.
Но, учитывая временные рамки, препятствия для внедрения и абсолютную сложность, связанную с достижением уровней принятия TCP / IP, руководителям следует тщательно подумать о рисках, связанных с экспериментами с блокчейном.