Τι είναι η ΑΠ;
A αρχή έκδοσης πιστοποιητικών (CA), επίσης μερικές φορές αναφέρεται ως αρχή πιστοποίησης, είναι μια εταιρεία ή οργανισμός που ενεργεί για την επικύρωση των ταυτοτήτων οντοτήτων (όπως ιστότοποι, διευθύνσεις ηλεκτρονικού ταχυδρομείου, εταιρείες ή μεμονωμένα άτομα) και τη σύνδεσή τους με κρυπτογραφικά κλειδιά μέσω της έκδοσης ηλεκτρονικών εγγράφων γνωστών ως ψηφιακών πιστοποιητικών.
Ένα ψηφιακό πιστοποιητικό παρέχει:
Πιστοποίηση, χρησιμεύοντας ως διαπιστευτήριο για την επικύρωση της ταυτότητας της οντότητας στην οποία εκδίδεται.
Κρυπτογράφηση, για ασφαλή επικοινωνία μέσω ανασφαλών δικτύων όπως το Διαδίκτυο.
Ακεραιότητα εγγράφων υπογραφεί με το πιστοποιητικό, ώστε να μην μπορούν να τροποποιηθούν από τρίτο μέρος κατά τη μεταφορά.
Συνήθως, ένας αιτών ψηφιακό πιστοποιητικό θα δημιουργήσει ένα ζεύγος κλειδιών που αποτελείται από α ιδιωτικό κλειδί και σε έναν Δημόσιο κλειδί, μαζί με ένα αίτημα υπογραφής πιστοποιητικού (CSR). ΈΝΑ CSR είναι ένα κωδικοποιημένο αρχείο κειμένου που περιλαμβάνει το δημόσιο κλειδί και άλλες πληροφορίες που θα περιληφθούν στο πιστοποιητικό (π.χ. όνομα τομέα, οργανισμός, διεύθυνση email κ.λπ.). Ζεύγος κλειδιών και CSR Η παραγωγή γίνεται συνήθως στο διακομιστή ή στο σταθμό εργασίας όπου θα εγκατασταθεί το πιστοποιητικό και στον τύπο πληροφοριών που περιλαμβάνονται στο CSR διαφέρει ανάλογα με το επίπεδο επικύρωσης και την προβλεπόμενη χρήση του πιστοποιητικού. Σε αντίθεση με το δημόσιο κλειδί, το ιδιωτικό κλειδί του αιτούντος διατηρείται ασφαλές και δεν πρέπει ποτέ να εμφανίζεται στην ΑΠ (ή σε οποιονδήποτε άλλο).
Μετά τη δημιουργία του CSR, ο αιτών την αποστέλλει σε μια ΑΠ, η οποία ανεξάρτητα επαληθεύει ότι οι πληροφορίες που περιέχει είναι σωστές και, εάν ναι, υπογράφει ψηφιακά το πιστοποιητικό με ένα ιδιωτικό κλειδί έκδοσης και το στέλνει στον αιτούντα.
Όταν το υπογεγραμμένο πιστοποιητικό παρουσιάζεται σε τρίτο μέρος (όπως όταν αυτό το άτομο αποκτά πρόσβαση στον ιστότοπο του κατόχου του πιστοποιητικού), ο παραλήπτης μπορεί να επιβεβαιώσει κρυπτογραφικά την ψηφιακή υπογραφή της ΑΠ μέσω του δημόσιου κλειδιού της ΑΠ. Επιπλέον, ο παραλήπτης μπορεί να χρησιμοποιήσει το πιστοποιητικό για να επιβεβαιώσει ότι το υπογεγραμμένο περιεχόμενο στάλθηκε από κάποιον που έχει στην κατοχή του το αντίστοιχο ιδιωτικό κλειδί και ότι οι πληροφορίες δεν έχουν τροποποιηθεί από τότε που υπογράφηκε. Ένα βασικό μέρος αυτής της πτυχής του πιστοποιητικού είναι κάτι που ονομάζεται αλυσίδα εμπιστοσύνης.
In SSL /TLS, S/MIME, υπογραφή κώδικα, και άλλες εφαρμογές του Πιστοποιητικά X.509, χρησιμοποιείται μια ιεραρχία πιστοποιητικών για την επαλήθευση της εγκυρότητας του εκδότη πιστοποιητικών. Αυτή η ιεραρχία είναι γνωστή ως αλυσίδα εμπιστοσύνης. Σε μια αλυσίδα εμπιστοσύνης, τα πιστοποιητικά εκδίδονται και υπογράφονται από πιστοποιητικά που ζουν υψηλότερα στην ιεραρχία.
A αλυσίδα εμπιστοσύνης αποτελείται από διάφορα μέρη:
1. Ο άγκυρα εμπιστοσύνης, η οποία είναι η αρχική αρχή έκδοσης πιστοποιητικών (CA).
2. Τουλάχιστον ένα ενδιάμεσο πιστοποιητικό, χρησιμεύει ως «μόνωση» μεταξύ της ΑΠ και του πιστοποιητικού τελικής οντότητας.
3. ο πιστοποιητικό τελικής οντότητας, που χρησιμοποιείται για την επικύρωση της ταυτότητας μιας οντότητας, όπως ένας ιστότοπος, μια επιχείρηση ή ένα άτομο.
Είναι εύκολο να δείτε μια αλυσίδα εμπιστοσύνης για τον εαυτό σας ελέγχοντας ένα HTTPS πιστοποιητικό ιστότοπου. Οταν εσύ έλεγχος ένα SSL /TLS πιστοποιητικό σε πρόγραμμα περιήγησης ιστού, θα βρείτε μια ανάλυση της αλυσίδας εμπιστοσύνης αυτού του ψηφιακού πιστοποιητικού, συμπεριλαμβανομένης της αγκύρωσης αξιοπιστίας, τυχόν ενδιάμεσων πιστοποιητικών και του πιστοποιητικού τελικής οντότητας. Αυτά τα διάφορα σημεία επαλήθευσης υποστηρίζονται από την εγκυρότητα του προηγούμενου επιπέδου ή του «συνδέσμου», επιστρέφοντας στην αγκύρωση εμπιστοσύνης.
Το παρακάτω παράδειγμα δείχνει την αλυσίδα εμπιστοσύνης από τον ιστότοπο της SSL.com, που οδηγεί από το πιστοποιητικό ιστότοπου τελικής οντότητας πίσω στο ριζικό CA, μέσω ενός ενδιάμεσου πιστοποιητικού:
Η ρίζα αρχή έκδοσης πιστοποιητικών (CA) χρησιμεύει ως άγκυρα εμπιστοσύνης σε μια αλυσίδα εμπιστοσύνης. Η εγκυρότητα αυτής της βάσης εμπιστοσύνης είναι ζωτικής σημασίας για την ακεραιότητα της αλυσίδας στο σύνολό της. Εάν η ΑΠ είναι δημόσια αξιόπιστη (όπως το SSL.com), τα πιστοποιητικά root CA περιλαμβάνονται από μεγάλες εταιρείες λογισμικού στο πρόγραμμα περιήγησής τους και στο λογισμικό του λειτουργικού συστήματος. Αυτή η συμπερίληψη διασφαλίζει ότι τα πιστοποιητικά σε μια αλυσίδα εμπιστοσύνης που οδηγούν σε οποιοδήποτε από τα πιστοποιητικά ρίζας της Αρχής θα εμπιστεύονται το λογισμικό.
Παρακάτω, μπορείτε να δείτε την άγκυρα εμπιστοσύνης από τον ιστότοπο του SSL.com (SSL.com EV Root Certification Authority RSA R2):
Το root CA ή trust anchor έχει τη δυνατότητα να υπογράφει και να εκδίδει ενδιάμεσα πιστοποιητικά. Ενδιάμεσα πιστοποιητικά (επίσης γνωστά ως ενδιάμεσος, υφιστάμενος, ή εκδίδοντας ΑΠ) παρέχει μια ευέλικτη δομή για να προσδώσει την εγκυρότητα της αγκύρωσης εμπιστοσύνης σε πρόσθετα πιστοποιητικά ενδιάμεσης και τελικής οντότητας στην αλυσίδα. Υπό αυτήν την έννοια, τα ενδιάμεσα πιστοποιητικά εξυπηρετούν μια διοικητική λειτουργία. κάθε ενδιάμεσο μπορεί να χρησιμοποιηθεί για συγκεκριμένο σκοπό - όπως η έκδοση SSL /TLS ή πιστοποιητικά υπογραφής κώδικα - και μπορεί ακόμη και να χρησιμοποιηθεί διασκέπτομαι η εμπιστοσύνη της CA ρίζας σε άλλους οργανισμούς.
Τα ενδιάμεσα πιστοποιητικά παρέχουν επίσης ένα buffer μεταξύ του πιστοποιητικού τελικής οντότητας και του ριζικού CA, προστατεύοντας το ιδιωτικό κλειδί ρίζας από συμβιβασμούς. Για τις αξιόπιστες ΑΠ (συμπεριλαμβανομένης της SSL.com), το φόρουμ CA / Browser Απαιτήσεις βασικής γραμμής στην πραγματικότητα απαγορεύουν την έκδοση πιστοποιητικών τελικής οντότητας απευθείας από τη ρίζα CA, τα οποία πρέπει να διατηρούνται με ασφάλεια εκτός σύνδεσης. Αυτό σημαίνει ότι οποιαδήποτε αλυσίδα εμπιστοσύνης πιστοποιητικού δημοσίου θα περιλαμβάνει τουλάχιστον ένα ενδιάμεσο πιστοποιητικό.
Στο παράδειγμα που φαίνεται παρακάτω, SSL.com EV SSL Intermediate CA RSA R3 είναι το μοναδικό ενδιάμεσο πιστοποιητικό στην αλυσίδα εμπιστοσύνης του ιστότοπου SSL.com. Όπως υποδηλώνει το όνομα του πιστοποιητικού, χρησιμοποιείται μόνο για την έκδοση EV SSL /TLS πιστοποιητικά:
The πιστοποιητικό τελικής οντότητας είναι ο τελικός κρίκος της αλυσίδας εμπιστοσύνης. Το πιστοποιητικό τελικής οντότητας (μερικές φορές γνωστό ως πιστοποιητικό φύλλων or πιστοποιητικό συνδρομητή, χρησιμεύει για την ανάθεση της εμπιστοσύνης της ρίζας CA, μέσω οποιωνδήποτε ενδιάμεσων στην αλυσίδα, σε μια οντότητα όπως ένας ιστότοπος, μια εταιρεία, κυβέρνησηή μεμονωμένο άτομο.
Ένα πιστοποιητικό τελικής οντότητας διαφέρει από ένα αγκύριο αξιοπιστίας ή ένα ενδιάμεσο πιστοποιητικό, καθώς δεν μπορεί να εκδώσει πρόσθετα πιστοποιητικά. Είναι, κατά μία έννοια, ο τελικός κρίκος όσον αφορά την αλυσίδα. Το παρακάτω παράδειγμα δείχνει την τελική οντότητα SSL /TLS πιστοποιητικό από τον ιστότοπο του SSL.com:
Μια αλυσίδα εμπιστοσύνης εξασφαλίζει ασφάλεια, επεκτασιμότητα και συμμόρφωση με τα πρότυπα για τις ΑΠ. Διασφαλίζει επίσης το απόρρητο, την εμπιστοσύνη και την ασφάλεια για όσους βασίζονται σε πιστοποιητικά τελικής οντότητας, όπως χειριστές ιστότοπων και χρήστες.
Είναι σημαντικό για τους κατόχους ιστότοπων και άλλους χρήστες πιστοποιητικών τελικής οντότητας να κατανοήσουν ότι είναι απαραίτητη μια πλήρης αλυσίδα εμπιστοσύνης προκειμένου το πιστοποιητικό τους να εκχωρήσει με επιτυχία την εμπιστοσύνη μιας ΑΠ. Για πληροφορίες σχετικά με τη διάγνωση και την αντιμετώπιση προβλημάτων σφαλμάτων προγράμματος περιήγησης που προκύπτουν από μια ελλιπή αλυσίδα εμπιστοσύνης, ανατρέξτε στην ενότητα το άρθρο μας σχετικά με την εγκατάσταση ενδιάμεσων πιστοποιητικών και οδηγός για μηνύματα σφάλματος του προγράμματος περιήγησης.
