Varmentajaviranomaiset (CA) ovat olleet verkkoturvallisuuden perusta viimeisen kahden vuosikymmenen ajan, ja digitaaliset sertifikaatit ovat edelleen luotettava menetelmä varmistaaksemme tapahtumien ja identiteettien turvallisuuden. Perustasolla CA-allekirjoittamat varmenteet ovat arvokkaita työkaluja, jotka todentavat identiteetit verkossa; salli turvallinen, salattu viestintä muuten epävarmojen verkkojen kautta; ja vahvistaa allekirjoitettujen asiakirjojen eheyden tarkistamalla, että kolmas osapuoli ei ole muuttanut niitä.
Mutta CA: n arvo ylittää niiden välittömän käytännön hyödyllisyyden. Se, mikä on käyttäjän kannalta hyvin yksinkertainen todentamisprosessi, perustuu työn hilaan ja luottamuksen ketjuun, joka ylittää yksinkertaisen tosiseikkojen tarkistamisen.
Mitä viranomaiset tekevät?
Selaimen ja käyttöjärjestelmän toimittajat luottavat julkisiin CA: iin (kuten SSL.com) tarkistaakseen:
- Verkkotunnusten hallinta
- Organisaatioiden ja niiden edustajien legitiimiys
- Yhteystiedot, kuten sähköpostiosoitteet
Varmentajat myöntävät monentyyppisiä varmenteita, jotka kaikki perustuvat X.509 standardia. CA: n myöntämät varmenteet varmistavat verkkosivustojen tapahtumien turvallisuuden, suojaavat haittaohjelmilta ja autentikoivat asiakirjoja ja sähköpostinvaihtoa. Identiteettien määrittäminen Internetissä tapahtuu useiden prosessien, menettelyjen ja protokollien avulla, jotka kaikki varmentajat ovat varmistaneet. Esimerkiksi:
- SSL /TLS tarjoaa luotettavan ja salatun tavan päästä Internetiin selainten kautta - joka suojaa henkilökohtaisia tietoja ja tapahtumia.
- Digitaaliset allekirjoitukset toimittaa todennetut digitaaliset asiakirjat.
- Koodin allekirjoittaminen mahdollistaa ohjelmistojen turvallisen jakelun Internetissä.
- S/MIME mahdollistaa todennetun ja salatun sähköpostin.
- Asiakkaan todennus varmenteet suojaavat tietokoneiden ja sovellusten käyttöä.
Kaikki tämä tapahtuu varmenteiden avulla, jotka on ankkuroitu julkisen varmentajan juurivarmenteeseen ja linkitetty toisiinsa ”luottamusketju"
Miksi on niin vaikeaa olla julkisesti luotettava CA?
Kuten edellä on esitetty, käyttöjärjestelmät ja muut ohjelmistot luottavat CA: iin verkkosivustojen, yritysten ja henkilöiden henkilöllisyyden todentamiseksi. Kun julkinen varmentaja on perustettu ja ansainnut ohjelmistotoimittajien ja muiden toimijoiden luottamuksen, sen digitaaliset sertifikaatit ovat välitön, turvallinen ja luotettava tapa varmistaa, että tiedot eivät ole petollisia. Itse allekirjoitetun juurivarmentajan tekemisprosessi on suhteellisen yksinkertainen - rehellisesti sen voi luoda kuka tahansa, jolla on laajalti saatavilla olevia, edullisia tai ilmaisia ohjelmistoja. Julkisia varmenneviranomaisia ei kuitenkaan todellakaan ole kovin paljon. Itse asiassa niitä on tällä hetkellä vain 52 CA-jäsentä CA / selainfoorumista ja valtaosa SSL /TLS varmenteita tulee pienemmästä lukumäärästä. Joten miksi kaikki eivät tee niitä?
Syynä siihen, että julkiset sertifikaattiviranomaiset ovat niin yksinoikeudella toimiva klubi, on se, että muuttuminen julkiseksi CA: ksi ja ansaitseminen ja ylläpitäminen yleisen luottamuksen pitämiseksi toiminnallisena ovat paljon työtä. Kaikkien selainten ja käyttöjärjestelmien sisällyttäminen on saumattomasti käyttäjän tekemistä asioista, mutta se vaatii vuosien jalkakäytävää kulissien takana. Kun ostat uuden tietokoneen tai asennat ohjelmistoja, kuten verkkoselaimen tai sähköpostiohjelman, luettelo luotettavista juurivarmentajan varmenteista on jo mukana. Mutta saada luetteloon lisäys jotain, joka tapahtuu vain yön yli, ja pysyä siinä on haaste.
Pysyäkseen myymällä varmenteita yrityksessä CA: n on täytettävä ohjelmistotoimittajien vaatimukset, jotka kaikki yrittävät varmistaa turvallisen ja luotettavan kokemuksen käyttäjilleen. Jokaisella suurella selaimen ja käyttöjärjestelmän toimittajalla on omat kriteerinsä, jotka CA: n on täytettävä ja pidettävä ajan tasalla muutoksia tehtäessä. Tämän tekemättä jättämisen kustannukset ovat korkeat: jos varmentajaa ei sisälly mihinkään juuriohjelmaan riippumatta siitä, johtuuko se luottamuksen loukkaamisesta vai siitä, että ei ole pysynyt ajan tasalla politiikan muutosten kanssa, se merkitsee katastrofia koko liiketoiminnan. Yksikään yritys ei etsi verkkosivusto-SSL-varmennetta, joka toimisi Safarin kanssa, mutta ei Chromea. Harva ohjelmistovalmistaja haluaisi koodin allekirjoitusvarmenteen, jota Windows ei luota.
Tämän herkän tasapainon ylläpitämisen lisäksi selainten, käyttöjärjestelmien ja muiden ohjelmistotoimittajien kanssa varmenteiden myöntäjiin kohdistetaan tarkkoja ulkopuolisia tarkastuksia. Näetkö nämä merkit tämän sivuston lopussa? Jokainen näistä sineteistä edustaa tarkastusta, ja jokainen näistä tarkastuksista tehdään vuosittain. Jos jokin varmentaja epäonnistuu tarkastuksessa (tai ei täytä pääohjelman vaatimuksia), varmentajan varmenteet voidaan sulkea tärkeiden juurivarastojen ulkopuolelle, mikä tekisi niistä hyödyttömiä.
CA: n jäsenet CA / selainfoorumi (CA: n ja myyjien yhteenliittymä) PKI-kytkettävät ohjelmistot, kuten selaimet ja käyttöjärjestelmät) kehittävät ja panevat täytäntöön kymmeniä teollisuusstandardeja ja perustavat CA / B-foorumin Perusvaatimukset. Jäsenet osallistuvat koulutus- ja tutkimusorganisaatioihin ja tekevät yhteistyötä sidosryhmien kanssa Internet-turvallisuuden vahvistamiseksi ottamalla usein johtoaseman uusien standardien ehdottamisessa ja hyväksymisessä. Varmentajilla on eniten kiinnostusta varmistaa, että SSL /TLS Järjestelmä toimii ja sen maine on vakaa, mikä tarkoittaa väistämättä, että he toimivat aktiivisesti ja aggressiivisesti järjestelmiensä ja työskenteleviensä järjestelmien turvallisuuteen.
Näiden standardien noudattamisen lisäksi sertifikaattiviranomaisten on pidettävä yllä ja asetettava saataville sertifikaattien läpinäkyvyysluetteloita (kaikkien myönnettyjen varmenteiden julkiset tietueet) sekä sertifikaattien peruutusluettelot (CRL) ja OCSP-vastaajat, jotka seuraavat peruutettuja varmenteita. On ensiarvoisen tärkeää varmistaa, että kaikki sertifikaatit otetaan huomioon ja että varmenteiden taustalla oleva luottamus ei koskaan purkaudu.
Kuinka valita CA
Joten kun tiedät kaiken julkisen varmenteen myöntäjän ylläpitämiseen ja ylläpitämiseen liittyvän työn, kuinka määritetään, mikä CA on heidän tarpeisiinsa parhaiten sopiva?
Vaikka CA-vaihtoehtoja on nyt edullisia (tai jopa ilmaisia), on tärkeää tietää, mihin kauppaa käydään alennetuilla kustannuksilla. Yleensä ilmaiset varmentajat eivät tarjoa samoja validointitasoja kuin kaupalliset varmentajat, eivätkä ne tarjoa mitään muuta kuin verkkosivuston SSL /TLS todistukset. Ne voivat esimerkiksi osoittaa, että verkkosivuston SSL /TLS varmenne hallitsee kyseistä verkkotunnusta (Domain Validation), mutta ne eivät ota ylimääräistä askelta vahvistaakseen kuka kyseinen omistaja on. Aiotusta käyttötapauksesta riippuen, DV voi olla hieno (kaikki kaupalliset varmentajat, mukaan lukien SSL.com, tarjoavat sen myös), mutta jos tarvitset koodin allekirjoitusvarmenteen, Adobe PDF -dokumenttien digitaaliset allekirjoitukset tai validoidut tiedot yrityksestäsi, verkkosivuston varmenne, sinun on mentävä kaupalliseen CA: han.
Lisätietoja luotettavan varmentajan valitsemisesta saat tutustumalla sivustoomme Parhaiden käytäntöjen opas.
