en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Che cos'è un'autorità di certificazione (CA)?

Cos'è una CA?

Che cos'è un'autorità di certificazione (CA)?

A autorità di certificazione (CA), a volte indicato anche come a Autorità di certificazione, è una società o organizzazione che agisce per convalidare le identità di entità (come siti Web, indirizzi e-mail, società o singole persone) e vincolarle a chiavi crittografiche mediante l'emissione di documenti elettronici noti come certificati digitali.

Un certificato digitale fornisce:
Autenticazione, fungendo da credenziale per convalidare l'identità dell'entità a cui è stata emessa.
crittografia, per comunicazioni sicure su reti non sicure come Internet.
Integrità di documenti firmato con il certificato in modo che non possano essere alterati da terzi in transito.

Hai bisogno di un certificato? SSL.com ti copre. Confronta le opzioni qui per trovare la scelta giusta per te, da S/MIME e certificati di firma codice e altro ancora.

ORDINA SUBITO

In che modo un'autorità di certificazione convalida un certificato?

In genere, un richiedente un certificato digitale genererà un coppia di chiavi un consistente it chiave privata e Chiave pubblica, Oltre ad un'ampia richiesta di firma del certificato (CSR). UN CSR è un file di testo codificato che include la chiave pubblica e altre informazioni che verranno incluse nel certificato (es. nome di dominio, organizzazione, indirizzo e-mail, ecc.). Coppia di chiavi e CSR la generazione viene solitamente eseguita sul server o sulla workstation in cui verrà installato il certificato e il tipo di informazioni incluse nel file CSR varia a seconda del livello di convalida e dell'uso previsto del certificato. A differenza della chiave pubblica, la chiave privata del richiedente è protetta e non dovrebbe mai essere mostrata alla CA (oa nessun altro).

Dopo aver generato il file CSR, il richiedente lo invia a una CA, che verifica autonomamente che le informazioni in esso contenute siano corrette e, in caso affermativo, firma digitalmente il certificato con una chiave privata emittente e lo invia al richiedente.

Quando il certificato firmato viene presentato a una terza parte (ad esempio quando quella persona accede al sito Web del titolare del certificato), il destinatario può confermare crittograficamente la firma digitale della CA tramite la chiave pubblica della CA. Inoltre, il destinatario può utilizzare il certificato per confermare che il contenuto firmato è stato inviato da qualcuno in possesso della chiave privata corrispondente e che le informazioni non sono state alterate da quando sono state firmate.

Cos'è una catena di fiducia?

In SSL /TLS, S/MIME, firma del codicee altre applicazioni di Certificati X.509, una gerarchia di certificati viene utilizzata per verificare la validità dell'emittente di un certificato. Questa gerarchia è nota come a catena di fiducia. In una catena di fiducia, i certificati sono emessi e firmati da certificati che vivono più in alto nella gerarchia.

A catena di fiducia è composto da più parti:

1. Il ancora di fiducia, che è l'autorità di certificazione di origine (CA).
2. Almeno uno certificato intermedio, che funge da "isolamento" tra la CA e il certificato dell'entità finale.
3. il certificato dell'entità finale, che viene utilizzato per convalidare l'identità di un'entità come un sito Web, un'azienda o una persona.

È facile vedere una catena di fiducia per te stesso ispezionando un file HTTPS certificato del sito web. Quando tu dai un'occhiata un SSL /TLS certificato in un browser Web, troverai un'analisi della catena di attendibilità del certificato digitale, inclusi il trust anchor, eventuali certificati intermedi e il certificato dell'entità finale. Questi vari punti di verifica sono supportati dalla validità del livello o "collegamento" precedente, risalente al trust anchor.

L'esempio seguente mostra la catena di fiducia dal sito Web di SSL.com, che porta dal certificato del sito Web dell'entità finale alla CA radice, tramite un certificato intermedio:



Catena di fiducia SSL.com

Che cos'è un'ancora di fiducia?

La radice autorità di certificazione (CA) serve come il ancora di fiducia in una catena di fiducia. La validità di questo ancoraggio di fiducia è vitale per l'integrità della catena nel suo insieme. Se la CA lo è pubblicamente fidato (come SSL.com), i certificati CA radice sono inclusi dalle principali società di software nel browser e nel software del sistema operativo. Questa inclusione garantisce che i certificati in una catena di fiducia che riconduce a uno qualsiasi dei certificati radice della CA saranno considerati affidabili dal software.

Di seguito, puoi vedere il trust anchor dal sito Web di SSL.com (SSL.com EV Root Certification Authority RSA R2):

ancora di fiducia

Che cos'è un certificato intermedio?

La CA principale o l'ancoraggio di trust ha la capacità di firmare e rilasciare certificati intermedi. Certificati intermedi (noto anche come intermedio, subordinare, o CA emittenti) forniscono una struttura flessibile per conferire la validità del trust anchor ad ulteriori certificati intermedi e di entità finale nella catena. In questo senso, i certificati intermedi svolgono una funzione amministrativa; ogni intermedio può essere utilizzato per uno scopo specifico, come il rilascio di SSL /TLS o certificati di firma del codice - e possono persino essere utilizzati per conferire la fiducia della CA principale nei confronti di altre organizzazioni.

I certificati intermedi forniscono anche un buffer tra il certificato dell'entità finale e la CA radice, proteggendo la chiave radice privata dalla compromissione. Per le CA pubblicamente attendibili (incluso SSL.com), il forum CA / Browser Requisiti di base proibisce effettivamente l'emissione di certificati di entità finale direttamente dalla CA radice, che devono essere mantenuti offline in modo sicuro. Ciò significa che la catena di attendibilità di qualsiasi certificato pubblicamente attendibile includerà almeno un certificato intermedio.

Nell'esempio mostrato di seguito, SSL.com EV SSL Intermediate CA RSA R3 è l'unico certificato intermedio nella catena di fiducia del sito web SSL.com. Come suggerisce il nome del certificato, viene utilizzato solo per l'emissione di EV SSL /TLS certificati:

certificato intermedio

Che cos'è un certificato di entità finale?

I certificato dell'entità finale è l'ultimo anello della catena della fiducia. Il certificato dell'entità finale (a volte noto come a certificato foglia or certificato di abbonamento), serve a conferire la fiducia della CA principale, tramite eventuali intermedi nella catena, a un'entità come un sito Web, una società, governoo singola persona.

Un certificato di entità finale differisce da un trust anchor o da un certificato intermedio in quanto non può emettere certificati aggiuntivi. È, in un certo senso, l'ultimo anello per quanto riguarda la catena. L'esempio seguente mostra l'SSL dell'entità finale /TLS certificato dal sito Web di SSL.com:

certificato dell'entità finale

Perché è importante una catena di fiducia?

Una catena di fiducia garantisce sicurezza, scalabilità e conformità agli standard per le autorità di certificazione. Garantisce inoltre la riservatezza, la fiducia e la sicurezza per coloro che fanno affidamento su certificati di entità finale, quali operatori del sito Web e utenti.

È importante che i proprietari di siti Web e gli altri utenti di certificati di entità finali comprendano che è necessaria una catena di affidabilità completa affinché il loro certificato conferisca con successo la fiducia di una CA. Per informazioni sulla diagnosi e la risoluzione degli errori del browser derivanti da una catena di fiducia incompleta, consultare il nostro articolo sull'installazione di certificati intermedi che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana guida ai messaggi di errore del browser.

 

Nota: Sebbene qualsiasi organizzazione, come un dipartimento aziendale o un'agenzia governativa, possa gestire una CA, le CA commerciali come SSL.com possono fornire certificati pubblicamente attendibili per scopi quali siti Web HTTPS, S/MIME e-mail e firma di codici e documenti, senza il fastidio di dover mantenere la fiducia del pubblico e un controllo PKI. SSL.com fornisce ospitato PKI con fiducia pubblica o privata per entrambi affari che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana governo clienti.
Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.

 

 

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com