en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Nella terminologia legale, a catena di custodia è un modo per garantire sicurezza, legittimità e semplicemente sapere dove e con chi sono state le informazioni sensibili (e chi ha avuto accesso ad esse). Nel mondo dei certificati digitali, con catena di fiducia funziona in modo un po 'simile, ma con lo stesso intento: formare un percorso collegato di convalida e verifica da un ancoraggio di fiducia fino a un certificato di entità finale.

A catena di fiducia è composto da più parti:

  1. A ancora di fiducia, che è l'autorità di certificazione di origine (CA).
  2. Almeno una certificato intermedio, che funge da "isolamento" tra la CA e il certificato dell'entità finale.
  3. I certificato dell'entità finale, che viene utilizzato per convalidare l'identità di un'entità come un sito Web, un'azienda o una persona.

Con questa introduzione, diamo un'occhiata più da vicino alle catene di fiducia:

 

Cos'è una catena di fiducia?

In SSL /TLS, S/MIME, firma del codicee altre applicazioni di Certificati X.509, una gerarchia di certificati viene utilizzata per verificare la validità dell'emittente di un certificato. Questa gerarchia è nota come a catena di fiducia. In una catena di fiducia, i certificati sono emessi e firmati da certificati che vivono più in alto nella gerarchia.

È facile vedere una catena di fiducia per te stesso ispezionando un file HTTPS certificato del sito web. Quando tu dai un'occhiata un SSL /TLS certificato in un browser Web, troverai un'analisi della catena di attendibilità del certificato digitale, inclusi il trust anchor, eventuali certificati intermedi e il certificato dell'entità finale. Questi vari punti di verifica sono supportati dalla validità del livello o "collegamento" precedente, risalente al trust anchor.

L'esempio seguente mostra la catena di fiducia dal sito Web di SSL.com, che porta dal certificato del sito Web dell'entità finale alla CA radice, tramite un certificato intermedio:

Catena di fiducia SSL.com

Che cos'è un'ancora di fiducia?

La radice autorità di certificazione (CA) serve come il ancora di fiducia in una catena di fiducia. La validità di questo ancoraggio di fiducia è vitale per l'integrità della catena nel suo insieme. Se la CA lo è pubblicamente fidato (come SSL.com), i certificati CA radice sono inclusi dalle principali società di software nel browser e nel software del sistema operativo. Questa inclusione garantisce che i certificati in una catena di fiducia che riconduce a uno qualsiasi dei certificati radice della CA saranno considerati affidabili dal software.

Di seguito, puoi vedere il trust anchor dal sito Web di SSL.com (SSL.com EV Root Certification Authority RSA R2):

ancora di fiducia

Che cos'è un certificato intermedio?

La CA principale o l'ancoraggio di trust ha la capacità di firmare e rilasciare certificati intermedi. Certificati intermedi (noto anche come intermedio, subordinare, o CA emittenti) forniscono una struttura flessibile per conferire la validità del trust anchor ad ulteriori certificati intermedi e di entità finale nella catena. In questo senso, i certificati intermedi svolgono una funzione amministrativa; ogni intermedio può essere utilizzato per uno scopo specifico, come il rilascio di SSL /TLS o certificati di firma del codice - e possono persino essere utilizzati per conferire la fiducia della CA principale nei confronti di altre organizzazioni.

I certificati intermedi forniscono anche un buffer tra il certificato dell'entità finale e la CA radice, proteggendo la chiave radice privata dalla compromissione. Per le CA pubblicamente attendibili (incluso SSL.com), il forum CA / Browser Requisiti di base proibisce effettivamente l'emissione di certificati di entità finale direttamente dalla CA radice, che devono essere mantenuti offline in modo sicuro. Ciò significa che la catena di attendibilità di qualsiasi certificato pubblicamente attendibile includerà almeno un certificato intermedio.

Nell'esempio mostrato di seguito, SSL.com EV SSL Intermediate CA RSA R3 è l'unico certificato intermedio nella catena di fiducia del sito web SSL.com. Come suggerisce il nome del certificato, viene utilizzato solo per l'emissione di EV SSL /TLS certificati:

certificato intermedio

Che cos'è un certificato di entità finale?

I certificato dell'entità finale è l'ultimo anello della catena della fiducia. Il certificato dell'entità finale (a volte noto come a certificato foglia or certificato di abbonamento), serve a conferire la fiducia della CA principale, tramite eventuali intermedi nella catena, a un'entità come un sito Web, una società, governoo singola persona.

Un certificato di entità finale differisce da un trust anchor o da un certificato intermedio in quanto non può emettere certificati aggiuntivi. È, in un certo senso, l'ultimo anello per quanto riguarda la catena. L'esempio seguente mostra l'SSL dell'entità finale /TLS certificato dal sito Web di SSL.com:

certificato dell'entità finale

Perché è importante una catena di fiducia?

Una catena di fiducia garantisce sicurezza, scalabilità e conformità agli standard per le autorità di certificazione. Garantisce inoltre la riservatezza, la fiducia e la sicurezza per coloro che fanno affidamento su certificati di entità finale, quali operatori del sito Web e utenti.

È importante che i proprietari di siti Web e gli altri utenti di certificati di entità finali comprendano che è necessaria una catena di affidabilità completa affinché il loro certificato conferisca con successo la fiducia di una CA. Per informazioni sulla diagnosi e la risoluzione degli errori del browser derivanti da una catena di fiducia incompleta, consultare il nostro articolo sull'installazione di certificati intermedi e guida ai messaggi di errore del browser.

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com