Sertifikatmyndigheter (CAs) har vært et fundament for sikkerhet på nettet de siste to tiårene, og digitale sertifikater er fortsatt en pålitelig metode for å sikre at transaksjoner og identiteter er sikre. På et grunnleggende nivå er CA-signerte sertifikater verdifulle verktøy som autentiserer identiteter på nettet; tillate sikker, kryptert kommunikasjon over ellers usikre nettverk; og bekrefte integriteten til signerte dokumenter ved å bekrefte at de ikke er endret av en tredjepart.
Men verdien av CAs strekker seg forbi deres umiddelbare praktiske nytteverdi. Hva som er en veldig enkel bekreftelsesprosess for brukeren understøttes av et gitter av arbeid og tillitskjede som går utover en enkel faktasjekk.
Hva gjør CAs?
Nettleser- og operativsystemleverandører stoler på offentlige CAer (for eksempel SSL.com) for å bekrefte:
- Kontroll av domenenavn
- Legitimiteten til organisasjoner og deres agenter
- Kontaktinformasjon som e-postadresser
CAer utsteder mange typer sertifikater, alle basert på X.509 standard. CA-utstedte sertifikater sikrer at transaksjoner på nettet er sikre, beskytter mot skadelig programvare og autentiserer dokumenter og utveksling av e-post. Å etablere identiteter på internett gjøres gjennom en rekke prosesser, prosedyrer og protokoller, alt sikret av CAer. For eksempel:
- SSL /TLS gir et pålitelig og kryptert middel for å få tilgang til World Wide Web gjennom nettlesere - som beskytter personlig informasjon og transaksjoner.
- Digitale signaturer levere autentiserte digitale dokumenter.
- Kodesignering muliggjør sikker distribusjon av programvare på Internett.
- S/MIME aktiverer autentisert og kryptert e-post.
- Klientautentisering sertifikater beskytter tilgang til datamaskiner og applikasjoner.
Alt dette gjøres gjennom sertifikater som er forankret til en offentlig CAs rotsertifikat, og koblet sammen via et "kjede av tillit"
Hvorfor er det så vanskelig å være en offentlig pålitelig CA?
Som skissert ovenfor, er CAs klarert av operativsystemer og annen programvare for å bekrefte identiteten til nettsteder, selskaper og enkeltpersoner. Når en offentlig CA er opprettet og tjener tillit fra programvareleverandører og andre spillere, er dets digitale sertifikater en øyeblikkelig, sikker og pålitelig måte å sikre at informasjon ikke er uredelig. Prosessen for å lage en selvsignert root CA er relativt enkel - de kan ærlig talt opprettes av alle med bredt tilgjengelig programvare med lav eller ingen kostnad. Imidlertid er det virkelig ikke så mange offentlige sertifikatmyndigheter. Faktisk er det foreløpig bare 52 CA-medlemmer av CA / Browser Forum, og det store flertallet av SSL /TLS sertifikater kommer fra et mindre antall enn det. Så hvorfor er det ikke alle som lager dem?
Årsaken til at offentlige sertifikatmyndigheter er en så eksklusiv klubb er at det er mye arbeid å bli en offentlig CA og tjene og opprettholde den universelle tilliten til å holde den funksjonell. Inkludering i alle nettlesere og operativsystemer er sømløst på brukerens slutt, men det krever mange års arbeid bak kulissene. Når du kjøper en ny datamaskin eller installerer programvare som en nettleser eller e-postklient, er en liste over pålitelige root CA-sertifikater allerede inkludert. Men å bli lagt til den listen, ikke noe som bare skjer over natten, og å bo der, er også en utfordring.
For å fortsette å selge sertifikater, må en CA tilfredsstille kravene fra programvareleverandører, som alle prøver å sikre en sikker og pålitelig opplevelse for brukerne. Hver større nettleser- og operativsystemleverandør har sitt eget sett med kriterier som CA-er må oppfylle og holde tritt med når endringene blir gjort. Kostnadene ved å ikke gjøre det er høye: Hvis en CA ikke er inkludert i noen av rotprogrammene, enten det er på grunn av tillitsbrudd eller på grunn av manglende evne til å holde seg oppdatert med politiske endringer, vil det stave katastrofe for hele virksomheten. Ingen selskaper ser etter et nettsted SSL-sertifikat som fungerer med Safari, men ikke Chrome. Få programvareprodusenter vil ha et kodesigneringssertifikat som Windows ikke stoler på.
I tillegg til å opprettholde denne delikate balansen med nettlesere, operativsystemer og andre programvareleverandører, er sertifikatmyndigheter underlagt strenge eksterne revisjoner. Ser du merkene nederst på nettstedet? Hver av disse seglene representerer en revisjon, og hver av disse revisjonene gjøres årlig. Skulle noen CA mislykkes i en revisjon (eller ikke oppfyller kravene til rotprogrammet), kan CA-sertifikater ekskluderes fra viktige rotbutikker, noe som vil gjøre dem ubrukelige.
CA-medlemmene i CA / Browser Forum (et konsortium av CAer og leverandører av PKI-aktivert programvare som nettlesere og operativsystemer) er aktive i å utvikle og håndheve dusinvis av industristandarder og sette CA / B Forum Baseline Krav. Medlemmer deltar i utdannings- og forskningsorganisasjoner, og samarbeider med interessenter for å styrke Internett-sikkerheten, og tar ofte ledelsen med å foreslå og vedta nye standarder. CA-er har mest interesse i å sikre at SSL /TLS systemet fungerer og omdømmet er sunt, noe som nødvendigvis betyr at de tar en proaktiv og aggressiv innsats mot sikkerheten til systemene og systemene de jobber med.
I tillegg til å overholde disse standardene, er sertifikatmyndighetene pålagt å opprettholde og tilgjengeliggjøre sertifikatgjennomsiktighetslister (offentlige poster over alle utstedte sertifikater), samt sertifikat tilbakekallingslister (CRL) og OCSP-responderere, som holder oversikt over tilbakekalte sertifikater. Det er av største betydning å sørge for at alle sertifikater blir regnskapsført, og at tilliten som underbygger sertifikater aldri blir brutt.
Hvordan velge en CA
Så, kjenner du alt arbeidet som går ut på å opprettholde og drifte en offentlig sertifikatmyndighet, hvordan bestemmer man hvilken CA som er best for deres behov?
Selv om det nå er billige (eller til og med gratis) CA-alternativer, er det viktig å vite hva som blir handlet for den reduserte kostnaden. Generelt tilbyr gratis CA-er ikke de samme valideringsnivåene som kommersielle CA-er, og tilbyr ikke noe annet enn nettstedet SSL /TLS sertifikater. For eksempel kan de vise at en søker om et nettsted SSL /TLS sertifikatet kontrollerer det domenet (Domain Validation), men de tar ikke det ekstra trinnet med å bekrefte hvem den eieren er. Avhengig av din brukstilfelle kan DV være bra (alle kommersielle CAer, inkludert SSL.com, tilbyr det også), men hvis du trenger et kodesigneringssertifikat, digitale signaturer for Adobe PDF-filer eller validert informasjon om virksomheten din som er inkludert nettstedssertifikat, må du gå til et kommersielt CA.
For mer informasjon om å velge en pålitelig CA, vennligst sjekk vår Veiledning for beste praksis.
