Hva er en CA?
A sertifikatmyndighet (CA), også noen ganger referert til som en sertifiseringsmyndighet, er et selskap eller organisasjon som opptrer for å validere identitetene til enheter (for eksempel nettsteder, e-postadresser, selskaper eller enkeltpersoner) og binder dem til kryptografiske nøkler gjennom utstedelse av elektroniske dokumenter kjent som digitale sertifikater.
Et digitalt sertifikat gir:
Autentisering, ved å tjene som en legitimasjon for å validere identiteten til enheten som den er utstedt til.
kryptering, for sikker kommunikasjon over usikre nettverk som Internett.
Integritet av dokumenter signert med sertifikatet slik at de ikke kan endres av en tredjepart under transport.
Vanligvis vil en søker om et digitalt sertifikat generere en nøkkelpar bestående av en privat nøkkel og en offentlig nøkkel, sammen med en sertifikatsigneringsforespørsel (CSR). A CSR er en kodet tekstfil som inkluderer den offentlige nøkkelen og annen informasjon som vil bli inkludert i sertifikatet (f.eks. domenenavn, organisasjon, e-postadresse, etc.). Nøkkelpar og CSR generering skjer vanligvis på serveren eller arbeidsstasjonen der sertifikatet vil bli installert, og typen informasjon som er inkludert i CSR varierer avhengig av valideringsnivå og beregnet bruk av sertifikatet. I motsetning til den offentlige nøkkelen holdes søkerens private nøkkel sikker og skal aldri vises til CA (eller noen andre).
Etter å ha generert CSRsender søkeren det til en CA, som uavhengig verifiserer at informasjonen den inneholder er riktig, og i så fall signerer sertifikatet digitalt med en utstedende privat nøkkel og sender den til søkeren.
Når det signerte sertifikatet presenteres for en tredjepart (for eksempel når denne personen går inn på sertifikatinnehaverens nettside), kan mottakeren kryptografisk bekrefte CA sin digitale signatur via CA sin offentlige nøkkel. I tillegg kan mottakeren bruke sertifikatet til å bekrefte at signert innhold ble sendt av noen som har den tilsvarende private nøkkelen, og at informasjonen ikke har blitt endret siden den ble signert. En sentral del av dette aspektet av sertifikatet er noe som kalles en tillitskjede.
In SSL /TLS, S/MIME, kodesignering, og andre applikasjoner av X.509 sertifikater, brukes et hierarki med sertifikater for å bekrefte gyldigheten til utstederen av et sertifikat. Dette hierarkiet er kjent som en kjede av tillit. I en tillitskjede utstedes og signeres sertifikater av sertifikater som lever høyere oppe i hierarkiet.
A kjede av tillit består av flere deler:
1. A tillitsanker, som er den opprinnelige sertifikatmyndigheten (CA).
2. Minst én mellomattest, som fungerer som "isolasjon" mellom CA og sluttenhetssertifikatet.
3. Den slutt entitetssertifikat, som brukes til å validere identiteten til en enhet som et nettsted, en bedrift eller en person.
Det er lett å se en kjede av tillit for deg selv ved å inspisere en HTTPS nettstedets sertifikat. Når du sjekk en SSL /TLS sertifikat i en nettleser, vil du finne en oversikt over det digitale sertifikatets tillitskjede, inkludert tillitsanker, eventuelle mellomliggende sertifikater og sluttentitetssertifikatet. Disse forskjellige bekreftelsespunktene støttes av gyldigheten til forrige lag eller "lenke", som går tilbake til tillitsankeret.
Eksemplet nedenfor viser kjeden av tillit fra SSL.coms nettsted, som fører fra sluttsenters nettstedssertifikat tilbake til rot-CA, via ett mellomliggende sertifikat:
Roten sertifikatmyndighet (CA) fungerer som tillitsanker i en kjede av tillit. Gyldigheten av dette tillitsankeret er avgjørende for kjedenes integritet som helhet. Hvis CA er offentlig klarert (som SSL.com), er rot-CA-sertifikatene inkludert av store programvareselskaper i nettleser- og operativsystemprogramvaren. Denne inkluderingen sikrer at sertifikater i en tillitskjede som fører tilbake til noe av CAs rotsertifikater vil bli klarert av programvaren.
Nedenfor kan du se tillitsankeret fra SSL.coms nettsted (SSL.com EV Root Certification Authority RSA R2):
Roten CA eller tillitsanker har muligheten til å signere og utstede mellombevis. Mellomattester (også kjent som mellomliggende, underordneteller utsteder CAer) gi en fleksibel struktur for å gi gyldigheten av tillitsankeret til ytterligere mellom- og sluttenhetssertifikater i kjeden. I denne forstand tjener mellomsertifikater en administrativ funksjon; hvert mellomprodukt kan brukes til et bestemt formål - for eksempel å utstede SSL /TLS eller kodesigneringssertifikater - og kan til og med brukes til konferere root CAs tillit til andre organisasjoner.
Mellomsertifikater gir også en buffer mellom sluttenhetssertifikatet og rot-CA, som beskytter den private rotnøkkelen mot kompromiss. For offentlig pålitelige CAer (inkludert SSL.com), CA / nettleserforum Baseline Krav faktisk forby utstedelse av sertifikater fra sluttselskaper direkte fra rot-CA, som må holdes sikkert offline. Dette betyr at ethvert offentlig klarert sertifikatets kjede av tillit vil inneholde minst ett mellomliggende sertifikat.
I eksemplet vist nedenfor, SSL.com EV SSL Intermediate CA RSA R3 er det eneste mellomsertifikatet i SSL.com-nettstedets tillitskjede. Som navnet på sertifikatet antyder, brukes det bare til å utstede EV SSL /TLS sertifikater:
De slutt entitetssertifikat er det siste leddet i kjeden av tillit. Slutthedsattesten (noen ganger kjent som en bladattest or abonnentsertifikat), tjener til å gi root CAs tillit, via alle mellomprodukter i kjeden, til en enhet som et nettsted, et selskap, regjering, eller enkeltperson.
Et sluttsentersertifikat skiller seg fra et tillitsanker eller mellomsertifikat ved at det ikke kan utstede flere sertifikater. Det er på sett og vis det endelige leddet for kjeden. Eksemplet nedenfor viser sluttenheten SSL /TLS sertifikat fra SSL.coms nettsted:
En tillitskjede sikrer sikkerhet, skalerbarhet og standarder for overholdelse av myndighetene. Det sikrer også personvern, tillit og sikkerhet for de som er avhengige av slutt entitetssertifikater, for eksempel nettstedoperatører og brukere.
Det er viktig for eiere av nettsteder og andre brukere av sluttenhetssertifikater å forstå at en fullstendig tillitskjede er nødvendig for at sertifikatet skal kunne gi CA en tillit. For informasjon om diagnostisering og feilsøking av nettleserfeil som følge av en ufullstendig tillitskjede, se vår artikkel om installasjon av mellomliggende sertifikater og guide til feilmeldinger i nettleseren.
