Co to jest urząd certyfikacji?
A urząd certyfikacji (CA), czasami nazywane także Urząd certyfikacji, to firma lub organizacja działająca w celu weryfikacji tożsamości podmiotów (takich jak strony internetowe, adresy e-mail, firmy lub osoby fizyczne) i powiązania ich z kluczami kryptograficznymi poprzez wydawanie dokumentów elektronicznych zwanych certyfikaty cyfrowe.
Certyfikat cyfrowy zapewnia:
Uwierzytelnianie, służąc jako poświadczenie do weryfikacji tożsamości podmiotu, któremu został wydany.
Szyfrowanie, do bezpiecznej komunikacji w niepewnych sieciach, takich jak Internet.
Integralność dokumentów podpisana ze świadectwem, aby nie mogły zostać zmienione przez osobę trzecią w tranzycie.
Zazwyczaj osoba ubiegająca się o certyfikat cyfrowy wygeneruje para kluczy składający się z prywatny klucz oraz klucz publiczny, Oraz żądanie podpisania certyfikatu (CSR), ZA CSR to zakodowany plik tekstowy zawierający klucz publiczny i inne informacje, które zostaną zawarte w certyfikacie (np. nazwa domeny, organizacja, adres e-mail itp.). Para kluczy i CSR generowanie odbywa się zwykle na serwerze lub stacji roboczej, na której zostanie zainstalowany certyfikat, oraz rodzaj informacji zawartych w CSR różni się w zależności od poziomu weryfikacji i zamierzonego zastosowania certyfikatu. W przeciwieństwie do klucza publicznego, klucz prywatny wnioskodawcy jest bezpieczny i nigdy nie powinien być pokazywany CA (ani nikomu innemu).
Po wygenerowaniu CSR, wnioskodawca przesyła go do urzędu certyfikacji, który niezależnie sprawdza, czy zawarte w nim informacje są poprawne, a jeśli tak, cyfrowo podpisuje certyfikat wydającym kluczem prywatnym i przesyła go do wnioskodawcy.
Gdy podpisany certyfikat jest przedstawiany stronie trzeciej (na przykład gdy ta osoba uzyskuje dostęp do witryny internetowej posiadacza certyfikatu), odbiorca może kryptograficznie potwierdzić podpis cyfrowy CA za pomocą klucza publicznego CA. Dodatkowo odbiorca może użyć certyfikatu, aby potwierdzić, że podpisana treść została wysłana przez kogoś, kto jest w posiadaniu odpowiedniego klucza prywatnego, oraz że informacje nie zostały zmienione od czasu podpisania. Kluczową częścią tego aspektu certyfikatu jest coś, co nazywa się łańcuchem zaufania.
In SSL /TLS, S/MIME, podpisywanie koduoraz inne zastosowania Certyfikaty X.509, do weryfikacji ważności wystawcy certyfikatu używana jest hierarchia certyfikatów. Ta hierarchia jest znana jako łańcuch zaufania. W łańcuchu zaufania certyfikaty są wydawane i podpisywane przez certyfikaty znajdujące się wyżej w hierarchii.
A łańcuch zaufania składa się z kilku części:
1. kotwica zaufania, który jest pochodzącym z urzędu certyfikacji (CA).
2. Przynajmniej jeden certyfikat pośredni, służąc jako „izolacja” między CA a certyfikatem jednostki końcowej.
3. certyfikat podmiotu końcowego, który służy do sprawdzania tożsamości podmiotu, takiego jak strona internetowa, firma lub osoba.
Łatwo jest samemu zobaczyć łańcuch zaufania, sprawdzając plik HTTPS certyfikat witryny. Kiedy ty ZOBACZ certyfikat SSL /TLS certyfikat w przeglądarce internetowej, znajdziesz podział łańcucha zaufania tego certyfikatu cyfrowego, w tym kotwicy zaufania, wszelkich certyfikatów pośrednich i certyfikatu jednostki końcowej. Te różne punkty weryfikacji są poparte poprawnością poprzedniej warstwy lub „łącza”, wracając do kotwicy zaufania.
Poniższy przykład przedstawia łańcuch zaufania z witryny SSL.com, prowadzący od certyfikatu witryny podmiotu końcowego z powrotem do głównego urzędu certyfikacji, za pośrednictwem jednego certyfikatu pośredniego:
Korzeń urząd certyfikacji (CA) służy jako kotwica zaufania w łańcuchu zaufania. Ważność tej kotwicy zaufania ma zasadnicze znaczenie dla integralności łańcucha jako całości. Jeśli CA jest publicznie zaufany (jak SSL.com), główne certyfikaty CA są dołączane przez główne firmy programistyczne do ich przeglądarki i oprogramowania systemu operacyjnego. To włączenie zapewnia, że certyfikaty w łańcuchu zaufania prowadzącym z powrotem do któregokolwiek z certyfikatów głównych urzędu certyfikacji będą zaufane przez oprogramowanie.
Poniżej możesz zobaczyć kotwicę zaufania ze strony SSL.com (SSL.com EV Root Certification Authority RSA R2):
Główny urząd certyfikacji lub kotwica zaufania ma możliwość podpisywania i wystawiania certyfikaty pośrednie. Certyfikaty pośrednie (znane również jako pośredni, podrzędnylub wydawanie urzędów certyfikacji) zapewniają elastyczną strukturę nadawania ważności kotwicy zaufania dodatkowym certyfikatom pośredniczącym i końcowym w łańcuchu. W tym sensie certyfikaty pośrednie pełnią funkcję administracyjną; każdy produkt pośredni może być używany do określonego celu - np. do wystawiania SSL /TLS lub certyfikaty do podpisywania kodu - i nawet można się do tego przyzwyczaić przyznać zaufanie głównego urzędu certyfikacji do innych organizacji.
Certyfikaty pośrednie zapewniają również bufor między certyfikatem jednostki końcowej a głównym urzędem certyfikacji, chroniąc prywatny klucz główny przed naruszeniem. W przypadku publicznie zaufanych urzędów certyfikacji (w tym SSL.com) forum urzędu certyfikacji / przeglądarki Wymagania podstawowe faktycznie zabrania wydawania certyfikatów jednostek końcowych bezpośrednio z głównego urzędu certyfikacji, który musi być bezpiecznie przechowywany w trybie offline. Oznacza to, że łańcuch zaufania każdego publicznie zaufanego certyfikatu będzie zawierał co najmniej jeden certyfikat pośredni.
W poniższym przykładzie SSL.com EV SSL Intermediate CA RSA R3 jest jedynym pośrednim certyfikatem w łańcuchu zaufania witryny SSL.com. Jak sugeruje nazwa certyfikatu, służy on wyłącznie do wystawiania EV SSL /TLS certyfikaty:
Połączenia certyfikat podmiotu końcowego jest ostatnim ogniwem w łańcuchu zaufania. Certyfikat podmiotu końcowego (czasami znany jako certyfikat liści or certyfikat subskrybenta), służy do przekazania zaufania głównego urzędu certyfikacji, za pośrednictwem dowolnych produktów pośrednich w łańcuchu, podmiotowi, np. stronie internetowej, firmie, rządlub indywidualna osoba.
Certyfikat jednostki końcowej różni się od kotwicy zaufania lub certyfikatu pośredniego tym, że nie może wystawiać dodatkowych certyfikatów. W pewnym sensie jest to ostatnie ogniwo łańcucha. Poniższy przykład przedstawia końcowy protokół SSL /TLS certyfikat ze strony SSL.com:
Łańcuch zaufania zapewnia bezpieczeństwo, skalowalność i zgodność ze standardami dla urzędów certyfikacji. Zapewnia również prywatność, zaufanie i bezpieczeństwo tym, którzy polegają na certyfikatach podmiotów końcowych, takich jak operatorzy witryn i użytkownicy.
Właściciele witryn internetowych i inni użytkownicy certyfikatów jednostek końcowych powinni zrozumieć, że pełny łańcuch zaufania jest niezbędny, aby ich certyfikat mógł pomyślnie nadać zaufanie urzędu certyfikacji. Informacje na temat diagnozowania i rozwiązywania problemów związanych z błędami przeglądarki wynikającymi z niepełnego łańcucha zaufania można znaleźć na stronie nasz artykuł na temat instalowania certyfikatów pośrednich i przewodnik po komunikatach o błędach przeglądarki.
