Certyfikaty główne są jednym z filarów bezpieczeństwa internetowego. Są podstawą weryfikacji tożsamości stron internetowych za pomocą SSL/TLS certyfikaty, dostarczanie podpisów cyfrowych i wiele więcej. Ale jak dokładnie działają i dlaczego są tak ważne? Ten artykuł wyjaśni wszystko, co musisz wiedzieć o certyfikatach głównych.
Czym jest certyfikat główny?
Certyfikat główny to specjalny certyfikat cyfrowy wydany i podpisany cyfrowo przez Urząd Certyfikacji (CA), taki jak SSL.com. Reprezentuje najwyższy poziom zaufania w hierarchii certyfikatów. Certyfikaty główne są czasami nazywane punktami zaufania, ponieważ są ostatecznym źródłem weryfikacji wydanych certyfikatów.
Gdy CA wydaje certyfikat podmiotowi, takiemu jak strona internetowa, musi on zostać zweryfikowany poprzez prześledzenie go do zaufanego źródła. Certyfikat główny zawiera klucz publiczny potrzebny do zweryfikowania tego łańcucha zaufania. Certyfikaty główne są zazwyczaj podpisywane przez siebie, co oznacza, że ich podpis jest generowany przy użyciu własnego klucza prywatnego certyfikatu.
Wszystkie główne przeglądarki internetowe i systemy operacyjne są wyposażone w preinstalowany zestaw zaufanych certyfikatów głównych od głównych urzędów certyfikacji. Pozwala im to na automatyczną weryfikację SSL/TLS certyfikaty używane do zabezpieczania i identyfikowania serwerów internetowych, po czym przeglądarka wyświetla, że certyfikat jest zaufany, a serwer internetowy jest zabezpieczony. Podobnie, Adobe utrzymuje zaufany magazyn korzeni, które są zaufane w przypadku podpisów cyfrowych, a Microsoft utrzymuje zaufany magazyn korzeni, które są zaufane w przypadku podpisów podpisu kodu.
Hierarchia zaufania
Główne urzędy certyfikacji znajdują się na szczycie hierarchii certyfikacji, która kaskadowo przechodzi w certyfikaty pośrednie i certyfikaty podmiotów końcowych:
- Certyfikaty główne, takie jak SSL.com – certyfikat główny z podpisem własnym – są gwarancją najwyższego zaufania.
- Certyfikaty pośrednie – podpisywane przez główny urząd certyfikacji.
- Certyfikaty podmiotów końcowych – wydawane użytkownikom i serwerom, podpisywane przez podmioty pośredniczące
Dzięki rozdzieleniu obowiązków pośrednie urzędy certyfikacji, znane również jako „wydające urzędy certyfikacji”, mogą wydawać certyfikaty codziennie bez dostępu do wysoce chronionych kluczy głównych. Klucze główne mogą być przechowywane w trybie offline i są używane tylko okazjonalnie do generowania pośrednich urzędów certyfikacji i innych specjalistycznych certyfikatów, takich jak znaczniki czasu lub listy CRL.
Gdy pośredni urząd wystawia certyfikat cyfrowy, zawiera on podpis wystawiającego urzędu certyfikacji i łańcuch certyfikatów łączący się z urzędem głównym. Ten łańcuch jest stosowany w celu weryfikacji certyfikatu końcowego.
Znaczenie i funkcja certyfikatów głównych
Certyfikaty główne spełniają kilka istotnych funkcji:
- Kotwica zaufania – Są kotwicą zaufania, która ustanawia łańcuch zaufania. Wszystkie certyfikaty wydawane przez PKI można zweryfikować poprzez prześledzenie do korzenia.
- Bezpieczne przeglądanie sieci – umożliwia bezpieczne połączenia HTTPS. Przeglądarki weryfikują certyfikaty witryn, łącząc je z zaufanym Rootem.
- Weryfikacja oprogramowania – służy do uwierzytelniania oprogramowania podpisanego cyfrowo, takiego jak aktualizacje systemu operacyjnego, aplikacje, narzędzia itp. Podpisy są sprawdzane w odniesieniu do Root.
- Szyfruj komunikację – umożliwia bezpieczne przesyłanie wiadomości e-mail i danych poprzez włączenie szyfrowania w połączeniu z podpisem root.
- Bez certyfikatów Root nie byłoby scentralizowanego mechanizmu do ustanawiania zaufania do certyfikatów i kluczy publicznych. Stanowią one autorytatywne źródło zaufania, na którym opiera się kryptografia klucza publicznego.
Główne główne urzędy certyfikacji
Istnieje około 60 urzędów, które obsługują programy certyfikatów Publicly Trusted Root. SSL.com jest wiodącym przykładem, działającym jako Root CA. Stosujemy rozległe procedury walidacji przed wydaniem pośrednich certyfikatów CA właścicielom domen, którzy potrzebują certyfikatów SSL. Nasze klucze główne są chronione sprzętowo i programowo w bezpiecznych obiektach.
Główne organizacje, takie jak Microsoft, Apple, Mozilla i Oracle, decydują, którym głównym urzędom certyfikacji będą domyślnie ufać w swoim oprogramowaniu. Podobnie, Adobe ma zaufany magazyn głównych urzędów certyfikacji, którym można zaufać w celu wydawania certyfikatów podpisywania dokumentów, których podpisy są uznawane przez czytelników Adobe za ważne. Oprócz oprogramowania przeglądarki, Microsoft utrzymuje również zaufany magazyn głównych urzędów certyfikacji, których certyfikaty podpisywania kodu są zaufane. Urząd certyfikacji, taki jak SSL.com, musi spełniać rygorystyczne wymagania, aby stać się publicznie zaufanym urzędem certyfikacji osadzonym w głównych magazynach. Działając jako główny urząd certyfikacji, możemy wydawać zaufane certyfikaty bez polegania na zewnętrznym głównym urzędzie certyfikacji. Nasz certyfikat główny służy jako kotwica zaufania dla naszej hierarchii.
Przeglądarki i certyfikaty główne
Przeglądarki internetowe są wstępnie załadowane magazynem zaufania zawierającym ponad 100 zaufanych certyfikatów głównych od głównych urzędów certyfikacji. Pozwala im to na walidację SSL/TLS bezproblemowe korzystanie z certyfikatów w witrynach HTTPS.
Kiedy odwiedzasz witrynę zabezpieczoną protokołem SSL/TLS, przeglądarka będzie:
- Otrzymaj certyfikat witryny i łańcuch certyfikatów pośrednich.
- Sprawdź łańcuch zaufania aż do wbudowanego zaufanego certyfikatu głównego.
- Sprawdź, czy nazwa domeny jest zgodna z certyfikatem witryny.
- Wyświetl ikonę bezpiecznej kłódki i zezwól na szyfrowane połączenie.
Ostrzeże użytkownika, jeśli przeglądarka napotka nieprawidłowy certyfikat, niezaufany certyfikat główny lub niezgodność nazwy domeny.
Przeglądarki mają również narzędzia do zarządzania certyfikatami do przeglądania głównych urzędów certyfikacji i podejmowania decyzji o zaufaniu. Chrome, Firefox, Edge i Safari umożliwiają użytkownikom przeglądanie, eksportowanie lub wyłączanie głównych certyfikatów.
Instalowanie i zarządzanie certyfikatami głównymi
Mimo że systemy operacyjne i przeglądarki są dostarczane z preinstalowanymi certyfikatami głównymi, w niektórych przypadkach może być konieczna instalacja dodatkowych certyfikatów głównych:
- Zaufaj prywatnym informacjom swojej firmy PKI łańcuch certyfikatów
- W przypadku korzystania z nowego lub nieznanego urzędu certyfikacji
- Rozwiązywanie problemów z błędami „niezaufanego certyfikatu”
Certyfikaty główne można instalować globalnie na poziomie systemu operacyjnego lub lokalnie na poziomie przeglądarki lub aplikacji. W systemie Windows Menedżer certyfikatów obsługuje zaufane certyfikaty główne. Na komputerach Mac certyfikaty główne znajdują się w Keychain Access. W systemie Linux znajdują się w /etc/ssl. SSL.com udostępnia swoje certyfikaty główne i pośrednie do pobrania na naszej stronie internetowej.
Podczas instalowania nowego roota ważne jest sprawdzenie, czy jest on prawidłowy i pochodzi z wiarygodnego źródła. Po zainstalowaniu nieprawidłowe lub zagrożone rooty mogą być niewiarygodne lub usunięte. Jednak cofnięcie zaufania do głównego publicznego roota może spowodować powszechne uszkodzenie aplikacji.
Wygasanie i odnawianie certyfikatów głównych
Certyfikaty główne mają długi okres ważności wynoszący 20 lat lub więcej. Jednak ostatecznie wygasają ze względów bezpieczeństwa. Gdy certyfikaty główne zbliżają się do wygaśnięcia, urzędy certyfikacji muszą wdrożyć nowe certyfikaty główne i dokonać przejścia użytkowników i oprogramowania, aby zaufać nowym kluczom.
Niektóre skutki wygasających, starych lub niezaufanych certyfikatów głównych obejmują:
- Ostrzeżenia o nieprawidłowym certyfikacie w przeglądarkach
- Zerwane łańcuchy certyfikatów powodujące błędy połączenia
- Oprogramowanie nie jest w stanie zweryfikować poprawności podpisu
Najlepsze praktyki zarządzania wygasaniem uprawnień root obejmują:
- Odnawianie kluczy głównych w długim okresie czasu z nakładaniem się
- Korzystanie z równoległych pierwiastków i nakładających się okresów ważności
- Uzyskiwanie nowych korzeni w aktualizacjach oprogramowania klienckiego
- Cofnięcie/usunięcie starych korzeni po zakończeniu przejścia
Prawidłowe zarządzanie cyklem życia certyfikatu głównego ma kluczowe znaczenie dla uniknięcia zakłóceń w zaufanej komunikacji i weryfikacji oprogramowania.
Ochrona kluczy certyfikatu głównego
Ze względu na ich podstawową rolę w budowaniu zaufania, klucze prywatne powiązane z certyfikatami głównymi muszą być niezwykle ściśle chronione. Standardy branżowe zalecają:
- Przechowywanie kluczy w trybie offline w bezpiecznym magazynie, takim jak sprzętowy moduł bezpieczeństwa (HSM)
- Utrzymywanie rozbudowanego bezpieczeństwa fizycznego i programowego
- Dostęp tylko wtedy, gdy jest to konieczne, przy użyciu kontroli wielostronnych
- Zarządzanie kluczami wyłącznie w bezpiecznych modułach kryptograficznych
- Całkowite usuwanie kluczy prywatnych, gdy nie są już potrzebne
Przestrzeganie ścisłych procedur ceremonii kluczy i rozdzielenie obowiązków głównych urzędów certyfikacji chroni PKI Zaufaj kotwicy chroniącej przed kompromisem.