Czym są certyfikaty główne i dlaczego są tak ważne?

Related Content

Chcesz dalej się uczyć?

Zapisz się do newslettera SSL.com, bądź na bieżąco i bezpiecznie.

Certyfikaty główne są jednym z filarów bezpieczeństwa internetowego. Są podstawą weryfikacji tożsamości stron internetowych za pomocą SSL/TLS certyfikaty, dostarczanie podpisów cyfrowych i wiele więcej. Ale jak dokładnie działają i dlaczego są tak ważne? Ten artykuł wyjaśni wszystko, co musisz wiedzieć o certyfikatach głównych.

Czym jest certyfikat główny?

Certyfikat główny to specjalny certyfikat cyfrowy wydany i podpisany cyfrowo przez Urząd Certyfikacji (CA), taki jak SSL.com. Reprezentuje najwyższy poziom zaufania w hierarchii certyfikatów. Certyfikaty główne są czasami nazywane punktami zaufania, ponieważ są ostatecznym źródłem weryfikacji wydanych certyfikatów.

Gdy CA wydaje certyfikat podmiotowi, takiemu jak strona internetowa, musi on zostać zweryfikowany poprzez prześledzenie go do zaufanego źródła. Certyfikat główny zawiera klucz publiczny potrzebny do zweryfikowania tego łańcucha zaufania. Certyfikaty główne są zazwyczaj podpisywane przez siebie, co oznacza, że ​​ich podpis jest generowany przy użyciu własnego klucza prywatnego certyfikatu.

Wszystkie główne przeglądarki internetowe i systemy operacyjne są wyposażone w preinstalowany zestaw zaufanych certyfikatów głównych od głównych urzędów certyfikacji. Pozwala im to na automatyczną weryfikację SSL/TLS certyfikaty używane do zabezpieczania i identyfikowania serwerów internetowych, po czym przeglądarka wyświetla, że ​​certyfikat jest zaufany, a serwer internetowy jest zabezpieczony. Podobnie, Adobe utrzymuje zaufany magazyn korzeni, które są zaufane w przypadku podpisów cyfrowych, a Microsoft utrzymuje zaufany magazyn korzeni, które są zaufane w przypadku podpisów podpisu kodu.

Hierarchia zaufania

Główne urzędy certyfikacji znajdują się na szczycie hierarchii certyfikacji, która kaskadowo przechodzi w certyfikaty pośrednie i certyfikaty podmiotów końcowych:

  • Certyfikaty główne, takie jak SSL.com – certyfikat główny z podpisem własnym – są gwarancją najwyższego zaufania.
  • Certyfikaty pośrednie – podpisywane przez główny urząd certyfikacji.
  • Certyfikaty podmiotów końcowych – wydawane użytkownikom i serwerom, podpisywane przez podmioty pośredniczące

Dzięki rozdzieleniu obowiązków pośrednie urzędy certyfikacji, znane również jako „wydające urzędy certyfikacji”, mogą wydawać certyfikaty codziennie bez dostępu do wysoce chronionych kluczy głównych. Klucze główne mogą być przechowywane w trybie offline i są używane tylko okazjonalnie do generowania pośrednich urzędów certyfikacji i innych specjalistycznych certyfikatów, takich jak znaczniki czasu lub listy CRL.

Gdy pośredni urząd wystawia certyfikat cyfrowy, zawiera on podpis wystawiającego urzędu certyfikacji i łańcuch certyfikatów łączący się z urzędem głównym. Ten łańcuch jest stosowany w celu weryfikacji certyfikatu końcowego.

Znaczenie i funkcja certyfikatów głównych

Certyfikaty główne spełniają kilka istotnych funkcji:

  1. Kotwica zaufania – Są kotwicą zaufania, która ustanawia łańcuch zaufania. Wszystkie certyfikaty wydawane przez PKI można zweryfikować poprzez prześledzenie do korzenia.
  2. Bezpieczne przeglądanie sieci – umożliwia bezpieczne połączenia HTTPS. Przeglądarki weryfikują certyfikaty witryn, łącząc je z zaufanym Rootem.
  3. Weryfikacja oprogramowania – służy do uwierzytelniania oprogramowania podpisanego cyfrowo, takiego jak aktualizacje systemu operacyjnego, aplikacje, narzędzia itp. Podpisy są sprawdzane w odniesieniu do Root.
  4. Szyfruj komunikację – umożliwia bezpieczne przesyłanie wiadomości e-mail i danych poprzez włączenie szyfrowania w połączeniu z podpisem root.
  5. Bez certyfikatów Root nie byłoby scentralizowanego mechanizmu do ustanawiania zaufania do certyfikatów i kluczy publicznych. Stanowią one autorytatywne źródło zaufania, na którym opiera się kryptografia klucza publicznego.

Główne główne urzędy certyfikacji

Istnieje około 60 urzędów, które obsługują programy certyfikatów Publicly Trusted Root. SSL.com jest wiodącym przykładem, działającym jako Root CA. Stosujemy rozległe procedury walidacji przed wydaniem pośrednich certyfikatów CA właścicielom domen, którzy potrzebują certyfikatów SSL. Nasze klucze główne są chronione sprzętowo i programowo w bezpiecznych obiektach.

Główne organizacje, takie jak Microsoft, Apple, Mozilla i Oracle, decydują, którym głównym urzędom certyfikacji będą domyślnie ufać w swoim oprogramowaniu. Podobnie, Adobe ma zaufany magazyn głównych urzędów certyfikacji, którym można zaufać w celu wydawania certyfikatów podpisywania dokumentów, których podpisy są uznawane przez czytelników Adobe za ważne. Oprócz oprogramowania przeglądarki, Microsoft utrzymuje również zaufany magazyn głównych urzędów certyfikacji, których certyfikaty podpisywania kodu są zaufane. Urząd certyfikacji, taki jak SSL.com, musi spełniać rygorystyczne wymagania, aby stać się publicznie zaufanym urzędem certyfikacji osadzonym w głównych magazynach. Działając jako główny urząd certyfikacji, możemy wydawać zaufane certyfikaty bez polegania na zewnętrznym głównym urzędzie certyfikacji. Nasz certyfikat główny służy jako kotwica zaufania dla naszej hierarchii.

Zabezpiecz swoją infrastrukturę cyfrową dzięki niestandardowym rozwiązaniom PKI Rozwiązania
Do przypadków użycia wymagających niestandardowego PKI lub integracji cyklu życia certyfikatów, skontaktuj się z naszym zespołem ds. rozwiązań dla klientów, aby omówić wymagania.

Przeglądarki i certyfikaty główne

Przeglądarki internetowe są wstępnie załadowane magazynem zaufania zawierającym ponad 100 zaufanych certyfikatów głównych od głównych urzędów certyfikacji. Pozwala im to na walidację SSL/TLS bezproblemowe korzystanie z certyfikatów w witrynach HTTPS.

Kiedy odwiedzasz witrynę zabezpieczoną protokołem SSL/TLS, przeglądarka będzie:

  1. Otrzymaj certyfikat witryny i łańcuch certyfikatów pośrednich.
  2. Sprawdź łańcuch zaufania aż do wbudowanego zaufanego certyfikatu głównego.
  3. Sprawdź, czy nazwa domeny jest zgodna z certyfikatem witryny.
  4. Wyświetl ikonę bezpiecznej kłódki i zezwól na szyfrowane połączenie.

Ostrzeże użytkownika, jeśli przeglądarka napotka nieprawidłowy certyfikat, niezaufany certyfikat główny lub niezgodność nazwy domeny.

Przeglądarki mają również narzędzia do zarządzania certyfikatami do przeglądania głównych urzędów certyfikacji i podejmowania decyzji o zaufaniu. Chrome, Firefox, Edge i Safari umożliwiają użytkownikom przeglądanie, eksportowanie lub wyłączanie głównych certyfikatów.

Instalowanie i zarządzanie certyfikatami głównymi

Mimo że systemy operacyjne i przeglądarki są dostarczane z preinstalowanymi certyfikatami głównymi, w niektórych przypadkach może być konieczna instalacja dodatkowych certyfikatów głównych:

  • Zaufaj prywatnym informacjom swojej firmy PKI łańcuch certyfikatów
  • W przypadku korzystania z nowego lub nieznanego urzędu certyfikacji
  • Rozwiązywanie problemów z błędami „niezaufanego certyfikatu”

Certyfikaty główne można instalować globalnie na poziomie systemu operacyjnego lub lokalnie na poziomie przeglądarki lub aplikacji. W systemie Windows Menedżer certyfikatów obsługuje zaufane certyfikaty główne. Na komputerach Mac certyfikaty główne znajdują się w Keychain Access. W systemie Linux znajdują się w /etc/ssl. SSL.com udostępnia swoje certyfikaty główne i pośrednie do pobrania na naszej stronie internetowej.

Podczas instalowania nowego roota ważne jest sprawdzenie, czy jest on prawidłowy i pochodzi z wiarygodnego źródła. Po zainstalowaniu nieprawidłowe lub zagrożone rooty mogą być niewiarygodne lub usunięte. Jednak cofnięcie zaufania do głównego publicznego roota może spowodować powszechne uszkodzenie aplikacji.

Wygasanie i odnawianie certyfikatów głównych

Certyfikaty główne mają długi okres ważności wynoszący 20 lat lub więcej. Jednak ostatecznie wygasają ze względów bezpieczeństwa. Gdy certyfikaty główne zbliżają się do wygaśnięcia, urzędy certyfikacji muszą wdrożyć nowe certyfikaty główne i dokonać przejścia użytkowników i oprogramowania, aby zaufać nowym kluczom.

Niektóre skutki wygasających, starych lub niezaufanych certyfikatów głównych obejmują:

  • Ostrzeżenia o nieprawidłowym certyfikacie w przeglądarkach
  • Zerwane łańcuchy certyfikatów powodujące błędy połączenia
  • Oprogramowanie nie jest w stanie zweryfikować poprawności podpisu

Najlepsze praktyki zarządzania wygasaniem uprawnień root obejmują:

  • Odnawianie kluczy głównych w długim okresie czasu z nakładaniem się
  • Korzystanie z równoległych pierwiastków i nakładających się okresów ważności
  • Uzyskiwanie nowych korzeni w aktualizacjach oprogramowania klienckiego
  • Cofnięcie/usunięcie starych korzeni po zakończeniu przejścia

Prawidłowe zarządzanie cyklem życia certyfikatu głównego ma kluczowe znaczenie dla uniknięcia zakłóceń w zaufanej komunikacji i weryfikacji oprogramowania.

Ochrona kluczy certyfikatu głównego

Ze względu na ich podstawową rolę w budowaniu zaufania, klucze prywatne powiązane z certyfikatami głównymi muszą być niezwykle ściśle chronione. Standardy branżowe zalecają:

  • Przechowywanie kluczy w trybie offline w bezpiecznym magazynie, takim jak sprzętowy moduł bezpieczeństwa (HSM)
  • Utrzymywanie rozbudowanego bezpieczeństwa fizycznego i programowego
  • Dostęp tylko wtedy, gdy jest to konieczne, przy użyciu kontroli wielostronnych
  • Zarządzanie kluczami wyłącznie w bezpiecznych modułach kryptograficznych
  • Całkowite usuwanie kluczy prywatnych, gdy nie są już potrzebne

Przestrzeganie ścisłych procedur ceremonii kluczy i rozdzielenie obowiązków głównych urzędów certyfikacji chroni PKI Zaufaj kotwicy chroniącej przed kompromisem.

Zaufany root SSL.com

Certyfikaty główne stanowią podstawę zaufania do zabezpieczania komunikacji i transakcji w Internecie. Ustanawiają łańcuchy zapewnienia, które stanowią podstawę infrastruktury klucza publicznego. Poprzez zakotwiczenie hierarchii urzędów certyfikacji i dystrybucję zaufanych magazynów głównych umożliwiają szerokie wykorzystanie SSL/TLS, podpisywanie kodu, uwierzytelnianie urządzeń i inne krytyczne technologie bezpieczeństwa. Dlatego zarządzanie kluczami głównymi i certyfikatami jest jedną z najważniejszych odpowiedzialności w ekosystemie certyfikatów cyfrowych. Jako wiodący urząd certyfikacji, SSL.com prowadzi własny główny urząd certyfikacji i wydaje certyfikaty powiązane z głównymi programami głównymi. Mając ponad 20-letnie doświadczenie jako zaufany urząd certyfikacji, SSL.com stosuje najlepsze praktyki branżowe w zakresie generowania, zarządzania i ochrony kluczy głównych. Odwiedź naszą Strona certyfikatów SSL już dziś, aby dowiedzieć się więcej i uzyskać bezpieczny certyfikat SSL od sprawdzonego organu, któremu możesz zaufać.

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.