Urzędy certyfikacji (CA) od dwóch dekad stanowią fundament bezpieczeństwa online, a certyfikaty cyfrowe są nadal zaufaną metodą zapewniającą bezpieczeństwo transakcji i tożsamości. Na poziomie podstawowym certyfikaty podpisane przez urząd certyfikacji są cennymi narzędziami do uwierzytelniania tożsamości online; pozwalają na bezpieczną, szyfrowaną komunikację w sieciach, które w innym przypadku są niebezpieczne; oraz potwierdź integralność podpisanych dokumentów, sprawdzając, czy nie zostały one zmienione przez osobę trzecią.
Ale wartość CA rozciąga się poza ich bezpośrednią praktyczną przydatność. To, co jest bardzo prostym procesem weryfikacji dla użytkownika, opiera się na sieci pracy i łańcuchu zaufania, który wykracza poza zwykłą kontrolę faktów.
Co robią urzędy certyfikacji?
Dostawcy przeglądarek i systemów operacyjnych ufają publicznym urzędom certyfikacji (takim jak SSL.com) w celu weryfikacji:
- Kontrola nazw domen
- Legalność organizacji i ich przedstawicieli
- Informacje kontaktowe, takie jak adresy e-mail
Urzędy certyfikacji wydają wiele rodzajów certyfikatów, wszystkie oparte na X.509 standard. Certyfikaty wydane przez urząd certyfikacji zapewniają bezpieczeństwo transakcji w witrynie, ochronę przed złośliwym oprogramowaniem oraz uwierzytelnianie dokumentów i wymiany wiadomości e-mail. Ustanawianie tożsamości w Internecie odbywa się za pośrednictwem różnych procesów, procedur i protokołów, wszystkie zapewnione przez urzędy certyfikacji. Na przykład:
- SSL /TLS zapewnia zaufany i zaszyfrowany sposób dostępu do sieci WWW za pośrednictwem przeglądarek - który chroni dane osobowe i transakcje.
- Podpisy cyfrowe dostarczać uwierzytelnione dokumenty cyfrowe.
- Podpisywanie kodu pozwala na bezpieczną dystrybucję oprogramowania w Internecie.
- S/MIME umożliwia uwierzytelnianie i szyfrowanie wiadomości e-mail.
- Uwierzytelnianie klienta certyfikaty chronią dostęp do komputerów i aplikacji.
Wszystko to odbywa się za pośrednictwem certyfikatów zakotwiczonych w głównym certyfikacie publicznego urzędu certyfikacji i połączonych razem za pomocą „łańcuch zaufania"
Dlaczego tak trudno jest być publicznie zaufanym urzędem certyfikacji?
Jak opisano powyżej, urzędy certyfikacji są zaufane przez systemy operacyjne i inne oprogramowanie do weryfikacji tożsamości witryn internetowych, firm i osób fizycznych. Po ustanowieniu publicznego urzędu certyfikacji i zdobyciu zaufania dostawców oprogramowania i innych graczy, jego cyfrowe certyfikaty są natychmiastowym, bezpiecznym i niezawodnym sposobem na upewnienie się, że informacje nie są fałszywe. Proces tworzenia samopodpisanego głównego urzędu certyfikacji jest stosunkowo prosty - mogą być szczerze tworzone przez każdego, kto ma powszechnie dostępne, tanie lub bezpłatne oprogramowanie. Jednak tak naprawdę nie ma zbyt wielu publicznych urzędów certyfikacji. W rzeczywistości są tylko obecnie 52 członków CA forum CA / Browser i zdecydowana większość SSL /TLS certyfikaty pochodzą z mniejszej liczby. Dlaczego więc nie wszyscy je robią?
Powodem, dla którego publiczne urzędy certyfikacji są tak ekskluzywnym klubem, jest to, że stanie się publicznym urzędem certyfikacji oraz zdobycie i utrzymanie powszechnego zaufania w celu utrzymania jego funkcjonalności to dużo pracy. Włączenie do wszystkich przeglądarek i systemów operacyjnych jest płynne po stronie użytkownika, ale wymaga wielu lat pracy za kulisami. Gdy kupujesz nowy komputer lub instalujesz oprogramowanie, takie jak przeglądarka internetowa lub klient poczty e-mail, lista zaufanych certyfikatów głównego urzędu certyfikacji jest już dołączona. Ale dodanie do tej listy nie jest czymś, co dzieje się z dnia na dzień, i pozostanie tam również stanowi wyzwanie.
Aby pozostać w biznesowych certyfikatach sprzedaży, urząd certyfikacji musi spełniać wymagania dostawców oprogramowania, którzy wszyscy starają się zapewnić swoim użytkownikom bezpieczne i niezawodne doświadczenie. Każdy główny sprzedawca przeglądarki i systemu operacyjnego ma swój własny zestaw kryteriów, które CA muszą spełniać i dotrzymywać kroku wprowadzanym zmianom. Koszt niezrobienia tego jest wysoki: jeśli urząd certyfikacji nie jest zawarty w żadnym z programów root, niezależnie od tego, czy wynika to z naruszenia zaufania, czy z powodu braku aktualności przy zmianach zasad, oznaczałoby to katastrofę dla cały biznes. Żadna firma nie szuka certyfikatu SSL witryny, który współpracuje z Safari, ale nie z Chrome. Niewielu producentów oprogramowania chciałoby certyfikatu do podpisywania kodu, któremu Windows nie ufa.
Oprócz zachowania tej delikatnej równowagi z przeglądarkami, systemami operacyjnymi i innymi dostawcami oprogramowania, urzędy certyfikacji podlegają rygorystycznym audytom zewnętrznym. Widzisz te odznaki na dole tej samej strony? Każda z tych pieczęci reprezentuje audyt, a każdy z tych audytów jest przeprowadzany corocznie. Jeśli jakikolwiek ośrodek certyfikacji nie przejdzie audytu (lub nie spełni wymagań programu głównego), certyfikaty CA mogą zostać wykluczone z kluczowych magazynów głównych, co uczyni je bezużytecznymi.
Członkowie CA Forum CA / przeglądarki (konsorcjum jednostek certyfikujących i dostawców PKI- włączone oprogramowanie, takie jak przeglądarki i systemy operacyjne) aktywnie rozwija i egzekwuje dziesiątki standardów branżowych oraz ustanawia Forum CA / B Wymagania podstawowe. Członkowie uczestniczą w organizacjach edukacyjnych i badawczych oraz współpracują z interesariuszami w celu wzmocnienia bezpieczeństwa w Internecie, często przejmując inicjatywę w zakresie proponowania i przyjmowania nowych standardów. CA są najbardziej zainteresowane upewnieniem się, że SSL /TLS system działa, a jego reputacja jest solidna, co z konieczności oznacza, że podejmują proaktywne i agresywne podejście do bezpieczeństwa swoich systemów i systemów, z którymi pracują.
Oprócz przestrzegania tych standardów, urzędy certyfikacji są zobowiązane do utrzymywania i udostępniania list przejrzystości certyfikatów (rejestr publiczny wszystkich wydanych certyfikatów), a także list odwołań certyfikatów (CRL) i respondentów OCSP, które śledzą unieważnione certyfikaty. Sprawą najwyższej wagi jest upewnienie się, że wszystkie certyfikaty są rozliczane, a zaufanie, które stanowi podstawę certyfikatów, nigdy nie jest naruszane.
Jak wybrać urząd certyfikacji
Tak więc, znając całą pracę związaną z utrzymywaniem i prowadzeniem publicznego urzędu certyfikacji, jak określić, który urząd certyfikacji jest najlepszy dla ich potrzeb?
Chociaż istnieją teraz tanie (lub nawet bezpłatne) opcje CA, ważne jest, aby wiedzieć, co jest sprzedawane za ten obniżony koszt. Ogólnie rzecz biorąc, bezpłatne urzędy certyfikacji nie oferują takich samych poziomów walidacji jak komercyjne urzędy certyfikacji i nie oferują niczego innego niż SSL /TLS certyfikaty. Na przykład mogą wykazać, że ubiegający się o stronę internetową SSL /TLS certyfikat kontroluje tę domenę (walidacja domeny), ale nie podejmuje dodatkowego kroku potwierdzania, kim jest ten właściciel. W zależności od zamierzonego przypadku użycia DV może być w porządku (wszystkie komercyjne urzędy certyfikacji, w tym SSL.com, również je oferują), ale jeśli potrzebujesz certyfikatu podpisującego kod, podpisów cyfrowych dla plików Adobe PDF lub zweryfikowanych informacji o Twojej firmie zawartych w certyfikat witryny, musisz udać się do komercyjnego CA.
Aby uzyskać więcej informacji na temat wyboru wiarygodnego urzędu certyfikacji, sprawdź nasze Przewodnik po najlepszych praktykach.
