O que é um CA?
A autoridade de certificação (CA), também conhecido como um Autoridade de Certificação, é uma empresa ou organização que atua para validar as identidades de entidades (como sites, endereços de email, empresas ou pessoas físicas) e vinculá-las a chaves criptográficas através da emissão de documentos eletrônicos conhecidos como certificados digitais.
Um certificado digital fornece:
Autenticação, servindo como credencial para validar a identidade da entidade para a qual é emitida.
Criptografia, para comunicação segura em redes inseguras, como a Internet.
Integridade de documentos assinado com o certificado para que não possam ser alterados por terceiros em trânsito.
Normalmente, um solicitante de um certificado digital gera um par de chaves que consiste em um chave privada e de um chave pública, Juntamente com uma solicitação de assinatura de certificado (CSR). UMA CSR é um arquivo de texto codificado que inclui a chave pública e outras informações que serão incluídas no certificado (por exemplo, nome de domínio, organização, endereço de e-mail, etc.). Par de chaves e CSR a geração é geralmente feita no servidor ou estação de trabalho onde o certificado será instalado, e o tipo de informação incluída no CSR varia dependendo do nível de validação e uso pretendido do certificado. Ao contrário da chave pública, a chave privada do requerente é mantida em segurança e nunca deve ser mostrada à CA (ou a qualquer outra pessoa).
Depois de gerar o CSR, o requerente o envia a uma AC, que verifica de forma independente se as informações nele contidas são corretas e, em caso afirmativo, assina digitalmente o certificado com uma chave privada emissora e o envia ao requerente.
Quando o certificado assinado é apresentado a um terceiro (como quando essa pessoa acessa o site do detentor do certificado), o destinatário pode confirmar criptograficamente a assinatura digital da CA por meio da chave pública da CA. Além disso, o destinatário pode usar o certificado para confirmar que o conteúdo assinado foi enviado por alguém em posse da chave privada correspondente e que as informações não foram alteradas desde que foram assinadas. Uma parte importante desse aspecto do certificado é algo chamado de cadeia de confiança.
In SSL /TLS, S/MIME, assinatura de códigoe outras aplicações de Certificados X.509, uma hierarquia de certificados é usada para verificar a validade do emissor de um certificado. Essa hierarquia é conhecida como cadeia de confiança. Em uma cadeia de confiança, os certificados são emitidos e assinados por certificados que ficam mais altos na hierarquia.
A cadeia de confiança consiste em várias partes:
1. A âncora de confiança, que é a autoridade de certificação de origem (CA).
2. pelo menos um certificado intermediário, servindo como “isolamento” entre a CA e o certificado da entidade final.
3. A certificado de entidade final, que é usado para validar a identidade de uma entidade, como um site, empresa ou pessoa.
É fácil ver uma cadeia de confiança para si mesmo, inspecionando um HTTPS certificado do site. Quando você verificar um SSL /TLS certificado em um navegador da web, você encontrará uma análise da cadeia de confiança desse certificado digital, incluindo a âncora de confiança, quaisquer certificados intermediários e o certificado da entidade final. Esses vários pontos de verificação são apoiados pela validade da camada anterior ou “link”, voltando para a âncora de confiança.
O exemplo abaixo mostra a cadeia de confiança do site SSL.com, levando do certificado do site da entidade final de volta à CA raiz, por meio de um certificado intermediário:
A raiz autoridade de certificação (CA) serve como o âncora de confiança em uma cadeia de confiança. A validade dessa âncora de confiança é vital para a integridade da cadeia como um todo. Se a autoridade de certificação for publicamente confiável (como SSL.com), os certificados de CA raiz são incluídos pelas principais empresas de software em seu navegador e software de sistema operacional. Essa inclusão garante que os certificados em uma cadeia de confiança que leva de volta a qualquer um dos certificados raiz da CA sejam considerados confiáveis pelo software.
Abaixo, você pode ver a âncora de confiança no site SSL.com (SSL.com EV Root Certification Authority RSA R2):
A autoridade de certificação raiz ou a âncora confiável pode assinar e emitir certificados intermediários. Certificados intermediários (também conhecidos como intermediário, subordinarou CAs emissoras) fornecem uma estrutura flexível para conferir a validade da âncora de confiança a certificados de entidades intermediárias e finais adicionais na cadeia. Nesse sentido, os certificados intermediários cumprem uma função administrativa; cada intermediário pode ser usado para uma finalidade específica - como a emissão de SSL /TLS ou certificados de assinatura de código - e pode até ser usado para conferir a confiança da CA raiz para outras organizações.
Os certificados intermediários também fornecem um buffer entre o certificado da entidade final e a CA raiz, protegendo a chave raiz privada do comprometimento. Para CAs publicamente confiáveis (incluindo SSL.com), o CA / fórum do navegador Requisitos de linha de base na verdade, proíbe a emissão de certificados de entidade final diretamente da CA raiz, que deve ser mantida offline com segurança. Isso significa que qualquer cadeia de confiança de certificado confiável publicamente incluirá pelo menos um certificado intermediário.
No exemplo mostrado abaixo, SSL.com EV SSL Intermediate CA RSA R3 é o único certificado intermediário na cadeia de confiança do site SSL.com. Como o nome do certificado sugere, ele é usado apenas para emitir EV SSL /TLS certificados:
O certificado de entidade final é o elo final na cadeia de confiança. O certificado da entidade final (às vezes conhecido como certificado de folha or certificado de assinante), serve para conferir a confiança da autoridade de certificação raiz, por meio de quaisquer intermediários na cadeia, a uma entidade como um site, empresa, governoou pessoa individual.
Um certificado de entidade final difere de uma âncora de confiança ou certificado intermediário porque não pode emitir certificados adicionais. É, em certo sentido, o elo final no que diz respeito à corrente. O exemplo abaixo mostra a entidade final SSL /TLS certificado do site SSL.com:
Uma cadeia de confiança garante segurança, escalabilidade e conformidade com os padrões para as CAs. Também garante privacidade, confiança e segurança para aqueles que dependem de certificados de entidade final, como operadores e usuários de sites.
É importante que os proprietários de sites e outros usuários de certificados de entidade final entendam que uma cadeia completa de confiança é necessária para que seu certificado confira a confiança de uma CA com êxito. Para obter informações sobre como diagnosticar e solucionar erros do navegador resultantes de uma cadeia de confiança incompleta, consulte nosso artigo sobre a instalação de certificados intermediários e guia para mensagens de erro do navegador.
