In legal terminology, a cadeia de custódia is a way to ensure safety, legitimacy, and to simply know where and with whom sensitive information has been (and who has had access to it). No mundo da certificados digitais, a cadeia de confiança functions somewhat similarly, but with the same intent: to form a linked path of validation and verification from a trust anchor down to an end-entity certificate.
With that intro, let’s take a closer look at chains of trust:
In SSL /TLS, S/MIME, assinatura de códigoe outras aplicações de Certificados X.509, uma hierarquia de certificados é usada para verificar a validade do emissor de um certificado. Essa hierarquia é conhecida como cadeia de confiança. Em uma cadeia de confiança, os certificados são emitidos e assinados por certificados que ficam mais altos na hierarquia.
A cadeia de confiança consiste em várias partes:
1. A âncora de confiança, que é a autoridade de certificação de origem (CA).
2. pelo menos um certificado intermediário, servindo como “isolamento” entre a CA e o certificado da entidade final.
3. A certificado de entidade final, que é usado para validar a identidade de uma entidade, como um site, empresa ou pessoa.
É fácil ver uma cadeia de confiança para si mesmo, inspecionando um HTTPS certificado do site. Quando você verificar um SSL /TLS certificado em um navegador da web, você encontrará uma análise da cadeia de confiança desse certificado digital, incluindo a âncora de confiança, quaisquer certificados intermediários e o certificado da entidade final. Esses vários pontos de verificação são apoiados pela validade da camada anterior ou “link”, voltando para a âncora de confiança.
O exemplo abaixo mostra a cadeia de confiança do site SSL.com, levando do certificado do site da entidade final de volta à CA raiz, por meio de um certificado intermediário:
A raiz autoridade de certificação (CA) serve como o âncora de confiança em uma cadeia de confiança. A validade dessa âncora de confiança é vital para a integridade da cadeia como um todo. Se a autoridade de certificação for publicamente confiável (como SSL.com), os certificados de CA raiz são incluídos pelas principais empresas de software em seu navegador e software de sistema operacional. Essa inclusão garante que os certificados em uma cadeia de confiança que leva de volta a qualquer um dos certificados raiz da CA sejam considerados confiáveis pelo software.
Abaixo, você pode ver a âncora de confiança no site SSL.com (SSL.com EV Root Certification Authority RSA R2):
A autoridade de certificação raiz ou a âncora confiável pode assinar e emitir certificados intermediários. Certificados intermediários (também conhecidos como intermediário, subordinarou CAs emissoras) fornecem uma estrutura flexível para conferir a validade da âncora de confiança a certificados de entidades intermediárias e finais adicionais na cadeia. Nesse sentido, os certificados intermediários cumprem uma função administrativa; cada intermediário pode ser usado para uma finalidade específica - como a emissão de SSL /TLS ou certificados de assinatura de código - e pode até ser usado para conferir a confiança da CA raiz para outras organizações.
Os certificados intermediários também fornecem um buffer entre o certificado da entidade final e a CA raiz, protegendo a chave raiz privada do comprometimento. Para CAs publicamente confiáveis (incluindo SSL.com), o CA / fórum do navegador Requisitos de linha de base na verdade, proíbe a emissão de certificados de entidade final diretamente da CA raiz, que deve ser mantida offline com segurança. Isso significa que qualquer cadeia de confiança de certificado confiável publicamente incluirá pelo menos um certificado intermediário.
No exemplo mostrado abaixo, SSL.com EV SSL Intermediate CA RSA R3 é o único certificado intermediário na cadeia de confiança do site SSL.com. Como o nome do certificado sugere, ele é usado apenas para emitir EV SSL /TLS certificados:
O certificado de entidade final é o elo final na cadeia de confiança. O certificado da entidade final (às vezes conhecido como certificado de folha or certificado de assinante), serve para conferir a confiança da autoridade de certificação raiz, por meio de quaisquer intermediários na cadeia, a uma entidade como um site, empresa, governoou pessoa individual.
Um certificado de entidade final difere de uma âncora de confiança ou certificado intermediário porque não pode emitir certificados adicionais. É, em certo sentido, o elo final no que diz respeito à corrente. O exemplo abaixo mostra a entidade final SSL /TLS certificado do site SSL.com:
Uma cadeia de confiança garante segurança, escalabilidade e conformidade com os padrões para as CAs. Também garante privacidade, confiança e segurança para aqueles que dependem de certificados de entidade final, como operadores e usuários de sites.
É importante que os proprietários de sites e outros usuários de certificados de entidade final entendam que uma cadeia completa de confiança é necessária para que seu certificado confira a confiança de uma CA com êxito. Para obter informações sobre como diagnosticar e solucionar erros do navegador resultantes de uma cadeia de confiança incompleta, consulte nosso artigo sobre a instalação de certificados intermediários e guia para mensagens de erro do navegador.
