В течение последних двух десятилетий центры сертификации (ЦС) были основой безопасности в сети, и цифровые сертификаты продолжают оставаться надежным методом обеспечения безопасности транзакций и удостоверений. На фундаментальном уровне сертификаты, подписанные CA, являются ценными инструментами для аутентификации личности в Интернете; разрешить безопасную, зашифрованную связь по другим незащищенным сетям; и подтвердить целостность подписанных документов, убедившись, что они не были изменены третьей стороной.
Но ценность СА простирается за их непосредственную практическую полезность. То, что является очень простым процессом проверки пользователя, подкреплено структурой работы и цепочкой доверия, которая выходит за рамки простой проверки фактов.
Что делают ЦС?
Поставщики браузеров и операционных систем доверяют общедоступным центрам сертификации (например, SSL.com) для проверки:
- Контроль доменных имен
- Законность организаций и их агентов
- Контактная информация, такая как адреса электронной почты
Центры сертификации выдают множество типов сертификатов, основанных на X.509 стандарт. Сертификаты, выданные CA, обеспечивают безопасность транзакций на веб-сайте, защиту от вредоносных программ и проверку подлинности документов и обменов электронной почтой. Создание идентификаторов в Интернете осуществляется с помощью различных процессов, процедур и протоколов, и все они гарантируются центрами сертификации. Например:
- SSL /TLS предоставляет надежные и зашифрованные средства для доступа к World Wide Web через браузеры, что защищает личную информацию и транзакции.
- Цифровые подписи предоставлять аутентифицированные цифровые документы.
- Подписание кода позволяет безопасно распространять программное обеспечение в Интернете.
- S/MIME включает аутентифицированную и зашифрованную электронную почту.
- Аутентификация клиента сертификаты защищают доступ к компьютерам и приложениям.
Все это делается с помощью сертификатов, которые привязаны к корневому сертификату общедоступного ЦС и связаны между собой через «цепь доверия"
Почему так сложно быть публично доверенным центром сертификации?
Как указано выше, операционным системам и другому программному обеспечению доверяют ЦС для проверки подлинности веб-сайтов, компаний и отдельных лиц. После создания общедоступного ЦС и завоевания доверия поставщиков программного обеспечения и других игроков его цифровые сертификаты представляют собой мгновенный, безопасный и надежный способ убедиться, что информация не является мошеннической. Процесс создания самозаверяющего корневого ЦС относительно прост - их, честно говоря, может создать любой, имеющий широкодоступное, недорогое или бесплатное программное обеспечение. Однако на самом деле не так много публичных центров сертификации. На самом деле, в настоящее время есть только 52 члена ЦА CA / Browser Forum и подавляющее большинство SSL /TLS сертификаты поступают от меньшего числа, чем это. Так почему же не все их делают?
Причина, по которой публичные центры сертификации являются таким эксклюзивным клубом, заключается в том, что становление публичным центром сертификации, получение и поддержание универсального доверия для поддержания его работоспособности - это большая работа. Включение во все браузеры и операционные системы легко для пользователя, но для этого требуются годы работы за кулисами. Когда вы покупаете новый компьютер или устанавливаете программное обеспечение, такое как веб-браузер или почтовый клиент, список доверенных корневых сертификатов CA уже включен. Но добавление в этот список не то, что происходит просто за одну ночь, и оставаться там тоже непросто.
Чтобы продолжать продавать сертификаты, центр сертификации должен удовлетворять требованиям поставщиков программного обеспечения, которые все стараются обеспечить безопасность и надежность для своих пользователей. У каждого крупного поставщика браузеров и операционных систем есть свой набор критериев, которым центры сертификации должны соответствовать и идти в ногу с внесением изменений. Цена бездействия высока: если центр сертификации не включен ни в одну из корневых программ, будь то из-за нарушения доверия или из-за неспособности оставаться в курсе изменений политики, это будет означать катастрофу для весь бизнес. Ни одна компания не ищет SSL-сертификат для веб-сайта, который работает с Safari, но не с Chrome. Немногие производители программного обеспечения захотят получить сертификат подписи кода, которому Windows не доверяет.
В дополнение к поддержанию этого хрупкого баланса с браузерами, операционными системами и другими поставщиками программного обеспечения, центры сертификации подвергаются строгим внешним аудитам. Видите эти значки внизу этого самого сайта? Каждая из этих печатей представляет собой аудит, и каждый из этих аудитов проводится ежегодно. Если какой-либо ЦС не прошел аудит (или не соответствует требованиям корневой программы), сертификаты ЦС могут быть исключены из важнейших корневых хранилищ, что сделает их бесполезными.
Члены ЦА CA / Браузер Форум (консорциум центров сертификации и поставщиков PKI-поддерживаемого программного обеспечения, такого как браузеры и операционные системы) активно участвуют в разработке и обеспечении соблюдения десятков отраслевых стандартов и создании форума CA / B Базовые требования. Члены участвуют в образовательных и исследовательских организациях и сотрудничают с заинтересованными сторонами в целях укрепления интернет-безопасности, часто выступая инициатором предложения и принятия новых стандартов. Центры сертификации больше всего заинтересованы в том, чтобы SSL /TLS система работает и ее репутация безупречна, что обязательно означает, что они принимают упреждающие и агрессивные меры по обеспечению безопасности своих систем и систем, с которыми они работают.
Помимо соблюдения этих стандартов, центры сертификации должны поддерживать и предоставлять списки прозрачности сертификатов (публичные записи всех выданных сертификатов), а также списки отзыва сертификатов (CRL) и ответчики OCSP, которые отслеживают отозванные сертификаты. Крайне важно убедиться, что все сертификаты учтены и что доверие, лежащее в основе сертификатов, никогда не нарушается.
Как выбрать ЦС
Итак, зная всю работу, связанную с обслуживанием и управлением общедоступного центра сертификации, как определить, какой ЦС лучше всего соответствует их потребностям?
Хотя сейчас существуют недорогие (или даже бесплатные) варианты CA, важно знать, чем торгуют по этой сниженной цене. Как правило, бесплатные центры сертификации не предлагают таких же уровней проверки, как коммерческие центры сертификации, и не предлагают ничего, кроме SSL /TLS сертификаты. Например, они могут показать, что заявитель на веб-сайт SSL /TLS сертификат контролирует этот домен (проверка домена), но они не делают дополнительных шагов для подтверждения того, кто этот владелец. В зависимости от предполагаемого варианта использования DV может подойти (все коммерческие центры сертификации, включая SSL.com, тоже предлагают его), но если вам нужен сертификат подписи кода, цифровые подписи для Adobe PDF или подтвержденная информация о вашем бизнесе, включенная в ваш сертификат веб-сайта, вам необходимо перейти в коммерческий центр сертификации.
Для получения дополнительной информации о выборе надежного центра сертификации, пожалуйста, ознакомьтесь с нашими Руководство по передовому опыту.
