Vad är värdet av certifikatutfärdare?

Allt om vad offentligt betrodda certifikatmyndigheter (CA) gör och hur svårt det är att vara en.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Certifikatutfärdare (CA) har varit en grund för säkerhet online de senaste två decennierna, och digitala certifikat fortsätter att vara en pålitlig metod för att säkerställa att transaktioner och identiteter är säkra. På en grundläggande nivå är CA-signerade certifikat värdefulla verktyg som verifierar identiteter online; tillåta säker, krypterad kommunikation över annars osäkra nätverk; och bekräfta integriteten hos signerade dokument genom att verifiera att de inte har ändrats av tredje part.

Men CA: s värde sträcker sig förbi deras omedelbara praktiska användbarhet. Vad som är en mycket enkel verifieringsprocess för användaren grundas på ett gitterarbete och en förtroendekedja som går utöver en enkel faktakontroll.

Vad gör CA: s?

Leverantörer av webbläsare och operativsystem litar på offentliga CA: s (t.ex. SSL.com) för att verifiera

  • Kontroll av domännamn
  • Organisationernas och deras ombuds legitimitet
  • Kontaktinformation som e-postadresser

CA: s utfärdar många typer av certifikat, alla baserade på X.509 standard. CA-utfärdade certifikat säkerställer att webbplatstransaktioner är säkra, skyddar mot skadlig programvara och verifierar dokument och e-postutbyte. Att upprätta identiteter på internet görs genom en mängd olika processer, procedurer och protokoll, allt säkerställt av CA: er. Till exempel:

  • SSL /TLS tillhandahåller ett pålitligt och krypterat sätt för åtkomst till webben via webbläsare - som skyddar personlig information och transaktioner.
  • Digitala signaturer tillhandahålla autentiserade digitala dokument.
  • Kodsignering möjliggör säker distribution av programvara på Internet.
  • S/MIME möjliggör autentiserad och krypterad e-post.
  • Klientautentisering certifikat skyddar åtkomst till datorer och applikationer.

Allt detta görs genom certifikat som är förankrade i en offentlig CA: s rotcertifikat, och länkas samman via ett "förtroendekedja"

Förtroendekedja
Förtroendekedja för www.ssl.com, som visar slutintyg, mellanliggande och rotcertifikat.

Varför är det så svårt att vara en offentlig betrodd CA?

Som beskrivits ovan litar CA på operativsystem och annan mjukvara för att verifiera identiteten på webbplatser, företag och individer. När en offentlig CA har upprättats och tjänar mjukvaruleverantörernas och andra spelares förtroende är dess digitala certifikat ett omedelbart, säkert och pålitligt sätt att se till att information inte är bedräglig. Processen för att skapa en självsignerad root-CA är relativt enkel - de kan ärligt skapas av vem som helst med allmänt tillgängligt program till låg kostnad utan kostnad. Men det finns verkligen inte så många offentliga certifikatmyndigheter. Det finns faktiskt bara för närvarande 52 CA-medlemmar av CA / Browser Forum och den stora majoriteten av SSL /TLS certifikat kommer från ett mindre antal än så. Så varför gör inte alla dem?

Anledningen till att offentliga certifikatmyndigheter är en sådan exklusiv klubb är att det blir mycket arbete att bli en offentlig CA och tjäna och upprätthålla det universella förtroendet för att hålla det funktionellt. Inkludering i alla webbläsare och operativsystem är sömlöst i slutet av användaren, men det kräver många års arbete bakom kulisserna. När du köper en ny dator eller installerar programvara som en webbläsare eller e-postklient, finns en lista med pålitliga root-CA-certifikat redan med. Men att lägga till den listan inte något som bara händer över natten, och att bo där är också en utmaning.

För att stanna i företag som säljer certifikat måste en CA uppfylla kraven från mjukvaruleverantörer som alla försöker säkerställa en säker och pålitlig upplevelse för sina användare. Varje större webbläsare och operativsystemleverantör har sin egen uppsättning kriterier som CA måste uppfylla och hålla jämna steg med när ändringar görs. Kostnaden för att inte göra det är hög: om en CA inte ingår i något av rotprogrammen, vare sig det beror på ett brist på förtroende eller på grund av ett misslyckande med att hålla sig uppdaterad med policyändringar, skulle det stava katastrof för hela verksamheten. Inget företag letar efter ett SSL-certifikat som fungerar med Safari men inte Chrome. Få programvaruproducenter vill ha ett kodsigneringscertifikat som Windows inte litar på.

Förutom att upprätthålla denna känsliga balans med webbläsare, operativsystem och andra programvaruleverantörer är certifikatutfärdare föremål för noggranna externa revisioner. Ser du dessa märken längst ner på den här webbplatsen? Var och en av dessa förseglingar representerar en revision och var och en av dessa revisioner görs årligen. Om någon CA misslyckas med en granskning (eller inte uppfyller root-programmets krav) kan CA-certifikat uteslutas från viktiga root-butiker, vilket skulle göra dem värdelösa.

WebTrust-tätningar

CA-medlemmarna i CA / Browser Forum (ett konsortium av certifikatutfärdare och leverantörer av PKI-aktiverad programvara som webbläsare och operativsystem) är aktiva i att utveckla och tillämpa dussintals branschstandarder och ställa in CA / B-forumet Baslinjekrav. Medlemmar deltar i utbildnings- och forskningsorganisationer och samarbetar med intressenter för att stärka internetsäkerheten och tar ofta ledningen när det gäller att föreslå och anta nya standarder. CA har mest intresse av att se till att SSL /TLS systemet fungerar och dess rykte är sundt, vilket nödvändigtvis innebär att de tar ett proaktivt och aggressivt angrepp mot säkerheten i sina system och de system de arbetar med.

Förutom att följa dessa standarder, krävs certifikatmyndigheter att upprätthålla och göra tillgängliga listor över certifikatöppenhet (offentliga register över alla utfärdade certifikat), såväl som certifikatåterkallningslister (CRL) och OCSP-svarare, som håller reda på återkallade certifikat. Det är av största vikt att se till att alla certifikat redovisas och att förtroendet som ligger till grund för certifikat aldrig bryts.

Hur man väljer en CA

Så, med kunskap om allt arbete som går ut på att upprätthålla och driva en offentlig certifikatmyndighet, hur bestämmer man vilken CA som är bäst för deras behov?

Även om det nu finns billiga (eller till och med gratis) CA-alternativ är det viktigt att veta vad som handlas till den reducerade kostnaden. I allmänhet erbjuder gratis CA: er inte samma valideringsnivåer som kommersiella CA: er, och erbjuder inte något annat än webbplats SSL /TLS certifikat. De kan till exempel visa att en sökande till en webbplats SSL /TLS certifikatet kontrollerar den domänen (Domain Validation) men de tar inte det extra steget att bekräfta vem den ägaren är. Beroende på din avsedda användning kan DV vara bra (alla kommersiella certifikatutfärdare, inklusive SSL.com, erbjuder det också), men om du behöver ett kodsigneringscertifikat, digitala signaturer för Adobe PDF-filer eller validerad information om ditt företag som ingår i din webbplatscertifikat måste du gå till ett kommersiellt CA.

För mer information om att välja en pålitlig CA, se vår Guide för bästa metoder.

Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.