Wat is die SSL-sertifikaatketting?En hoe werk dit?

0 Kommentaar

Die SSL-sertifikaatketting bevat veelvuldige sertifikate, wat help om vertroue by blaaiers en kliënte te vestig.

Die volgende is kennis oor hierdie kettingsertifikate en hoe die "ketting van vertroue" werk.

As 'n webwerf-eienaar weet jy dat 'n SSL/TLS-sertifikaat 'n voorvereiste is vir suksesvolle aanlyn besigheid.Benewens die verhoging van vertroue en die beskerming van datasekuriteit, help dit ook om jou webwerf se posisie in die oë van Google te verbeter.Maar die SSL-sertifikaat sal nie borrelend loop nie;Dit is deel van die ketting wat SSL-sertifikate genoem word.Hierdie ketting is 'n onontbeerlike deel van 'n grootskaalse publieke sleutelinfrastruktuur, wat dit moontlik maak om veilige aanlyn kommunikasie deur die onveilige internet te voer.

Maar wat presies is 'n sertifikaatketting?Hoekom is die bou van vertroue so belangrik?Ons sal die verskillende komponente van die ketting afbreek, wat hul reëls is en hoe hulle saamwerk as deel van 'n groter publieke sleutelinfrastruktuur.

Wat is 'n SSL-sertifikaatketting?

So, wat is die sertifikaatketting van SSL en TLS?Die sertifikaatketting sluit die wortelsertifikaat, een of meer intermediêre sertifikate en die bediener (blaar) sertifikaat in.As jy nie weet wat sommige van hulle is nie, moenie bekommerd wees nie.Dit is ons doel hier - om te help om hierdie terme op 'n sinvolle manier af te breek. 

As jy hierheen kom, is jy dalk reeds vertroud met die bedienersertifikaat, want dit is die sertifikaat wat jy vir die webwerf gekoop het.Dit is om die hangslotikoon in die URL-balk voor jou domein te laat verskyn.Dit is ook die rede waarom "HTTPS" in jou URL vertoon word.

As jy op die hangslot van die veilige webwerf klik, sal jy die besonderhede van die SSL-sertifikaat sien.Die skermkiekie hieronder sal jou 'n idee gee van wat jy sien.Byvoorbeeld, op SectigoStore.com sal jy die naam sien van die organisasie wat die sertifikaat uitgereik het.In hierdie geval is dit Rapid Web Services LLC, [Verenigde State].

SSL-sertifikaatkettinggrafika: 'n skermkiekie van die webwerf-hangslot, wat die organisasie-inligting van die SSL/TLS-sertifikaat wys
In die skermkiekievoorbeeld hierbo sal jy 'n hangslot voor ons webwerfdomein sien.Hierdie hangslot dui aan dat die webwerf 'n veilige geënkripteerde verbinding gebruik.Dit dui aan dat die webwerf 'n SSL/TLS-sertifikaat gebruik.

Dit is wat ons gewoonlik sê as ons oor SSL/TLS-sertifikate praat.Die ander twee sertifikate in die ketting is nuttig om vertroue in daardie bedienersertifikate te vestig.

Die SSL-sertifikaat word uitgereik deur 'n betroubare en betroubare derde party, wat 'n sertifikaatowerheid, sertifikaatowerheid of CA (afkorting) genoem word.Die GR sal egter nie die sertifikaat direk aan die webwerf uitreik nie.Met 'n vertroue- of sertifikaatketting kan die proses vinniger en makliker gemaak word.

Die ketting van vertroue is soos 'n boom...

Diagram wat die boom van die vertrouesketting in SSL/TLS voorstel
'n Illustrasie van 'n sertifikaatketting is in die vorm van 'n boom.Die wortel van die boom verteenwoordig die wortelsertifikaat, die stam en takke verteenwoordig die intermediêre sertifikate, en die blare verteenwoordig die bedienersertifikate.

Stel jou 'n boom voor om te verstaan ​​hoe hierdie sertifikate saamwerk.'n Boom het wortels, stam en ooreenstemmende takke en blare.Die struktuur van die sertifikaatketting verskil nie van die boom nie.

Soos 'n boom, is die wortelsertifikaat die basis waarop alle ander sertifikate gebaseer is.Net soos 'n boom baie takke het, mag 'n GR meer as een tussentydse sertifikaat uit 'n wortelsertifikaat uitreik.Dieselfde analogie geld vir blare wat bedienersertifikate verteenwoordig.

As ons voortgaan om die SSL-sertifikaat van hierdie webwerf te verken, sal ons baie leer.Klik dus op "Sertifikaat"Opsie, jy sal 'n venster sien opspring, soos hieronder getoon:

Verwante vrae  HIPAA voldoeningsverklaring
SSL Trust Chain Graphic: Skermskoot van die webwerf se SSL/TLS-sertifikaatinligting
Om die SSL-sertifikaatketting te sien, moet jy eers die sertifikaatvenster oopmaak.konvensioneleJou etiket vertoon 'n paar basiese inligting oor die sertifikaat.Om meer spesifieke inligting te sien, moet jy op "besonderhede"Tab. 

Hierdie prent wys vir jou inligting oor die sertifikaat - soos die doel van die sertifikaat, die persoon wat die sertifikaat uitgereik het (sertifikaatowerheid), die webwerf wat die sertifikaat uitgereik het en die vervaldatum daarvan.

Verder sal jy na die gedetailleerde inligting van die sertifikaat geneem word, wat jou sal help om die protokol en algoritme wat deur die sertifikaat gebruik word, te verstaan.Dit wys die algoritme wat gebruik word om die publieke sleutel te enkripteer en verskaf ook die publieke sleutel van die webwerf.         

Nou gaan ons aan na die volgende deel, die sertifiseringspad.In die konteks van hierdie artikel is dit die belangrikste deel van die sertifikaatinligtingsartikel.Wanneer jy klik "Sertifisering pad", sal jy die wortelsertifikaat, intermediêre sertifikaat en bedienersertifikaat sien.

SSL-sertifikaatkettinggrafika: skermkiekie van die webwerftrustketting
Die prentjie hierbo wysSertifisering padSkermskoot van: Wortelsertifikaat, intermediêre sertifikaat en bedienersertifikaat.

In die prentjie hierbo kan ons sien:

  • Die wortelsertifikaat is " Sectigo (voorheen Comodo CA).“Hierdie is 'n selfondertekende sertifikaat wat die intermediêre CA-sertifikaat onderteken.
  • Die tussentydse sertifikaat is " COMODO RSA uitgebreide verifikasie sekuriteitsbediener CA"."Die sertifikaat dien as 'n tussenganger (dws middelman) tussen die wortelsertifikaat en die bedienersertifikaat.Daarom gebruik die intermediêre sertifikaat sy eie private sleutel om die bedienersertifikaat te onderteken om die private sleutel van die wortelsertifikaat te beskerm.
  • Die bedienersertifikaat is " www.sectigostore.com ".Dit is die tipe sertifikaat wat jy op die webbediener installeer, gewoonlik 'n SSL/TLS-sertifikaat genoem.
'n Grafiek van die vertrouesketting, wat aandui dat die wortelsertifikaat die intermediêre sertifikaat onderteken, en dan onderteken die intermediêre sertifikaat die bedienersertifikaat
Hierdie hiërargiese struktuurdiagram toon die vertrouesketting in die vorm van hoe een sertifikaat die volgende sertifikaat onderteken, wat vanaf die wortel begin en voortgaan tot by die finale SSL-sertifikaat.

Aangesien die blaarsertifikaat van die middelste tak kom, en die middelste tak van die wortel af, word aanvaar dat die boom wat jy vroeër beskryf het onderstebo is.In die skermkiekie hierbo, basies, is die wortel van die boom bo en die blare is aan die onderkant.

Verstaan ​​die verskillende dele van die SSL-sertifikaatketting

Die volgende figuur illustreer die SSL-sertifikaatketting en gedetailleerde inligting oor die ondertekeningsowerheid:

'n Hiërargiese diagram wat wys hoe die SSL-sertifikaatketting werk en 'n vorm vorm
Die vloeidiagram toon die drie tipes sertifikate en die verhouding tussen hulle.

In hierdie afdeling sal ons nie net ontbind nieWortelsertifikaat en intermediêre sertifikaatverskil tussen,En ookafbreekBedienersertifikaat.

Wortelsertifikaat

'n Basissertifikaat (ook 'n vertroude wortel genoem) is 'n sertifikaat wat direk deur 'n sertifiseringsowerheid uitgereik word.Anders as ander sertifikate, is die wortelsertifikaat selfonderteken deur die GR.Die private sleutel van die wortelsertifikaat is die sleutel wat gebruik word om ander sertifikate in die SSL-sertifikaathiërargie te onderteken.

Verwante vrae  Alles oor IP-spoofing - wat u moet weet

CA reik slegs 'n paar wortelsertifikate uit, en daarom word dit streng beskerm.Trouens, hierdie wortelsertifikate is gewoonlik vooraf geïnstalleer in die "trust store" van blaaiers en bedryfstelsels.Die wortelsertifikaat word as die belangrikste in die sertifikaatketting beskou omdat alle partye instem om die GR wat die wortelsertifikaat uitgereik het, te vertrou.As die CA wat die wortelsertifikaat uitgereik het, nie vertrou word of herroep word nie (dws dit word nie meer as betroubaar beskou nie), sal die hele ketting ineenstort.

Ten einde hierdie sertifikate te beskerm, veral wanneer dit kom bySertifikaat herroepSituasie, Die wortel-CA gebruik gewoonlik 'n intermediêre CA om 'n spasie tussen sy vertroude wortelsertifikaat en die finale bedienersertifikaat te plaas.Hulle reik nooit die blaar (bediener) sertifikaat van die webwerf direk vanaf hul wortelsertifikaat uit nie, want dit is te riskant om dit te doen.

Intermediêre Sertifikaat

Die intermediêre sertifikaat dien as 'n buffer tussen die wortelsertifikaat en die eindentiteit se bedienersertifikaat.Dit word onderteken deur die private sleutel van die wortelsertifikaat wat dit uitgereik het.Dit is hoe die vertroue van die intermediêre sertifikaat gevestig word.Intermediêre sertifikaatUitreikerIs die uitreiker wat die SSL/TLS (bediener) sertifikaat onderteken het, entemaIs die webwerf of organisasie wat sy identiteit bewys.

Daar kan meer as een intermediêre sertifikaat wees, maar jy kan nie 'n sertifikaatketting besit sonder ten minste een intermediêre sertifikaat nie.

Bedienersertifikaat

Die CA reik 'n bedienersertifikaat (ook 'n blaarsertifikaat genoem) uit aan die domein wat die gebruiker wil dek.Mense praat hieroor wanneer hulle praat oor SSL/TLS-sertifikate.Nadat die sertifikaat behoorlik op die bediener geïnstalleer is,URL beginSal wys"HTTPS" in plaas van "HTTP".HTTPS beteken dat jou werf 'n veilige enkripsieprotokol gebruik, nie 'n onveilige protokol nie.Daarbenewens sal 'n hangslot voor jou domeinnaam in die URL-balk verskyn.

Hoe werk die sertifikaatketting?

Die sertifikaatketting in SSL/TLS word ook die vertrouesketting genoem.Die rede hiervoor is dat wanneer enige blaaier jou webwerf se SSL-sertifikaat ontvang, dit die legitimiteit daarvan moet verifieer.

Om dit te doen, sal dit met die bedienersertifikaat begin en dit dan terugstuur na die wortelsertifikaat om vertroue te vestig.Dit gebruik die publieke sleutel van die sertifikaat om by die handtekening te pas, en kontroleer dan die publieke sleutel en handtekening van die intermediêre sertifikaat op dieselfde manier.Dit sal dit aanhou doen totdat dit uiteindelik die wortelsertifikaat bereik wat die blaaier in sy trustwinkel stoor.

As enige sertifikate in hierdie ketting nie geverifieer kan word nie, sal die ketting verbreek word en verifikasie sal misluk.Die blaaier sal die gebruiker waarsku oor die sertifikaat.Ken jy daardie lelike "onseker" en "jou verbinding is nie privaat nie" boodskappe?

Skermskote
'n Voorbeeld van 'n "onveilige" boodskap wat op 'n webwerf vertoon word wat nie 'n SSL/TLS-sertifikaat het nie.

Ja, so.Daarom, om die vertrouesketting te laat werk, moet verseker word dat geen skakels in die ketting onderbreek word nie.

Luister jy nog na my?Dan kan ek 'n stap verder gaan en vir jou verduidelik hoe die sertifikaatketting werk.Daarna kan ons die tegnologie en proses agter die skerms bespreek - Publieke Sleutel Infrastruktuur (of PKI).

Verwante vrae  RusVPN-oorsig

Hoe die ketting van vertroue verifikasie proses werk

As die konvensionele hiërargie gevolg word, sal die wortel-CA die intermediêre CA verifieer, wat op sy beurt die bedienersertifikaat sal onderteken.So, met dit in gedagte, hoe gebruik mense die vertrouesketting vir verifikasie?

Wanneer 'n gebruiker jou webwerf besoek, sal die bediener 'n sertifikaat daarvoor stuur.Dit sal verskeie inligting nagaan soos:

  • Die entiteit wat die sertifikaat en die voorwerp uitgereik het.
  • Wanneer die sertifikaat uitgereik is en hoe lank is die geldigheidstydperk daarvan.
  • As dit 'n geldige digitale handtekening het.
  • Of die sertifikaat teruggetrek is.

Om te verifieer dat die sertifikaat wettig is, moet dit die vertrouesketting verifieer.Hier sal die blaaier vanaf die bedienersertifikaat begin en alle sertifikate, insluitend die wortelsertifikaat, verifieer.Die mees algemene sertifikaatkettingverifikasieproses word omgekeer.Dit beteken dat die inligting van die bedienersertifikaat eers gekontroleer moet word teen die tussentydse sertifikaat van die uitreikingsertifikaat, en dan moet die tussentydse sertifikaat teen die wortelsertifikaat van die uitreikingsertifikaat gekontroleer word.

As alle sertifikate uitgeboek is en ander prosesse wat vir 'n veilige verbinding vereis word, voltooi is, sal die webwerf 'n hangslotsimbool of "HTTPS" in die URL-balk laai.Andersins sal 'n waarskuwing uitgereik word.

Wat is PKI?

Aangesien PKI so 'n komplekse en gedetailleerde onderwerp is, sal ons jou 'n vinnige oorsig hier gee.Publieke sleutelinfrastruktuur is 'n algemene term wat die raamwerk van prosesse, strategieë en tegnologieë beskryf wat veilige enkripsie in publieke kanale moontlik maak.Dit maak staat op publieke sleutel kriptografie, wat komplekse wiskundige algoritmes gebruik om die enkripsie en dekripsie van boodskappe op die internet te vergemaklik.

Hierdie algoritmes is deel van die PKI-raamwerk.Met die ontwikkeling van tegnologie word algoritmes mettertyd meer en meer kompleks.

PKI gebruik sleutelpare om data te enkripteer en te dekripteer.Die tipe sleutel wat betrokke is, hang af van die tipe enkripsie wat jy gebruik.Byvoorbeeld, simmetriese enkripsie gebruik 'n enkele sleutel om data te enkripteer en te dekripteer.(Dit vereis dat die sender en ontvanger dieselfde kopie van dieselfde sleutel moet hê.) Aan die ander kant, in asimmetriese enkripsie, is daar twee unieke (maar wiskundig verwante) sleutels: die publieke sleutel en die private sleutel .Enigeen kan 'n publieke sleutel gebruik om data te enkripteer.Aan die ander kant sal die private sleutel die data dekripteer, wat beskerm moet word om datalekkasie te voorkom.

Om twee unieke, maar wiskundig verwante sleutels te hê, help werfbesoekers se kliënte om veilige boodskappe te lewer sonder om bekommerd te wees oor ongemagtigde toegang of datamanipulasie.(Dikwels genoem 'n man-in-die-middel-aanval of MitM.)

gevolgtrekking

Die SSL/TLS-sertifikaat verseker die sekuriteit van die webwerf deur die veilige HTTPS-protokol te gebruik.Die vertrouesketting is noodsaaklik vir die verwesenliking van hierdie sekuriteitsprotokol.As gevolg van die boomstruktuur van die sertifikaatketting, kan u vinnig en veilig kontak met die bediener bewerkstellig.Boonop kan dit die sertifikaat maklik terugspoor na die oorspronklike wortelgids om uit te vind of dit wettig is.Dit is 'n wen-wen situasie vir almal.  

Deel hierdie boodskap

Jy kan ook graag:

Post Kommentaar