Ланцужок сертыфікатаў SSL змяшчае некалькі сертыфікатаў, якія дапамагаюць умацаваць давер з браўзерамі і кліентамі.
Вось што трэба ведаць пра гэтыя сертыфікаты ланцужкоў і пра тое, як працуюць «ланцужкі даверу».
Як уладальнік вэб-сайта, вы ведаеце, што сертыфікат SSL/TLS з'яўляецца абавязковым для паспяховага бізнесу ў Інтэрнэце.Акрамя павышэння даверу і захавання бяспекі дадзеных, гэта таксама дапамагае палепшыць рэйтынг вашага сайта ў вачах Google.Але сертыфікат SSL не будзе працаваць у бурбалцы;Ён з'яўляецца часткай ланцужка пад назвай SSL-сертыфікат.Ланцужок з'яўляецца неад'емнай часткай вялікай інфраструктуры адкрытых ключоў, якая забяспечвае бяспечную сувязь у Інтэрнэце праз небяспечны Інтэрнэт.
Але што ж такое ланцужок сертыфікатаў?Чаму стварэнне даверу так важна?Мы разбяром розныя кампаненты ланцуга, якія іх правілы і як яны працуюць разам у рамках больш шырокай інфраструктуры адкрытых ключоў.
Што такое ланцужок сертыфікатаў SSL?
Такім чынам, якія ланцужкі сертыфікатаў для SSL і TLS?Ланцужок сертыфікатаў уключае каранёвы сертыфікат, адзін або некалькі прамежкавых сертыфікатаў і сертыфікат сервера (ліставы).Калі вы не ведаеце, што такое некаторыя з іх, не хвалюйцеся.Вось для чаго мы тут - каб дапамагчы разбіваць гэтыя тэрміны значным чынам.
Калі вы прыйшлі сюды, вы, напэўна, ужо знаёмыя з сертыфікатамі сервера, бо менавіта гэты вы купілі для свайго сайта.Гэта трэба для таго, каб значок замка з'явіўся ў радку URL перад вашым даменам,Таксама тое, што прымушае "HTTPS" з'яўляцца ў вашым URL.
Калі вы націснеце на замок бяспечнага сайта, вы ўбачыце дэталі сертыфіката SSL.Скрыншоты ніжэй дадуць вам уяўленне аб тым, што вы бачыце.Напрыклад, на SectigoStore.com вы ўбачыце назву арганізацыі, якая выдала сертыфікат.У дадзеным выпадку гэта Rapid Web Services LLC, [ЗША].
Гэта тое, што мы звычайна кажам, калі гаворым пра сертыфікаты SSL/TLS.Два іншых сертыфіката ў ланцужку дапамагаюць усталяваць давер да гэтых сертыфікатаў сервера.
Сертыфікаты SSL выдаюцца аўтарытэтнымі і надзейнымі трэцімі асобамі, якія называюцца цэнтрамі сертыфікацыі, цэнтрамі сертыфікацыі або ЦС (скарочана).Аднак ЦС не выдаюць сертыфікаты вэб-сайтам наўпрост.Наяўнасць ланцужка даверу або сертыфіката робіць працэс хутчэй і прасцей.
Ланцуг даверу як дрэва...
Каб зразумець, як гэтыя сертыфікаты працуюць разам, уявіце сабе дрэва.У дрэва ёсць карані, ствол і адпаведныя яму галіны і лісце.Ланцужок сертыфікатаў нічым не адрозніваецца па структуры ад дрэва.
Як і дрэва, каранёвы сертыфікат з'яўляецца асновай, на якой грунтуюцца ўсе астатнія сертыфікаты.Падобна таму, як дрэва мае шмат галін, ЦС можа выдаць больш чым адзін прамежкавы сертыфікат з каранёвага сертыфіката.Тая ж аналогія прымяняецца да лісткоў, якія прадстаўляюць сертыфікаты сервера.
Мы даведаемся шмат новага, калі працягнем вывучаць SSL-сертыфікаты для гэтага сайта.Такім чынам, націсніце "Сертыфікат"варыянт, вы ўбачыце ўсплывальнае акно, як паказана ніжэй:
Гэта выява паказвае вам інфармацыю пра сертыфікат - напрыклад, прызначэнне сертыфіката, хто выдаў сертыфікат (Certificate Authority), сайт, які выдаў сертыфікат, і дату яго дзеяння.
Далей вы знойдзеце дэталі сертыфіката, якія дапамогуць вам зразумець пратакол і алгарытм, якія выкарыстоўваюцца ў гэтым сертыфікаце.Ён паказвае алгарытм, які выкарыстоўваецца для шыфравання адкрытага ключа, а таксама дае адкрыты ключ сайта.
Цяпер мы пераходзім да наступнай часткі, шляху сертыфікацыі.У кантэксце гэтага артыкула гэта найбольш важная частка артыкула з інфармацыяй аб сертыфікатах.Пры націску "шлях да сертыфіката", вы ўбачыце каранёвы сертыфікат, прамежкавы сертыфікат і сертыфікат сервера.
На малюнку вышэй мы бачым:
- Каранёвы сертыфікат " Sectigo (раней Comodo CA).«Гэта самападпісаны сертыфікат, які падпісвае прамежкавы сертыфікат ЦС.
- Прамежкавы сертыфікат " COMODO RSA Extended Validation Security Server CA".«Гэты сертыфікат дзейнічае як пасярэднік (гэта значыць чалавек пасярэдзіне) паміж каранёвым сертыфікатам і сертыфікатам сервера.Такім чынам, прамежкавы сертыфікат падпісвае сертыфікат сервера ўласным закрытым ключом, каб абараніць закрыты ключ каранёвага сертыфіката.
- Сертыфікат сервера " www.sectigostore.com ".Гэта тып сертыфіката, які вы ўсталёўваеце на сервер свайго вэб-сайта, які часта называюць сертыфікатам SSL/TLS.
Паколькі ліставыя сертыфікаты разгаліноўваюцца ад сярэдняй галіны, а сярэдняя галіна - ад кораня, мяркуецца, што дрэва, якое вы намалявалі раней, перавернута.На скрыншоце вышэй, у асноўным, корань дрэва знаходзіцца ўверсе, а лісце - унізе.
Зразумейце розныя часткі ланцужка сертыфікатаў SSL
Наступная схема ілюструе ланцужок сертыфікатаў SSL і падрабязную інфармацыю аб аўтарытэце падпісання:
У гэтым раздзеле мы будзем не толькі раскладвацькаранёвыя і прамежкавыя сертыфікатырозніца паміж,і будзе таксамаламаццаСертыфікат сервера.
каранёвай сертыфікат
Каранёвы сертыфікат (таксама званы давераным каранёвым) - гэта сертыфікат, выдадзены непасрэдна цэнтрам сертыфікацыі.У адрозненне ад іншых сертыфікатаў, каранёвыя сертыфікаты самастойна падпісваюцца ЦС.Закрыты ключ каранёвага сертыфіката - гэта ключ, які выкарыстоўваецца для падпісання іншых сертыфікатаў у іерархіі сертыфікатаў SSL.
ЦС выдае толькі некалькі каранёвых сертыфікатаў, таму яны строга абаронены.На практыцы гэтыя каранёвыя сертыфікаты звычайна папярэдне ўсталёўваюцца ў «сховішча даверу» браўзера і аперацыйнай сістэмы.Каранёвы сертыфікат лічыцца найбольш важным у ланцужку сертыфікатаў, таму што ўсе бакі згаджаюцца давяраць ЦС, які выдаў каранёвы сертыфікат.Калі ЦС, які выдаў каранёвы сертыфікат, з'яўляецца недавераным або адкліканым (г.зн. больш не лічыцца давераным), увесь ланцужок прывядзе да збою.
Каб абараніць гэтыя сертыфікаты, асабліва калі гаворка ідзе прасертыфікат ануляванысправа, каранёвы ЦС звычайна выкарыстоўвае прамежкавы ЦС, каб паставіць некаторы прастор паміж яго давераным каранёвым сертыфікатам і канчатковым сертыфікатам сервера.Яны ніколі не выдаюць лісток (сервер) вэб-сайта непасрэдна са свайго каранёвага сертыфіката, таму што гэта занадта рызыкоўна.
Прамежкавы сертыфікат
Прамежкавы сертыфікат дзейнічае як буфер паміж каранёвым сертыфікатам і сертыфікатам сервера канчатковага аб'екта.Ён падпісаны прыватным ключом каранёвага сертыфіката, які яго выдаў.Так усталёўваецца давер да прамежкавых сертыфікатаў.Прамежкавы сертыфікатЭмітэнтз'яўляецца эмітэнтам, які падпісаў сертыфікат SSL/TLS (сервер), у той час яктэмагэта сайт або арганізацыя, якая пацвярджае сваю ідэнтычнасць.
Можа быць больш чым адзін прамежкавы сертыфікат, але вы не можаце мець ланцужок сертыфікатаў без хаця б аднаго прамежкавага сертыфіката.
сертыфікат сервера
ЦС выдае сертыфікаты сервера (таксама вядомыя як ліставыя сертыфікаты) даменам, якія карыстальнікі жадаюць ахапіць.Гэта тое, пра што кажуць людзі, калі кажуць пра сертыфікаты SSL/TLS.Пасля таго, як гэты сертыфікат будзе належным чынам усталяваны на серверы,URL пачынаецца зпакажа"HTTPS" замест "HTTP".HTTPS азначае, што ваш сайт выкарыстоўвае бяспечны пратакол шыфравання, а не небяспечны.Акрамя таго, насупраць вашага даменнага імя ў радку URL з'явіцца замок.
Як працуе ланцужок сертыфікатаў?
Ланцуг сертыфікатаў у SSL/TLS таксама вядомы як ланцужок даверу.Прычына гэтага заключаецца ў тым, што, калі любы браўзер атрымлівае SSL-сертыфікат вашага сайта, ён павінен праверыць яго легітымнасць.
Для гэтага ён пачнецца з сертыфіката сервера, а затым верне яго ў каранёвы сертыфікат, каб усталяваць давер.Ён выкарыстоўвае адкрыты ключ сертыфіката для супастаўлення з подпісам, а затым такім жа чынам правярае адкрыты ключ і подпіс прамежкавага сертыфіката.Ён будзе працягваць гэта рабіць, пакуль нарэшце не дасягне каранёвага сертыфіката, які браўзер захоўвае ў сваім даверным сховішчы.
Калі які-небудзь сертыфікат у гэтай ланцужку не можа быць правераны, ланцужок будзе разарваны, і праверка не атрымаецца.Браўзэр папярэдзіць карыстальніка пра сертыфікат.Вы ведаеце гэтыя выродлівыя паведамленні "неабаронена" і "ваша злучэнне не прыватнае"?
Так, гэта значыць.Такім чынам, каб ланцуг даверу працаваў, неабходна пераканацца, што ніводнае звяно ў гэтым ланцужку не разарвалася.
Ты ўсё яшчэ слухаеш мяне?Тады я магу пайсці яшчэ далей і растлумачыць вам, як працуе ланцужок сертыфікатаў.Пасля гэтага мы можам абмеркаваць тэхналогіі і працэсы, якія працуюць за кулісамі - інфраструктуру адкрытых ключоў (або таксама вядомую як PKI).
Як працуе працэс праверкі даверу
Калі вы будзеце прытрымлівацца звычайнай іерархіі, каранёвы ЦС будзе аўтэнтыфікаваць прамежкавы ЦС, які, у сваю чаргу, падпіша сертыфікат сервера.Такім чынам, маючы гэта на ўвазе, як людзі выкарыстоўваюць ланцужок даверу для праверкі?
Калі карыстальнікі наведваюць ваш вэб-сайт, сервер адпраўляе ім сертыфікат.Ён будзе правяраць розную інфармацыю, такую як:
- Суб'ект, які выдаў сертыфікат і якому ён быў выдадзены.
- Калі быў выдадзены пасведчанне і колькі яно дзейнічае.
- Калі ён мае сапраўдны лічбавы подпіс.
- Ці быў ануляваны сертыфікат.
Каб пераканацца, што сертыфікат легітымны, ён павінен праверыць ланцужок даверу.Тут браўзер пачне з сертыфіката сервера і праверыць усе сертыфікаты, у тым ліку каранёвы сертыфікат.Найбольш распаўсюджаны працэс праверкі ланцужка сертыфікатаў адваротны.Гэта азначае, што інфармацыя сертыфіката сервера спачатку правяраецца з прамежкавым сертыфікатам, які выдаў, а затым прамежкавы сертыфікат правяраецца з каранёвым сертыфікатам, які выдаў.
Калі ўсе сертыфікаты правераныя і іншыя працэсы, неабходныя для бяспечнага злучэння, завершаны, вэб-сайт загружаецца з сімвалам замка або «HTTPS» у радку URL.У адваротным выпадку будзе вынесена папярэджанне.
Што такое PKI?
Паколькі PKI - гэта такая складаная і падрабязная тэма, мы дамо вам кароткі агляд тут.Інфраструктура адкрытых ключоў - гэта агульны тэрмін, які апісвае рамкі працэсаў, палітыкаў і тэхналогій, якія дазваляюць бяспечна шыфраваць у публічных каналах.Ён абапіраецца на крыптаграфію з адкрытым ключом, якая выкарыстоўвае складаныя матэматычныя алгарытмы для палягчэння шыфравання і дэшыфравання паведамленняў у Інтэрнэце.
Гэтыя алгарытмы з'яўляюцца часткай платформы PKI.Алгарытмы з часам станавіліся ўсё больш складанымі па меры развіцця тэхналогій.
PKI выкарыстоўвае пары ключоў для шыфравання і дэшыфравання даных.Тып ключа залежыць ад тыпу шыфравання, якое вы выкарыстоўваеце.Напрыклад, сіметрычнае шыфраванне выкарыстоўвае адзін ключ для шыфравання і дэшыфравання дадзеных.(Для гэтага і адпраўшчык, і атрымальнік павінны мець адну і тую ж копію аднаго ключа.) З іншага боку, у асіметрычным шыфраванні ёсць два унікальных (але матэматычна звязаных) ключа: адкрыты ключ і закрыты ключ.Дадзеныя шыфруюцца адкрытым ключом, які можа выкарыстоўваць кожны.З іншага боку, прыватны ключ расшыфроўвае дадзеныя і павінен быць абаронены ад уцечкі дадзеных.
Наяўнасць двух унікальных, але матэматычна звязаных ключоў дапамагае кліентам наведвальнікаў сайта дастаўляць бяспечныя паведамленні, не баючыся несанкцыянаванага доступу або маніпулявання данымі.(Шырока вядомы як атака чалавека пасярэдзіне або MitM.)
выснову
Сертыфікаты SSL/TLS забяспечваюць бяспеку вэб-сайта з дапамогай бяспечнага пратаколу HTTPS.Ланцуг даверу мае вырашальнае значэнне для рэалізацыі гэтага пратаколу бяспекі.Дзякуючы дрэвападобнай структуры ланцужка сертыфікатаў злучэнне з серверам можна ўсталяваць хутка і бяспечна.Акрамя таго, ён можа лёгка прасачыць сертыфікат да яго першапачатковага кораня, каб убачыць, ці з'яўляецца ён законным.Гэта бяспройгрышны варыянт для ўсіх.
