Какво представлява веригата на SSL сертификати?И как работи?

Как 0

Веригата на SSL сертификати съдържа множество сертификати, които помагат за установяване на доверие с браузърите и клиентите.

Следват знания за тези верижни сертификати и как работи "веригата на доверие".

Като собственик на уебсайт, вие знаете, че SSL/TLS сертификат е предпоставка за успешен онлайн бизнес.Освен че повишава доверието и защитава сигурността на данните, той също така помага за подобряване на класирането на уебсайта ви в очите на Google.Но SSL сертификатът няма да работи в бълбукане;Той е част от веригата, наречена SSL сертификати.Тази верига е незаменима част от мащабна инфраструктура с публичен ключ, която прави възможно провеждането на сигурна онлайн комуникация чрез несигурния интернет.

Но какво точно представлява веригата от сертификати?Защо изграждането на доверие е толкова важно?Ще разбием различните компоненти на веригата, какви са техните правила и как работят заедно като част от по-голяма инфраструктура с публичен ключ.

Какво е верига от SSL сертификати?

И така, каква е веригата от сертификати на SSL и TLS?Веригата на сертификати включва основния сертификат, един или повече междинни сертификати и сертификата на сървъра (лист).Ако не знаете кои са някои от тях, не се притеснявайте.Това е нашата цел тук - да помогнем да разбием тези термини по смислен начин. 

Ако дойдете тук, може би вече сте запознати със сървърния сертификат, защото това е сертификатът, който сте закупили за уебсайта.Това е, за да накарате иконата на катинар да се появи в URL лентата преди вашия домейн.Това е и причината "HTTPS" да се показва във вашия URL.

Ако щракнете върху катинарчето на защитения сайт, ще видите подробностите за SSL сертификата.Екранната снимка по-долу ще ви даде представа за това, което виждате.Например в SectigoStore.com ще видите името на организацията, която е издала сертификата.В този случай това е Rapid Web Services LLC, [САЩ].

Графика на веригата на SSL сертификат: екранна снимка на катинар на уебсайта, показваща информацията за организацията на SSL/TLS сертификата
В примера за екранна снимка по-горе ще забележите катинар пред домейна на нашия уебсайт.Този катинар показва, че уебсайтът използва защитена криптирана връзка.Това показва, че сайтът използва SSL/TLS сертификат.

Това обикновено казваме, когато говорим за SSL/TLS сертификати.Другите два сертификата във веригата са полезни за установяване на доверие в тези сървърни сертификати.

SSL сертификатите се издават от реномирана и доверена трета страна, наречена сертифициращ орган, сертифициращ орган или CA (съкратено).Въпреки това CA няма да издаде директно сертификата на уебсайта.С верига от доверие или верига от сертификати процесът може да бъде по-бърз и по-лесен.

Веригата на доверие е като дърво...

Диаграма, представяща дървото на веригата на доверие в SSL/TLS
Илюстрацията на верига от сертификати е под формата на дърво.Коренът на дървото представлява коренния сертификат, стволът и клоновете представляват междинните сертификати, а листата представляват сертификатите на сървъра.

За да разберете как тези сертификати работят заедно, представете си дърво.Едно дърво има корени, ствол и съответни клони и листа.Структурата на веригата от сертификати не се различава от дървото.

Подобно на дървото, коренният сертификат е основата, на която се основават всички други сертификати.Точно както дървото има много клонове, CA може да издаде повече от един междинен сертификат от основен сертификат.Същата аналогия важи и за листата, представляващи сървърни сертификати.

Ако продължим да изследваме SSL сертификата на този сайт, ще научим много.Затова щракнете върху "сертификат"Опция, ще видите изскачащ прозорец, както е показано по-долу:

Свързани въпроси  Декларация за съответствие с HIPAA
SSL Trust Chain Graphic: Екранна снимка на информацията за SSL/TLS сертификата на уебсайта
За да видите веригата от SSL сертификати, първо трябва да отворите прозореца на сертификата.конвенционаленВашият етикет показва основна информация за сертификата.За да видите по-конкретна информация, трябва да щракнете върху "подробности"Раздел. 

Това изображение ви показва информация за сертификата - като целта на сертификата, лицето, което е издало сертификата (сертифициращ орган), сайта, който е издал сертификата, и датата му на изтичане.

Освен това ще бъдете отведени до подробната информация за сертификата, която ще ви помогне да разберете протокола и алгоритъма, използвани от сертификата.Той показва алгоритъма, използван за криптиране на публичния ключ, а също така предоставя публичния ключ на сайта.         

Сега преминаваме към следващата част, пътя на сертифициране.В контекста на тази статия това е най-важната част от статията с информация за сертификата.Когато щракнете върху "Път на сертифициране", ще видите основния сертификат, междинния сертификат и сертификата на сървъра.

Графика на веригата на SSL сертификат: екранна снимка на веригата за доверие на уебсайта
Снимката по-горе показваПът на сертифициранеЕкранна снимка на: Основен сертификат, междинен сертификат и сървърен сертификат.

На снимката по-горе можем да видим:

  • Основният сертификат е " Сектиго (бивш Comodo CA).„Това е самоподписан сертификат, който подписва междинния CA сертификат.
  • Междинният сертификат е " COMODO RSA сървър за защита на разширено удостоверяване CA".„Сертификатът действа като посредник (т.е. посредник) между основния сертификат и сертификата на сървъра.Следователно междинният сертификат използва собствен частен ключ за подписване на сертификата на сървъра, за да защити частния ключ на основния сертификат.
  • Сертификатът на сървъра е " www.sectigostore.com ".Това е типът сертификат, който инсталирате на уеб сървъра, обикновено наричан SSL/TLS сертификат.
Графика на веригата на доверие, показваща, че основният сертификат подписва междинния сертификат, а след това междинният сертификат подписва сертификата на сървъра
Тази йерархична структурна диаграма показва веригата на доверие под формата на това как един сертификат подписва следващия сертификат, който започва от основния и продължава до окончателния SSL сертификат.

Тъй като сертификатът за листа идва от средния клон, а средният клон се разклонява от корена, се предполага, че дървото, което описахте по-рано, е обърнато с главата надолу.На екранната снимка по-горе, основно коренът на дървото е отгоре, а листата са отдолу.

Разберете различните части от веригата на SSL сертификати

Следната фигура илюстрира веригата на SSL сертификати и подробна информация за подписващия орган:

Йерархична диаграма, показваща как работи и образува веригата на SSL сертификати a
Блок-схемата показва трите типа сертификати и връзката между тях.

В този раздел не само ще разлагамеОсновен сертификат и междинен сертификатразлика между,И същосъборятСертификат на сървъра.

Корен сертификат

Основният сертификат (наричан още доверен корен) е сертификат, издаден директно от сертифициращ орган.За разлика от други сертификати, основният сертификат е самоподписан от CA.Частният ключ на основния сертификат е ключът, използван за подписване на други сертификати в йерархията на SSL сертификатите.

Свързани въпроси  Всичко за IP спуфинг - трябва да знаете

CA издава само няколко основни сертификата, поради което те са строго защитени.Всъщност тези основни сертификати обикновено са предварително инсталирани в „тръстовото хранилище“ на браузърите и операционните системи.Основният сертификат се счита за най-важен във веригата от сертификати, тъй като всички страни се съгласяват да се доверят на CA, който е издал основния сертификат.Ако CA, който е издал основния сертификат, не е доверен или е отменен (т.е. вече не се счита за надежден), цялата верига ще се срине.

С цел защита на тези сертификати, особено когато става въпрос заСертификатът е отмененСитуация, Основният CA обикновено използва междинен CA, за да постави малко пространство между своя доверен основен сертификат и окончателния сертификат на сървъра.Те никога не издават листовия (сървър) сертификат на уебсайта директно от своя основен сертификат, защото това е твърде рисковано.

Междинен сертификат

Междинният сертификат действа като буфер между основния сертификат и сървърния сертификат на крайния обект.Той е подписан от частния ключ на основния сертификат, който го е издал.Така се установява доверието на междинния сертификат.Междинен сертификатИздателИздателят е подписал SSL/TLS (сървър) сертификат итемаДали сайтът или организацията доказва своята идентичност.

Може да има повече от един междинен сертификат, но не можете да притежавате верига от сертификати без поне един междинен сертификат.

Сертификат на сървъра

CA издава сървърен сертификат (наричан още лист сертификат) на домейна, който потребителят иска да покрие.Хората говорят за тях, когато говорят за SSL/TLS сертификати.След като сертификатът е правилно инсталиран на сървъра,URL началоЩе покаже"HTTPS" вместо "HTTP".HTTPS означава, че вашият сайт използва защитен протокол за криптиране, а не несигурен протокол.Освен това пред името на вашия домейн в URL лентата ще се появи катинар.

Как работи веригата от сертификати?

Веригата на сертификати в SSL/TLS се нарича още верига на доверие.Причината за това е, че когато всеки браузър получи SSL сертификат на вашия уебсайт, той трябва да провери неговата легитимност.

За да направите това, той ще започне със сертификата на сървъра и след това ще го върне към основния сертификат, за да установи доверие.Той използва публичния ключ на сертификата, за да съответства на подписа, и след това проверява публичния ключ и подписа на междинния сертификат по същия начин.Той ще продължи да прави това, докато накрая не достигне основния сертификат, който браузърът запазва в своя хранилище за доверие.

Ако някои сертификати в тази верига не могат да бъдат проверени, веригата ще бъде счупена и проверката ще бъде неуспешна.Браузърът ще предупреди потребителя за сертификата.Знаете ли тези грозни съобщения за „несигурност“ и „връзката ви не е частна“?

Екранни снимки
Пример за „несигурно“ съобщение, показано на уебсайт, на който липсва SSL/TLS сертификат.

Да, по този начин.Следователно, за да работи веригата на доверие, трябва да се гарантира, че нито едно звено във веригата не се прекъсва.

още ли ме слушаш?Тогава мога да отида още по-далеч и да ви обясня как работи веригата от сертификати.След това можем да обсъдим технологията и процеса зад кулисите - Инфраструктура на публичен ключ (или PKI).

Свързани въпроси  Преглед на RusVPN

Как работи процеса на проверка на веригата на доверие

Ако се спазва конвенционалната йерархия, основният CA ще удостовери междинния CA, който от своя страна ще подпише сертификата на сървъра.И така, като се има предвид това, как хората използват веригата на доверие за проверка?

Когато потребител посети вашия уебсайт, сървърът ще му изпрати сертификат.Той ще проверява различна информация като:

  • Субектът, който е издал сертификата, и обектът.
  • Кога е издадено удостоверението и колко време е валидно.
  • Ако има валиден цифров подпис.
  • Дали сертификатът е отнет.

За да провери дали сертификатът е легитимен, той трябва да провери веригата на доверие.Тук браузърът ще стартира от сертификата на сървъра и ще провери всички сертификати, включително основния сертификат.Най-често срещаният процес на проверка на веригата на сертификати е обърнат.Това означава, че информацията на сертификата на сървъра трябва първо да бъде проверена спрямо междинния сертификат на издаващия сертификат, а след това междинният сертификат трябва да бъде проверен спрямо основния сертификат на издаващия сертификат.

Ако всички сертификати са проверени и други процеси, необходими за сигурна връзка, са завършени, уебсайтът ще зареди символ за катинар или „HTTPS“ в URL лентата.В противен случай ще бъде издадено предупреждение.

Какво е PKI?

Тъй като PKI е толкова сложна и подробна тема, ние ще ви предоставим бърз преглед тук.Инфраструктурата с публичен ключ е общ термин, който описва рамката от процеси, стратегии и технологии, които правят възможно сигурното криптиране в публични канали.Той разчита на криптография с публичен ключ, която използва сложни математически алгоритми за улесняване на криптирането и декриптирането на съобщения в Интернет.

Тези алгоритми са част от рамката на PKI.С развитието на технологиите алгоритмите стават все по-сложни с течение на времето.

PKI използва двойки ключове за криптиране и декриптиране на данни.Типът на използвания ключ зависи от типа криптиране, което използвате.Например, симетричното криптиране използва един ключ за криптиране и декриптиране на данни.(Това изисква подателят и получателят да имат едно и също копие на един и същ ключ.) От друга страна, при асиметричното криптиране има два уникални (но математически свързани) ключа: публичния ключ и частния ключ.Всеки може да използва публичен ключ за криптиране на данни.От друга страна, частният ключ ще декриптира данните, които трябва да бъдат защитени, за да се предотврати изтичане на данни.

Наличието на два уникални, но математически свързани ключа помага на клиентите на посетителите на сайта да доставят сигурни съобщения, без да се притесняват за неоторизиран достъп или манипулиране на данни.(Често наричана атака на човек в средата или MitM.)

заключение

SSL/TLS сертификатът гарантира сигурността на уебсайта чрез използване на защитения HTTPS протокол.Веригата на доверие е от съществено значение за реализирането на този протокол за сигурност.Поради дървовидната структура на веригата от сертификати, можете бързо и безопасно да установите контакт със сървъра.Освен това, той може лесно да проследи сертификата обратно до оригиналната му основна директория, за да разбере дали е законен.Това е печеливша ситуация за всички.  

Сподели тази публикация

Може също така:

Публикувай коментар