Mi az SSL tanúsítványlánc?És hogyan működik?

0 Comment

Az SSL-tanúsítványlánc több tanúsítványt tartalmaz, amelyek elősegítik a bizalom kialakítását a böngészővel és az ügyféllel.

Az alábbiakban ezekről a lánctanúsítványokról és a "bizalmi lánc" működéséről olvashat.

Webhelytulajdonosként tudja, hogy az SSL/TLS-tanúsítvány a sikeres online üzlet előfeltétele.A bizalom növelése és az adatbiztonság védelme mellett hozzájárul a webhely rangsorolásának javításához a Google szemében.De az SSL-tanúsítvány nem fog bugyborékolva futni;Az SSL-tanúsítványoknak nevezett lánc része.A lánc egy nagyszabású nyilvános kulcsú infrastruktúra nélkülözhetetlen része, amely lehetővé teszi a biztonságos online kommunikációt a nem biztonságos Interneten keresztül.

De mi is az a tanúsítványlánc?Miért olyan fontos a bizalomépítés?Lebontjuk a lánc különböző összetevőit, mik a szabályai, és hogyan működnek együtt egy nagyobb nyilvános kulcsú infrastruktúra részeként.

Mi az SSL tanúsítványlánc?

Tehát mi az SSL és TLS tanúsítványlánca?A tanúsítványlánc tartalmazza a gyökértanúsítványt, egy vagy több köztes tanúsítványt és a szerver (levél) tanúsítványt.Ha nem tudja, mik ezek közül néhány, ne aggódjon.Ez a célunk, hogy segítsük ezeket a kifejezéseket értelmes módon lebontani. 

Ha ide jársz, már ismerheted a szervertanúsítványt, mert ezt a tanúsítványt vásároltad a weboldalhoz.Ennek célja, hogy a lakat ikon megjelenjen az URL-sávban a domain előtt.Ez az oka annak is, hogy a "HTTPS" megjelenik az URL-ben.

Ha rákattint a biztonságos webhely lakatára, látni fogja az SSL-tanúsítvány részleteit.Az alábbi képernyőkép képet ad arról, hogy mit lát.Például a SectigoStore.com oldalon látni fogja a tanúsítványt kiállító szervezet nevét.Ebben az esetben a Rapid Web Services LLC, [Egyesült Államok].

SSL tanúsítvány láncgrafika: képernyőkép a webhely lakatáról, amely az SSL/TLS tanúsítvány szervezeti adatait mutatja
A fenti képernyőképen látható egy lakat a webhelyünk domainje előtt.Ez a lakat azt jelzi, hogy a webhely biztonságos titkosított kapcsolatot használ.Ez azt jelzi, hogy a webhely SSL/TLS-tanúsítványt használ.

Általában ezt mondjuk, amikor SSL/TLS tanúsítványokról beszélünk.A lánc másik két tanúsítványa segít a kiszolgálótanúsítványokba vetett bizalom megteremtésében.

Az SSL-tanúsítványt egy jó hírű és megbízható harmadik fél bocsátja ki, amelyet hitelesítésszolgáltatónak, tanúsító hatóságnak vagy CA-nak (rövidítés) neveznek.A hitelesítésszolgáltató azonban nem adja ki közvetlenül a tanúsítványt a webhelynek.A bizalmi vagy tanúsítványlánc segítségével a folyamat gyorsabbá és egyszerűbbé tehető.

A bizalom lánca olyan, mint a fa...

Az SSL/TLS bizalmi láncának fáját ábrázoló diagram
A tanúsítványlánc illusztrációja fa alakú.A fa gyökere a gyökértanúsítványt, a törzs és az ágak a köztes tanúsítványokat, a levelek pedig a szervertanúsítványokat jelentik.

Ahhoz, hogy megértse, hogyan működnek együtt ezek a tanúsítványok, képzeljen el egy fát.A fának vannak gyökerei, törzse és a hozzá tartozó ágak és levelek.A tanúsítványlánc szerkezete nem különbözik a fától.

A fához hasonlóan a gyökértanúsítvány az összes többi tanúsítvány alapja.Ahogy egy fának sok ága van, a CA egynél több köztes tanúsítványt is kiadhat egy gyökértanúsítványból.Ugyanez a hasonlat vonatkozik a szervertanúsítványokat képviselő levelekre is.

Ha folytatjuk az oldal SSL-tanúsítványának felfedezését, sokat fogunk tanulni.Ezért kattintson a "Bizonyítvány"Opció, megjelenik egy felugró ablak, az alábbiak szerint:

kapcsolódó kérdés  HIPAA megfelelőségi nyilatkozat
SSL Trust Chain Graphic: Képernyőkép a webhely SSL/TLS tanúsítvány információiról
Az SSL-tanúsítványlánc megtekintéséhez először meg kell nyitnia a tanúsítvány ablakot.hagyományosA címke néhány alapvető információt tartalmaz a tanúsítványról.A pontosabb információk megtekintéséhez kattintson a "részletek"Tab. 

Ez a kép információkat mutat a tanúsítványról – például a tanúsítvány célja, a tanúsítványt kiállító személy (hitelesítés-szolgáltató), a tanúsítványt kiállító webhely és a lejárati dátum.

Továbbá a tanúsítvány részletes információihoz vezet, amelyek segítenek megérteni a tanúsítvány által használt protokollt és algoritmust.Megmutatja a nyilvános kulcs titkosításához használt algoritmust, és megadja a webhely nyilvános kulcsát is.         

Most áttérünk a következő részre, a tanúsítási útvonalra.Ennek a cikknek az összefüggésében ez a tanúsítvány információs cikkének legfontosabb része.Amikor rákattint "Tanúsítvány elérési útja", látni fogja a gyökértanúsítványt, a köztes tanúsítványt és a szervertanúsítványt.

SSL-tanúsítványlánc grafikája: képernyőkép a webhely megbízhatósági láncáról
A fenti képen láthatóTanúsítvány elérési útjaKépernyőkép a: Gyökértanúsítvány, köztes tanúsítvány és szervertanúsítvány.

A fenti képen láthatjuk:

  • A gyökértanúsítvány: " Sectigo (korábban Comodo CA)."Ez egy önaláírt tanúsítvány, amely a köztes CA-tanúsítványt írja alá.
  • A köztes bizonyítvány a " COMODO RSA kiterjesztett hitelesítési biztonsági szerver CA"."A tanúsítvány közvetítőként (azaz közvetítőként) működik a gyökértanúsítvány és a szervertanúsítvány között.Ezért a köztes tanúsítvány saját privát kulcsával írja alá a szervertanúsítványt, hogy megvédje a gyökértanúsítvány privát kulcsát.
  • A kiszolgáló tanúsítványa " www.sectigostore.com ”.Ez a webszerverre telepített tanúsítvány típusa, amelyet általában SSL/TLS-tanúsítványnak neveznek.
A megbízhatósági lánc grafikonja, amely jelzi, hogy a gyökértanúsítvány írja alá a köztes tanúsítványt, majd a köztes tanúsítvány a szervertanúsítványt
Ez a hierarchikus szerkezeti diagram a bizalmi láncot mutatja be abban a formában, hogy az egyik tanúsítvány hogyan írja alá a következő tanúsítványt, amely a gyökértől kezdődik és a végső SSL-tanúsítványig tart.

Mivel a levéltanúsítvány a középső ágból, a középső ág pedig a gyökérből származik, feltételezzük, hogy a korábban leírt fa fejjel lefelé áll.A fenti képernyőképen alapvetően a fa gyökere felül van, a levelek pedig alul.

Ismerje meg az SSL tanúsítványlánc különböző részeit

Az alábbi ábra az SSL-tanúsítványláncot és az aláíró hatóság részletes adatait mutatja be:

Az SSL-tanúsítványlánc működését és formáit bemutató hierarchikus diagram a
A folyamatábra a három tanúsítványtípust és a köztük lévő kapcsolatot mutatja be.

Ebben a részben nem csak bontani fogunkGyökértanúsítvány és köztes tanúsítványa különbség köztük,És mégbontásSzerver tanúsítvány.

Gyökértanúsítvány

A gyökértanúsítvány (más néven megbízható gyökértanúsítvány) egy tanúsítvány, amelyet közvetlenül egy hitelesítésszolgáltató bocsát ki.Más tanúsítványokkal ellentétben a gyökértanúsítványt a CA önaláírja.A gyökértanúsítvány privát kulcsa az SSL-tanúsítvány-hierarchiában lévő többi tanúsítvány aláírására használt kulcs.

kapcsolódó kérdés  Mindent az IP-hamisításról – amit tudnia kell

A CA csak néhány gyökértanúsítványt ad ki, ezért azok szigorúan védettek.Valójában ezek a gyökértanúsítványok általában előre telepítve vannak a böngészők és operációs rendszerek "bizalmi áruházában".A gyökértanúsítványt tekintik a legfontosabbnak a tanúsítványláncban, mivel minden fél egyetért abban, hogy megbízik a gyökértanúsítványt kibocsátó CA-ban.Ha a gyökértanúsítványt kiadó CA nem megbízható vagy visszavonják (azaz már nem tekinthető megbízhatónak), a teljes lánc összeomlik.

Ezen tanúsítványok védelme érdekében, különösen, ha arról van szóTanúsítvány visszavonvaHelyzetA gyökér CA általában egy köztes CA-t használ, hogy helyet helyezzen el megbízható gyökértanúsítványa és a végső szervertanúsítvány között.Soha nem adják ki közvetlenül a gyökértanúsítványukból a webhely levelező (szerver) tanúsítványát, mert ez túl kockázatos.

Középfokú bizonyítvány

A köztes tanúsítvány pufferként működik a gyökértanúsítvány és a végentitás szervertanúsítványa között.Az azt kibocsátó gyökértanúsítvány privát kulcsa írja alá.Így lehet létrehozni a köztes tanúsítvány bizalmát.Középfokú bizonyítványKibocsátóAz a kibocsátó, aki aláírta az SSL/TLS (szerver) tanúsítványt, éstémaAz a webhely vagy szervezet, amely igazolja kilétét.

Egynél több köztes tanúsítvány lehet, de nem lehet tanúsítványlánc tulajdonosa legalább egy köztes tanúsítvány nélkül.

Szerver tanúsítvány

A CA szervertanúsítványt (más néven levéltanúsítványt) ad ki a felhasználó által lefedni kívánt tartománynak.Az emberek ezekről beszélnek, amikor az SSL/TLS tanúsítványokról beszélnek.Miután a tanúsítvány megfelelően telepítve van a szerveren,URL kezdeteMeg fog mutatkozni"HTTPS" a "HTTP" helyett.A HTTPS azt jelenti, hogy webhelye biztonságos titkosítási protokollt használ, nem pedig nem biztonságos protokollt.Ezenkívül egy lakat jelenik meg a domain neve előtt az URL-sávban.

Hogyan működik a tanúsítványlánc?

Az SSL/TLS tanúsítványláncát bizalmi láncnak is nevezik.Ennek az az oka, hogy amikor bármely böngésző megkapja webhelye SSL-tanúsítványát, ellenőriznie kell annak legitimitását.

Ehhez a szervertanúsítvánnyal kezdődik, majd visszaadja azt a gyökértanúsítványhoz a bizalom megteremtése érdekében.A tanúsítvány nyilvános kulcsát használja az aláírás egyeztetésére, majd ugyanilyen módon ellenőrzi a köztes tanúsítvány nyilvános kulcsát és aláírását.Ezt addig folytatja, amíg el nem éri azt a gyökértanúsítványt, amelyet a böngésző elment a bizalmi tárolójába.

Ha a lánc bármely tanúsítványa nem ellenőrizhető, a lánc megszakad, és az ellenőrzés sikertelen lesz.A böngésző figyelmezteti a felhasználót a tanúsítványra.Ismered azokat a csúnya "bizonytalan" és "a kapcsolatod nem privát" üzeneteket?

Képernyőképek
Példa egy „nem biztonságos” üzenetre, amely olyan webhelyen jelenik meg, amely nem rendelkezik SSL/TLS-tanúsítvánnyal.

Igen, így.Ezért ahhoz, hogy a bizalmi lánc működjön, gondoskodni kell arról, hogy a lánc egyetlen láncszeme se szakadjon meg.

Még mindig figyelsz rám?Akkor továbbléphetek egy lépéssel, és elmagyarázhatom, hogyan működik a tanúsítványlánc.Ezt követően megbeszélhetjük a kulisszák mögötti technológiát és folyamatot – a nyilvános kulcsú infrastruktúrát (vagy PKI-t).

kapcsolódó kérdés  RusVPN áttekintés

Hogyan működik a bizalom ellenőrzési folyamata

Ha a hagyományos hierarchiát követik, a gyökér CA hitelesíti a közbenső CA-t, amely viszont aláírja a szervertanúsítványt.Tehát, ezt szem előtt tartva, hogyan használják az emberek a bizalmi láncot ellenőrzésre?

Amikor egy felhasználó meglátogatja webhelyét, a szerver tanúsítványt küld neki.Ellenőrzi a különféle információkat, például:

  • A tanúsítványt kiállító entitás és az objektum.
  • Mikor adták ki a tanúsítványt és mennyi az érvényességi ideje.
  • Ha érvényes digitális aláírással rendelkezik.
  • Hogy a tanúsítványt visszavonták-e.

A tanúsítvány hitelességének ellenőrzéséhez ellenőriznie kell a bizalmi láncot.Itt a böngésző a szervertanúsítványból indul, és ellenőrzi az összes tanúsítványt, beleértve a gyökértanúsítványt is.A leggyakoribb tanúsítványlánc-ellenőrzési folyamat fordított.Ez azt jelenti, hogy a szervertanúsítvány adatait először a kibocsátó tanúsítvány köztes tanúsítványához kell hasonlítani, majd a köztes tanúsítványt a kibocsátó tanúsítvány gyökértanúsítványához kell hasonlítani.

Ha az összes tanúsítványt kivette, és a biztonságos kapcsolathoz szükséges egyéb folyamatok befejeződnek, a webhely egy lakat szimbólumot vagy "HTTPS"-t tölt be az URL-sávba.Ellenkező esetben figyelmeztetést adnak ki.

Mi az a PKI?

Mivel a PKI egy nagyon összetett és részletes téma, itt egy gyors áttekintést adunk.A nyilvános kulcsú infrastruktúra egy általános kifejezés, amely a nyilvános csatornákon történő biztonságos titkosítást lehetővé tevő folyamatok, stratégiák és technológiák keretét írja le.Nyilvános kulcsú titkosításra támaszkodik, amely összetett matematikai algoritmusokat használ az üzenetek titkosításának és visszafejtésének megkönnyítésére az interneten.

Ezek az algoritmusok a PKI keretrendszer részét képezik.A technológia fejlődésével az algoritmusok idővel egyre bonyolultabbá válnak.

A PKI kulcspárokat használ az adatok titkosításához és visszafejtéséhez.Az érintett kulcs típusa a használt titkosítás típusától függ.Például a szimmetrikus titkosítás egyetlen kulcsot használ az adatok titkosításához és visszafejtéséhez.(Ehhez az szükséges, hogy a küldőnek és a fogadónak ugyanannak a kulcsnak a másolata legyen.) Másrészt az aszimmetrikus titkosításban két egyedi (de matematikailag összefüggő) kulcs van: a nyilvános kulcs és a privát kulcs .Nyilvános kulcsot bárki használhat az adatok titkosításához.Másrészt a privát kulcs visszafejti az adatokat, amelyeket védeni kell az adatszivárgás megelőzése érdekében.

A két egyedi, de matematikailag összefüggő kulcs birtokában az oldallátogató kliense biztonságos üzeneteket küldhet anélkül, hogy illetéktelen hozzáféréstől vagy adatmanipulációtól kellene aggódnia.(Gyakran „man-in-the-middle” támadásnak vagy MitM-nek nevezik.)

következtetés

Az SSL/TLS tanúsítvány a biztonságos HTTPS protokoll használatával biztosítja a weboldal biztonságát.A bizalmi lánc elengedhetetlen e biztonsági protokoll megvalósításához.A tanúsítványlánc fastruktúrája miatt gyorsan és biztonságosan tud kapcsolatot létesíteni a szerverrel.Ezen túlmenően könnyen visszavezetheti a tanúsítványt az eredeti gyökérkönyvtárba, hogy megtudja, jogszerű-e.Ez a helyzet mindenki számára előnyös.  

Oszd meg ezt a posztot

Lehet is, mint:

Hozzászólás Comment