Che cos'è la catena di certificati SSL?E come funziona?

0 Commenti

La catena di certificati SSL contiene più certificati, contribuendo a stabilire l'attendibilità con browser e client.

Quanto segue è la conoscenza di questi certificati di catena e di come funziona la "catena di fiducia".

In qualità di proprietario di un sito Web, sai che un certificato SSL/TLS è un prerequisito per un'attività online di successo.Oltre ad aumentare la fiducia e proteggere la sicurezza dei dati, aiuta anche a migliorare il posizionamento del tuo sito web agli occhi di Google.Ma il certificato SSL non verrà eseguito in gorgogliamento;Fa parte della catena denominata certificati SSL.La catena è una parte indispensabile di un'infrastruttura a chiave pubblica su larga scala, che consente di condurre comunicazioni online sicure attraverso Internet insicura.

Ma cos'è esattamente una catena di certificati?Perché è così importante creare fiducia?Analizzeremo i diversi componenti della catena, quali sono le loro regole e come lavorano insieme come parte di una più ampia infrastruttura a chiave pubblica.

Che cos'è una catena di certificati SSL?

Quindi, qual è la catena di certificati di SSL e TLS?La catena di certificati include il certificato radice, uno o più certificati intermedi e il certificato del server (foglia).Se non sai quali sono alcuni di loro, non preoccuparti.Questo è il nostro scopo qui: aiutare a scomporre questi termini in modo significativo. 

Se vieni qui, potresti già avere familiarità con il certificato del server, perché questo è il certificato che hai acquistato per il sito web.Questo per far apparire l'icona del lucchetto nella barra degli URL prima del tuo dominio.È anche il motivo per cui "HTTPS" viene visualizzato nel tuo URL.

Se clicchi sul lucchetto del sito protetto, vedrai i dettagli del certificato SSL.Lo screenshot qui sotto ti darà un'idea di ciò che stai vedendo.Ad esempio, su SectigoStore.com, vedrai il nome dell'organizzazione che ha emesso il certificato.In questo caso, è Rapid Web Services LLC, [Stati Uniti].

Grafico della catena del certificato SSL: uno screenshot del lucchetto del sito Web, che mostra le informazioni sull'organizzazione del certificato SSL/TLS
Nell'esempio di schermata sopra, noterai un lucchetto davanti al dominio del nostro sito web.Questo lucchetto indica che il sito Web utilizza una connessione crittografata sicura.Ciò indica che il sito utilizza un certificato SSL/TLS.

Questo è ciò che di solito diciamo quando parliamo di certificati SSL/TLS.Gli altri due certificati della catena sono utili per stabilire la fiducia in quei certificati del server.

Il certificato SSL è emesso da una terza parte rispettabile e affidabile, chiamata autorità di certificazione, autorità di certificazione o CA (abbreviazione).Tuttavia, la CA non rilascerà direttamente il certificato al sito web.Con una catena di fiducia o una catena di certificati, il processo può essere reso più veloce e più semplice.

La catena della fiducia è come un albero...

Diagramma che rappresenta l'albero della catena di fiducia in SSL/TLS
Un'illustrazione di una catena di certificati ha la forma di un albero.La radice dell'albero rappresenta il certificato radice, il tronco ei rami rappresentano i certificati intermedi e le foglie rappresentano i certificati del server.

Per capire come funzionano insieme questi certificati, immagina un albero.Un albero ha radici, un tronco e i suoi rami e foglie corrispondenti.La struttura della catena di certificati non è diversa dall'albero.

Come un albero, il certificato radice è la base su cui si basano tutti gli altri certificati.Proprio come un albero ha molti rami, una CA può emettere più di un certificato intermedio da un certificato radice.La stessa analogia si applica alle foglie che rappresentano i certificati del server.

Se continuiamo ad esplorare il certificato SSL di questo sito, impareremo molto.Pertanto, fare clic su "Certificato"Opzione, vedrai apparire una finestra, come mostrato di seguito:

domanda correlata  Dichiarazione di conformità HIPAA
Grafico della catena di fiducia SSL: screenshot delle informazioni sul certificato SSL/TLS del sito Web
Per visualizzare la catena di certificati SSL, devi prima aprire la finestra del certificato.convenzionaleL'etichetta mostra alcune informazioni di base sul certificato.Per visualizzare informazioni più specifiche, è necessario fare clic su "dettagli"tab. 

Questa immagine mostra informazioni sul certificato, come lo scopo del certificato, la persona che ha emesso il certificato (autorità di certificazione), il sito che ha emesso il certificato e la sua data di scadenza.

Inoltre, ti porterà alle informazioni dettagliate del certificato, che ti aiuteranno a comprendere il protocollo e l'algoritmo utilizzati dal certificato.Mostra l'algoritmo utilizzato per crittografare la chiave pubblica e fornisce anche la chiave pubblica del sito.         

Ora passiamo alla parte successiva, il percorso di certificazione.Nel contesto di questo articolo, questa è la parte più importante dell'articolo sulle informazioni sul certificato.Quando fai clic su "Percorso di certificazione", vedrai il certificato radice, il certificato intermedio e il certificato del server.

Grafico della catena del certificato SSL: screenshot della catena di fiducia del sito web
L'immagine sopra mostraPercorso di certificazioneScreenshot di: Certificato radice, certificato intermedio e certificato del server.

Nella foto sopra possiamo vedere:

  • Il certificato radice è " Sectigo (ex Comodo CA)."Questo è un certificato autofirmato che firma il certificato CA intermedio.
  • Il certificato intermedio è " COMODO RSA server di sicurezza per l'autenticazione estesa CA"."Il certificato funge da intermediario (cioè intermediario) tra il certificato radice e il certificato del server.Pertanto, il certificato intermedio utilizza la propria chiave privata per firmare il certificato del server per proteggere la chiave privata del certificato radice.
  • Il certificato del server è " www.sectigostore.com ".Questo è il tipo di certificato che installi sul server web, solitamente chiamato certificato SSL/TLS.
Un grafico della catena di fiducia, che indica che il certificato radice firma il certificato intermedio e quindi il certificato intermedio firma il certificato del server
Questo diagramma della struttura gerarchica mostra la catena di fiducia sotto forma di come un certificato firma il certificato successivo, che inizia dalla radice e continua fino al certificato SSL finale.

Poiché il certificato foglia proviene dal ramo centrale e il ramo centrale si dirama dalla radice, si presume che l'albero che hai descritto in precedenza sia capovolto.Nello screenshot qui sopra, in pratica, la radice dell'albero è in alto e le foglie in basso.

Comprendere le varie parti della catena di certificati SSL

La figura seguente illustra la catena di certificati SSL e informazioni dettagliate sull'autorità di firma:

Un diagramma gerarchico che mostra come funziona la catena di certificati SSL e si forma a
Il diagramma di flusso mostra i tre tipi di certificati e la relazione tra di essi.

In questa sezione, non ci limiteremo a scomporreCertificato radice e certificato intermediodifferenza fra,E ancheabbattersiCertificato del server.

Certificato radice

Un certificato radice (chiamato anche radice attendibile) è un certificato emesso direttamente da un'autorità di certificazione.A differenza di altri certificati, il certificato radice è autofirmato dalla CA.La chiave privata del certificato radice è la chiave utilizzata per firmare altri certificati nella gerarchia dei certificati SSL.

domanda correlata  Tutto sullo spoofing IP: cosa devi sapere

CA emette solo alcuni certificati radice, motivo per cui sono rigorosamente protetti.Infatti, questi certificati radice sono solitamente preinstallati nel "trust store" dei browser e dei sistemi operativi.Il certificato radice è considerato il più importante nella catena di certificati perché tutte le parti concordano nel considerare attendibile la CA che ha emesso il certificato radice.Se la CA che ha emesso il certificato radice non è attendibile o viene revocata (ovvero non è più considerata attendibile), l'intera catena crollerà.

Al fine di proteggere questi certificati, soprattutto quando si tratta diCertificato revocatoSituazioneLa CA radice di solito usa una CA intermedia per inserire uno spazio tra il suo certificato radice attendibile e il certificato del server finale.Non emettono mai il certificato foglia (server) del sito Web direttamente dal loro certificato radice, perché farlo è troppo rischioso.

Certificato intermedio

Il certificato intermedio funge da buffer tra il certificato radice e il certificato del server dell'entità finale.È firmato dalla chiave privata del certificato radice che lo ha emesso.In questo modo viene stabilita l'attendibilità del certificato intermedio.Certificato intermedioEmittenteL'emittente che ha firmato il certificato SSL/TLS (server) etemaÈ il sito o l'organizzazione che ne dimostra l'identità.

Possono esistere più certificati intermedi, ma non è possibile possedere una catena di certificati senza almeno un certificato intermedio.

Certificato del server

La CA emette un certificato del server (chiamato anche certificato foglia) per il dominio che l'utente vuole coprire.Le persone ne parlano quando parlano di certificati SSL/TLS.Dopo che il certificato è stato installato correttamente sul server,URL che iniziaMostrerò"HTTPS" invece di "HTTP".HTTPS significa che il tuo sito utilizza un protocollo di crittografia sicuro, non un protocollo non sicuro.Inoltre, apparirà un lucchetto prima del tuo nome di dominio nella barra degli URL.

Come funziona la catena di certificati?

La catena di certificati in SSL/TLS è anche chiamata catena di fiducia.Il motivo è che quando un browser riceve il certificato SSL del tuo sito Web, deve verificarne la legittimità.

Per fare ciò, inizierà con il certificato del server e quindi lo restituirà al certificato radice per stabilire l'attendibilità.Utilizza la chiave pubblica del certificato per far corrispondere la firma, quindi controlla la chiave pubblica e la firma del certificato intermedio allo stesso modo.Continuerà a farlo finché non raggiungerà finalmente il certificato radice che il browser salva nel suo truststore.

Se un certificato in questa catena non può essere verificato, la catena verrà interrotta e la verifica avrà esito negativo.Il browser avviserà l'utente del certificato.Conosci quei brutti messaggi "insicuro" e "la tua connessione non è privata"?

Schermate
Un esempio di messaggio "non sicuro" visualizzato su un sito Web privo di un certificato SSL/TLS.

Sì, in quel modo.Pertanto, affinché la catena di fiducia funzioni, è necessario garantire che nessun anello della catena venga interrotto.

Mi stai ancora ascoltando?Quindi posso fare un ulteriore passo avanti e spiegarti come funziona la catena di certificati.Successivamente, possiamo discutere la tecnologia e il processo dietro le quinte: Public Key Infrastructure (o PKI).

domanda correlata  Recensione RusVPN

Come funziona il processo di verifica della catena di fiducia

Se si segue la gerarchia convenzionale, la CA radice autenticherà la CA intermedia, che a sua volta firmerà il certificato del server.Quindi, con questo in mente, come usano le persone la catena di fiducia per la verifica?

Quando un utente visita il tuo sito web, il server gli invierà un certificato.Verificherà varie informazioni come:

  • L'entità che ha emesso il certificato e l'oggetto.
  • Quando è stato rilasciato il certificato e per quanto tempo è il suo periodo di validità.
  • Se ha una firma digitale valida.
  • Se il certificato è stato revocato.

Per verificare che il certificato sia legittimo, è necessario verificare la catena di fiducia.Qui, il browser si avvierà dal certificato del server e verificherà tutti i certificati, incluso il certificato radice.Il processo di verifica della catena di certificati più comune è invertito.Ciò significa che le informazioni del certificato del server devono prima essere confrontate con il certificato intermedio del certificato emittente, quindi il certificato intermedio deve essere confrontato con il certificato radice del certificato emittente.

Se tutti i certificati sono stati estratti e gli altri processi necessari per una connessione sicura sono stati completati, il sito Web caricherà un simbolo di lucchetto o "HTTPS" nella barra degli URL.In caso contrario, verrà emesso un avviso.

Cos'è PKI?

Poiché la PKI è un argomento così complesso e dettagliato, qui ti forniremo una rapida panoramica.Infrastruttura a chiave pubblica è un termine generico che descrive il quadro di processi, strategie e tecnologie che rendono possibile la crittografia sicura nei canali pubblici.Si basa sulla crittografia a chiave pubblica, che utilizza algoritmi matematici complessi per facilitare la crittografia e la decrittografia dei messaggi su Internet.

Questi algoritmi fanno parte del framework PKI.Con lo sviluppo della tecnologia, gli algoritmi diventano sempre più complessi nel tempo.

PKI utilizza coppie di chiavi per crittografare e decrittografare i dati.Il tipo di chiave coinvolta dipende dal tipo di crittografia utilizzata.Ad esempio, la crittografia simmetrica utilizza un'unica chiave per crittografare e decrittografare i dati.(Ciò richiede che sia il mittente che il destinatario abbiano la stessa copia della stessa chiave.) D'altra parte, nella crittografia asimmetrica, ci sono due chiavi univoche (ma matematicamente correlate): la chiave pubblica e la chiave privata.Chiunque può utilizzare una chiave pubblica per crittografare i dati.D'altra parte, la chiave privata decrittograferà i dati, che devono essere protetti per evitare perdite di dati.

Avere due chiavi univoche ma matematicamente correlate aiuta i client dei visitatori del sito a fornire messaggi sicuri senza preoccuparsi di accessi non autorizzati o manipolazione dei dati.(Spesso chiamato attacco man-in-the-middle o MitM.)

conclusione

Il certificato SSL/TLS garantisce la sicurezza del sito web utilizzando il protocollo sicuro HTTPS.La catena della fiducia è essenziale per la realizzazione di questo protocollo di sicurezza.Grazie alla struttura ad albero della catena di certificati, è possibile stabilire un contatto con il server in modo rapido e sicuro.Inoltre, può facilmente risalire alla directory radice originale del certificato per scoprire se è legale.Questa è una vittoria per tutti.  

Condividi questo post

Potrebbe piacerti anche:

Invia commento