La catena di certificati SSL contiene più certificati, contribuendo a stabilire l'attendibilità con browser e client.
Quanto segue è la conoscenza di questi certificati di catena e di come funziona la "catena di fiducia".
In qualità di proprietario di un sito Web, sai che un certificato SSL/TLS è un prerequisito per un'attività online di successo.Oltre ad aumentare la fiducia e proteggere la sicurezza dei dati, aiuta anche a migliorare il posizionamento del tuo sito web agli occhi di Google.Ma il certificato SSL non verrà eseguito in gorgogliamento;Fa parte della catena denominata certificati SSL.La catena è una parte indispensabile di un'infrastruttura a chiave pubblica su larga scala, che consente di condurre comunicazioni online sicure attraverso Internet insicura.
Ma cos'è esattamente una catena di certificati?Perché è così importante creare fiducia?Analizzeremo i diversi componenti della catena, quali sono le loro regole e come lavorano insieme come parte di una più ampia infrastruttura a chiave pubblica.
Che cos'è una catena di certificati SSL?
Quindi, qual è la catena di certificati di SSL e TLS?La catena di certificati include il certificato radice, uno o più certificati intermedi e il certificato del server (foglia).Se non sai quali sono alcuni di loro, non preoccuparti.Questo è il nostro scopo qui: aiutare a scomporre questi termini in modo significativo.
Se vieni qui, potresti già avere familiarità con il certificato del server, perché questo è il certificato che hai acquistato per il sito web.Questo per far apparire l'icona del lucchetto nella barra degli URL prima del tuo dominio.È anche il motivo per cui "HTTPS" viene visualizzato nel tuo URL.
Se clicchi sul lucchetto del sito protetto, vedrai i dettagli del certificato SSL.Lo screenshot qui sotto ti darà un'idea di ciò che stai vedendo.Ad esempio, su SectigoStore.com, vedrai il nome dell'organizzazione che ha emesso il certificato.In questo caso, è Rapid Web Services LLC, [Stati Uniti].
Questo è ciò che di solito diciamo quando parliamo di certificati SSL/TLS.Gli altri due certificati della catena sono utili per stabilire la fiducia in quei certificati del server.
Il certificato SSL è emesso da una terza parte rispettabile e affidabile, chiamata autorità di certificazione, autorità di certificazione o CA (abbreviazione).Tuttavia, la CA non rilascerà direttamente il certificato al sito web.Con una catena di fiducia o una catena di certificati, il processo può essere reso più veloce e più semplice.
La catena della fiducia è come un albero...
Per capire come funzionano insieme questi certificati, immagina un albero.Un albero ha radici, un tronco e i suoi rami e foglie corrispondenti.La struttura della catena di certificati non è diversa dall'albero.
Come un albero, il certificato radice è la base su cui si basano tutti gli altri certificati.Proprio come un albero ha molti rami, una CA può emettere più di un certificato intermedio da un certificato radice.La stessa analogia si applica alle foglie che rappresentano i certificati del server.
Se continuiamo ad esplorare il certificato SSL di questo sito, impareremo molto.Pertanto, fare clic su "Certificato"Opzione, vedrai apparire una finestra, come mostrato di seguito:
Questa immagine mostra informazioni sul certificato, come lo scopo del certificato, la persona che ha emesso il certificato (autorità di certificazione), il sito che ha emesso il certificato e la sua data di scadenza.
Inoltre, ti porterà alle informazioni dettagliate del certificato, che ti aiuteranno a comprendere il protocollo e l'algoritmo utilizzati dal certificato.Mostra l'algoritmo utilizzato per crittografare la chiave pubblica e fornisce anche la chiave pubblica del sito.
Ora passiamo alla parte successiva, il percorso di certificazione.Nel contesto di questo articolo, questa è la parte più importante dell'articolo sulle informazioni sul certificato.Quando fai clic su "Percorso di certificazione", vedrai il certificato radice, il certificato intermedio e il certificato del server.
Nella foto sopra possiamo vedere:
- Il certificato radice è " Sectigo (ex Comodo CA)."Questo è un certificato autofirmato che firma il certificato CA intermedio.
- Il certificato intermedio è " COMODO RSA server di sicurezza per l'autenticazione estesa CA"."Il certificato funge da intermediario (cioè intermediario) tra il certificato radice e il certificato del server.Pertanto, il certificato intermedio utilizza la propria chiave privata per firmare il certificato del server per proteggere la chiave privata del certificato radice.
- Il certificato del server è " www.sectigostore.com ".Questo è il tipo di certificato che installi sul server web, solitamente chiamato certificato SSL/TLS.
Poiché il certificato foglia proviene dal ramo centrale e il ramo centrale si dirama dalla radice, si presume che l'albero che hai descritto in precedenza sia capovolto.Nello screenshot qui sopra, in pratica, la radice dell'albero è in alto e le foglie in basso.
Comprendere le varie parti della catena di certificati SSL
La figura seguente illustra la catena di certificati SSL e informazioni dettagliate sull'autorità di firma:
In questa sezione, non ci limiteremo a scomporreCertificato radice e certificato intermediodifferenza fra,E ancheabbattersiCertificato del server.
Certificato radice
Un certificato radice (chiamato anche radice attendibile) è un certificato emesso direttamente da un'autorità di certificazione.A differenza di altri certificati, il certificato radice è autofirmato dalla CA.La chiave privata del certificato radice è la chiave utilizzata per firmare altri certificati nella gerarchia dei certificati SSL.
CA emette solo alcuni certificati radice, motivo per cui sono rigorosamente protetti.Infatti, questi certificati radice sono solitamente preinstallati nel "trust store" dei browser e dei sistemi operativi.Il certificato radice è considerato il più importante nella catena di certificati perché tutte le parti concordano nel considerare attendibile la CA che ha emesso il certificato radice.Se la CA che ha emesso il certificato radice non è attendibile o viene revocata (ovvero non è più considerata attendibile), l'intera catena crollerà.
Al fine di proteggere questi certificati, soprattutto quando si tratta diCertificato revocatoSituazioneLa CA radice di solito usa una CA intermedia per inserire uno spazio tra il suo certificato radice attendibile e il certificato del server finale.Non emettono mai il certificato foglia (server) del sito Web direttamente dal loro certificato radice, perché farlo è troppo rischioso.
Certificato intermedio
Il certificato intermedio funge da buffer tra il certificato radice e il certificato del server dell'entità finale.È firmato dalla chiave privata del certificato radice che lo ha emesso.In questo modo viene stabilita l'attendibilità del certificato intermedio.Certificato intermedioEmittenteL'emittente che ha firmato il certificato SSL/TLS (server) etemaÈ il sito o l'organizzazione che ne dimostra l'identità.
Possono esistere più certificati intermedi, ma non è possibile possedere una catena di certificati senza almeno un certificato intermedio.
Certificato del server
La CA emette un certificato del server (chiamato anche certificato foglia) per il dominio che l'utente vuole coprire.Le persone ne parlano quando parlano di certificati SSL/TLS.Dopo che il certificato è stato installato correttamente sul server,URL che iniziaMostrerò"HTTPS" invece di "HTTP".HTTPS significa che il tuo sito utilizza un protocollo di crittografia sicuro, non un protocollo non sicuro.Inoltre, apparirà un lucchetto prima del tuo nome di dominio nella barra degli URL.
Come funziona la catena di certificati?
La catena di certificati in SSL/TLS è anche chiamata catena di fiducia.Il motivo è che quando un browser riceve il certificato SSL del tuo sito Web, deve verificarne la legittimità.
Per fare ciò, inizierà con il certificato del server e quindi lo restituirà al certificato radice per stabilire l'attendibilità.Utilizza la chiave pubblica del certificato per far corrispondere la firma, quindi controlla la chiave pubblica e la firma del certificato intermedio allo stesso modo.Continuerà a farlo finché non raggiungerà finalmente il certificato radice che il browser salva nel suo truststore.
Se un certificato in questa catena non può essere verificato, la catena verrà interrotta e la verifica avrà esito negativo.Il browser avviserà l'utente del certificato.Conosci quei brutti messaggi "insicuro" e "la tua connessione non è privata"?
Sì, in quel modo.Pertanto, affinché la catena di fiducia funzioni, è necessario garantire che nessun anello della catena venga interrotto.
Mi stai ancora ascoltando?Quindi posso fare un ulteriore passo avanti e spiegarti come funziona la catena di certificati.Successivamente, possiamo discutere la tecnologia e il processo dietro le quinte: Public Key Infrastructure (o PKI).
Come funziona il processo di verifica della catena di fiducia
Se si segue la gerarchia convenzionale, la CA radice autenticherà la CA intermedia, che a sua volta firmerà il certificato del server.Quindi, con questo in mente, come usano le persone la catena di fiducia per la verifica?
Quando un utente visita il tuo sito web, il server gli invierà un certificato.Verificherà varie informazioni come:
- L'entità che ha emesso il certificato e l'oggetto.
- Quando è stato rilasciato il certificato e per quanto tempo è il suo periodo di validità.
- Se ha una firma digitale valida.
- Se il certificato è stato revocato.
Per verificare che il certificato sia legittimo, è necessario verificare la catena di fiducia.Qui, il browser si avvierà dal certificato del server e verificherà tutti i certificati, incluso il certificato radice.Il processo di verifica della catena di certificati più comune è invertito.Ciò significa che le informazioni del certificato del server devono prima essere confrontate con il certificato intermedio del certificato emittente, quindi il certificato intermedio deve essere confrontato con il certificato radice del certificato emittente.
Se tutti i certificati sono stati estratti e gli altri processi necessari per una connessione sicura sono stati completati, il sito Web caricherà un simbolo di lucchetto o "HTTPS" nella barra degli URL.In caso contrario, verrà emesso un avviso.
Cos'è PKI?
Poiché la PKI è un argomento così complesso e dettagliato, qui ti forniremo una rapida panoramica.Infrastruttura a chiave pubblica è un termine generico che descrive il quadro di processi, strategie e tecnologie che rendono possibile la crittografia sicura nei canali pubblici.Si basa sulla crittografia a chiave pubblica, che utilizza algoritmi matematici complessi per facilitare la crittografia e la decrittografia dei messaggi su Internet.
Questi algoritmi fanno parte del framework PKI.Con lo sviluppo della tecnologia, gli algoritmi diventano sempre più complessi nel tempo.
PKI utilizza coppie di chiavi per crittografare e decrittografare i dati.Il tipo di chiave coinvolta dipende dal tipo di crittografia utilizzata.Ad esempio, la crittografia simmetrica utilizza un'unica chiave per crittografare e decrittografare i dati.(Ciò richiede che sia il mittente che il destinatario abbiano la stessa copia della stessa chiave.) D'altra parte, nella crittografia asimmetrica, ci sono due chiavi univoche (ma matematicamente correlate): la chiave pubblica e la chiave privata.Chiunque può utilizzare una chiave pubblica per crittografare i dati.D'altra parte, la chiave privata decrittograferà i dati, che devono essere protetti per evitare perdite di dati.
Avere due chiavi univoche ma matematicamente correlate aiuta i client dei visitatori del sito a fornire messaggi sicuri senza preoccuparsi di accessi non autorizzati o manipolazione dei dati.(Spesso chiamato attacco man-in-the-middle o MitM.)
conclusione
Il certificato SSL/TLS garantisce la sicurezza del sito web utilizzando il protocollo sicuro HTTPS.La catena della fiducia è essenziale per la realizzazione di questo protocollo di sicurezza.Grazie alla struttura ad albero della catena di certificati, è possibile stabilire un contatto con il server in modo rapido e sicuro.Inoltre, può facilmente risalire alla directory radice originale del certificato per scoprire se è legale.Questa è una vittoria per tutti.