SSL сертификатын сүлжээ нь хөтчүүд болон үйлчлүүлэгчдэд итгэх итгэлийг бий болгоход тусалдаг олон гэрчилгээг агуулдаг.
Эдгээр гинжин сертификатууд болон "итгэлцлийн хэлхээ" хэрхэн ажилладаг талаар юу мэдэхийг эндээс үзнэ үү.
Вэбсайт эзэмшигчийн хувьд SSL/TLS сертификат нь амжилттай онлайн бизнес эрхлэхэд зайлшгүй шаардлагатай гэдгийг та мэднэ.Энэ нь итгэлийг нэмэгдүүлж, өгөгдлийг аюулгүй байлгахаас гадна Google-ийн нүдэн дээр таны вэбсайтын зэрэглэлийг сайжруулахад тусалдаг.Гэхдээ SSL сертификат нь хөөс гаргахад ажиллахгүй;Энэ нь SSL сертификат гэж нэрлэгддэг гинжин хэлхээний нэг хэсэг юм.Энэхүү сүлжээ нь аюулгүй интернетээр найдвартай онлайн харилцаа холбоог бий болгодог нийтийн түлхүүрийн томоохон дэд бүтцийн салшгүй хэсэг юм.
Гэхдээ гэрчилгээний сүлжээ гэж яг юу вэ?Итгэлцлийг бий болгох нь яагаад ийм чухал вэ?Бид гинжин хэлхээний өөр өөр бүрэлдэхүүн хэсгүүд, тэдгээрийн дүрэм гэж юу болох, илүү том нийтийн түлхүүрийн дэд бүтцийн нэг хэсэг болгон хэрхэн хамтран ажилладаг талаар задлах болно.
SSL сертификатын сүлжээ гэж юу вэ?
Тэгэхээр, SSL болон TLS-ийн гэрчилгээний хэлхээ гэж юу вэ?Сертификат гинжин хэлхээнд эх гэрчилгээ, нэг буюу хэд хэдэн завсрын гэрчилгээ, сервер (навч) гэрчилгээ орно.Хэрэв та тэдгээрийн зарим нь юу болохыг мэдэхгүй бол санаа зовох хэрэггүй.Үүний тулд бид эдгээр нэр томъёог утга учиртай задлахад туслах зорилготой юм.
Хэрэв та энд ирсэн бол энэ нь таны вэбсайтад зориулж худалдаж авсан сервер учраас серверийн гэрчилгээг аль хэдийн мэддэг байх магадлалтай.Энэ нь цоожны дүрсийг таны домэйны өмнө URL мөрөнд харуулах зорилготой юм.Мөн таны URL дээр "HTTPS" гарч ирэхэд юу нөлөөлдөг вэ?.
Хэрэв та аюулгүй сайтын цоож дээр дарвал SSL сертификатын дэлгэрэнгүй мэдээллийг харах болно.Доорх дэлгэцийн агшин танд юу харж байгаа талаар ойлголт өгөх болно.Жишээлбэл, SectigoStore.com дээр та гэрчилгээ олгосон байгууллагын нэрийг харах болно.Энэ тохиолдолд энэ нь Rapid Web Services LLC, [АНУ] юм.
Үүнийг бид SSL/TLS сертификатын тухай ярихдаа ихэвчлэн хэлдэг.Сүлжээний бусад хоёр гэрчилгээ нь тэдгээр серверийн сертификатуудад итгэх итгэлийг бий болгоход тустай.
SSL гэрчилгээг Сертификатын эрх бүхий байгууллага, гэрчилгээний байгууллага эсвэл CA (товчлолын товчлол) гэх нэр хүндтэй, итгэмжлэгдсэн гуравдагч этгээдээс олгодог.Гэсэн хэдий ч CA нь вэбсайтад гэрчилгээ шууд олгодоггүй.Итгэлцлийн сүлжээ эсвэл гэрчилгээний сүлжээтэй байх нь үйл явцыг илүү хурдан бөгөөд хялбар болгодог.
Итгэлийн хэлхээ нь мод шиг ...
Эдгээр гэрчилгээнүүд хэрхэн хамтран ажилладагийг ойлгохын тулд модыг төсөөлөөд үз дээ.Мод нь үндэс, их бие, түүнд тохирох мөчир, навчтай байдаг.Гэрчилгээний хэлхээ нь модноос бүтцийн хувьд ялгаатай биш юм.
Модны нэгэн адил эх гэрчилгээ нь бусад бүх гэрчилгээний үндэс суурь болдог.Мод олон мөчиртэй байдаг шиг CA нь эх гэрчилгээнээс нэгээс олон завсрын гэрчилгээ гаргаж болно.Үүнтэй ижил төстэй байдал нь серверийн гэрчилгээг төлөөлж буй навчинд хамаарна.
Хэрэв бид энэ сайтын SSL сертификатуудыг үргэлжлүүлэн судлах юм бол бид маш их зүйлийг сурах болно.Тиймээс "дарна уу.гэрчилгээ"сонголтыг хийвэл доор үзүүлсэн шиг цонх гарч ирэх болно.
Энэ зураг нь гэрчилгээний зорилго, гэрчилгээг хэн олгосон (Гэрчилгээний газар), гэрчилгээ олгосон сайт, хүчинтэй байх хугацаа гэх мэт гэрчилгээний талаарх мэдээллийг харуулж байна.
Дараа нь таныг гэрчилгээний дэлгэрэнгүй мэдээлэлд хүргэх бөгөөд энэ нь тухайн гэрчилгээнд ашигладаг протокол болон алгоритмыг ойлгоход тусална.Энэ нь нийтийн түлхүүрийг шифрлэхэд ашигладаг алгоритмыг харуулахаас гадна сайтын нийтийн түлхүүрийг өгдөг.
Одоо бид дараагийн хэсэг болох баталгаажуулалтын зам руу шилжиж байна.Энэ нийтлэлийн хүрээнд энэ нь гэрчилгээний мэдээллийн нийтлэлийн хамгийн чухал хэсэг юм."Та дарахад"гэрчилгээний зам", та үндсэн гэрчилгээ, завсрын гэрчилгээ, серверийн гэрчилгээг харах болно.
Дээрх зурган дээр бид дараахь зүйлийг харж болно.
- Үндсэн гэрчилгээ нь " Sectigo (өмнө нь Comodo CA)."Энэ бол завсрын CA гэрчилгээнд гарын үсэг зурдаг өөрөө гарын үсэг зурсан гэрчилгээ юм.
- Дунд зэргийн гэрчилгээ нь " COMODO RSA Өргөтгөсөн баталгаажуулалтын аюулгүй байдлын серверийн CA"."Энэ гэрчилгээ нь үндсэн гэрчилгээ болон серверийн гэрчилгээний хооронд зуучлагчийн үүрэг гүйцэтгэдэг (жишээ нь, дунд хүн).Тиймээс завсрын гэрчилгээ нь үндсэн гэрчилгээний хувийн түлхүүрийг хамгаалахын тулд серверийн гэрчилгээнд өөрийн хувийн түлхүүрээр гарын үсэг зурдаг.
- Серверийн гэрчилгээ нь " www.sectigostore.com "Гэж бичжээ.Энэ бол таны вэбсайтын сервер дээр суулгасан гэрчилгээний төрөл бөгөөд үүнийг ихэвчлэн SSL/TLS сертификат гэж нэрлэдэг.
Навчны гэрчилгээ нь дунд мөчрөөсөө салаалсан, дунд мөчир нь үндсээр нь салаалсан байдаг тул таны түрүүний зурсан модыг урвуу байрлалтай гэж үздэг.Дээрх дэлгэцийн агшинд үндсэндээ модны үндэс дээд талд, навч нь доод талд байна.
SSL сертификатын гинжин хэлхээний янз бүрийн хэсгүүдийг ойлгох
Дараах диаграмм нь SSL сертификатын гинж болон гарын үсэг зурсан эрх мэдлийн талаарх дэлгэрэнгүй мэдээллийг харуулав.
Энэ хэсэгт бид зөвхөн задрахгүйүндсэн болон завсрын гэрчилгээхоорондын ялгаа,бас болноэвдэхСерверийн гэрчилгээ.
эх гэрчилгээ
Эх гэрчилгээ (өөрийн итгэмжлэгдсэн эх гэж нэрлэдэг) нь гэрчилгээжүүлэх байгууллагаас шууд олгосон гэрчилгээ юм.Бусад гэрчилгээнээс ялгаатай нь эх гэрчилгээ нь CA өөрөө гарын үсэг зурдаг.Үндсэн гэрчилгээний хувийн түлхүүр нь SSL сертификатын шатлалын бусад гэрчилгээнд гарын үсэг зурахад хэрэглэгддэг түлхүүр юм.
CA нь зөвхөн цөөн тооны эх гэрчилгээ олгодог тул тэдгээрийг хатуу хамгаалдаг.Практикт эдгээр эх гэрчилгээг ихэвчлэн хөтөч болон үйлдлийн системийн "итгэмжлэгдсэн дэлгүүр"-д урьдчилан суулгасан байдаг.Бүх талууд үндсэн гэрчилгээ олгосон CA-д итгэхийг зөвшөөрч байгаа тул эх гэрчилгээг гэрчилгээний хэлхээнд хамгийн чухал гэж үздэг.Хэрэв үндсэн гэрчилгээ олгосон CA нь итгэмжгүй эсвэл хүчингүй болсон бол (өөрөөр хэлбэл найдвартай гэж тооцогдохоо больсон) гинж бүхэлдээ гацах болно.
Эдгээр гэрчилгээг хамгаалах, ялангуяа энэ нь ирэх үедгэрчилгээг хүчингүй болгосонхэрэг, эх CA нь итгэмжлэгдсэн эх гэрчилгээ болон эцсийн серверийн гэрчилгээний хооронд зай тавихын тулд ихэвчлэн завсрын CA-г ашигладаг.Тэд хэзээ ч вэбсайтын хуудасны (серверийн) гэрчилгээг эх гэрчилгээнээсээ шууд гаргадаггүй, учир нь үүнийг хийх нь хэтэрхий эрсдэлтэй байдаг.
Дунд зэргийн гэрчилгээ
Завсрын гэрчилгээ нь үндсэн гэрчилгээ болон эцсийн байгууллагын серверийн гэрчилгээний хооронд буфер үүрэг гүйцэтгэдэг.Үүнийг гаргасан эх гэрчилгээний хувийн түлхүүрээр гарын үсэг зурсан болно.Завсрын гэрчилгээнд итгэх итгэл ингэж бий болдог.Дунд зэргийн гэрчилгээҮнэт цаас гаргагчнь SSL/TLS (сервер) гэрчилгээнд гарын үсэг зурсан гаргагч юмсэдэвнь түүний биеийн байцаалтыг баталгаажуулдаг сайт эсвэл байгууллага юм.
Нэгээс олон завсрын гэрчилгээ байж болох ч дор хаяж нэг завсрын гэрчилгээгүй гэрчилгээний сүлжээтэй байж болохгүй.
серверийн гэрчилгээ
CA нь хэрэглэгчдийн хамрахыг хүссэн домайнуудад серверийн гэрчилгээг (мөн навч сертификат гэж нэрлэдэг) олгодог.Хүмүүс SSL/TLS сертификатын тухай ярихдаа үүнийг л ярьдаг.Энэ гэрчилгээг сервер дээр зөв суулгасны дараа,URL нь дараахаас эхэлдэгхаруулах болно"HTTP"-ийн оронд "HTTPS".HTTPS нь таны сайт найдвартай биш харин аюулгүй шифрлэлтийн протокол ашиглаж байна гэсэн үг юм.Мөн URL мөрөнд таны домэйн нэрний өмнө цоож харагдах болно.
Гэрчилгээний хэлхээ хэрхэн ажилладаг вэ?
SSL/TLS дахь сертификатын сүлжээг итгэлцлийн гинж гэж нэрлэдэг.Үүний цаад шалтгаан нь ямар ч хөтөч таны вэбсайтын SSL сертификатыг хүлээн авахдаа түүний хууль ёсны эсэхийг шалгах шаардлагатай болдог.
Үүнийг хийхийн тулд энэ нь серверийн сертификатаас эхэлж, итгэлцлийг бий болгохын тулд эх сертификат руу буцаана.Энэ нь гарын үсэгтэй тааруулахын тулд гэрчилгээний нийтийн түлхүүрийг ашигладаг бөгөөд дараа нь завсрын гэрчилгээний нийтийн түлхүүр болон гарын үсгийг мөн адил шалгадаг.Энэ нь хөтчийн итгэмжлэгдсэн дэлгүүрт хадгалдаг эх гэрчилгээнд хүрэх хүртэл үүнийг хийсээр байх болно.
Хэрэв энэ сүлжээн дэх аливаа гэрчилгээг баталгаажуулах боломжгүй бол хэлхээ тасарч, баталгаажуулалт амжилтгүй болно.Хөтөч нь гэрчилгээний талаар хэрэглэгчдэд анхааруулах болно.Та эдгээр муухай "аюулгүй" болон "таны холболт хувийн биш" гэсэн мессежүүдийг мэдэх үү?
Тийм ээ, тийм.Тиймээс итгэлцлийн гинж ажиллахын тулд тэр хэлхээнд ямар ч холбоос тасрахгүй байх ёстой.
Чи намайг сонссон хэвээр байна уу?Дараа нь би цаашаа алхаж, гэрчилгээний сүлжээ хэрхэн ажилладаг талаар тайлбарлаж болно.Үүний дараа бид хөшигний ард ажилладаг технологи, процессуудын талаар ярилцаж болно - Нийтийн түлхүүрийн дэд бүтэц (эсвэл PKI гэгддэг).
Итгэлцлийн баталгаажуулалтын гинжин хэлхээ хэрхэн ажилладаг
Хэрэв та ердийн шатлалыг дагаж мөрдвөл эх CA нь завсрын CA-г баталгаажуулах бөгөөд энэ нь серверийн гэрчилгээнд гарын үсэг зурах болно.Тиймээс, үүнийг анхаарч үзвэл хүмүүс баталгаажуулахдаа итгэлцлийн сүлжээг хэрхэн ашигладаг вэ?
Хэрэглэгчид таны вэбсайтад зочлоход сервер тэдэнд гэрчилгээ илгээх болно.Энэ нь янз бүрийн мэдээллийг шалгах болно, тухайлбал:
- гэрчилгээ олгосон байгууллага, хэнд олгосон.
- Гэрчилгээг хэзээ олгосон, хүчинтэй байх хугацаа.
- Хэрэв энэ нь хүчинтэй тоон гарын үсэгтэй бол.
- Гэрчилгээг хүчингүй болгосон эсэх.
Гэрчилгээ нь хууль ёсны эсэхийг шалгахын тулд итгэлцлийн хэлхээг шалгах шаардлагатай.Энд хөтөч нь серверийн гэрчилгээнээс эхэлж, эх гэрчилгээ зэрэг бүх гэрчилгээг шалгах болно.Хамгийн түгээмэл гэрчилгээний гинжин баталгаажуулалтын үйл явц нь урвуу байдаг.Энэ нь серверийн гэрчилгээний мэдээллийг эхлээд олгосон гэрчилгээний завсрын гэрчилгээтэй, дараа нь завсрын гэрчилгээг олгосон гэрчилгээний эх гэрчилгээтэй тулгаж шалгана гэсэн үг юм.
Хэрэв бүх гэрчилгээг шалгаж, аюулгүй холболтод шаардлагатай бусад процессууд дууссан бол вэбсайт нь цоожны тэмдэг эсвэл URL мөрөнд "HTTPS"-ээр ачаалагдах болно.Үгүй бол анхааруулга өгөх болно.
PKI гэж юу вэ?
PKI бол маш нарийн төвөгтэй, нарийвчилсан сэдэв учраас бид танд товч тоймыг эндээс өгөх болно.Нийтийн түлхүүрийн дэд бүтэц нь олон нийтийн сувгуудад аюулгүй шифрлэх боломжийг олгодог үйл явц, бодлого, технологийн хүрээг тодорхойлсон ерөнхий нэр томъёо юм.Энэ нь Интернэт дэх мессежийг шифрлэх, тайлахад хялбар математикийн алгоритмуудыг ашигладаг нийтийн түлхүүрийн криптографид тулгуурладаг.
Эдгээр алгоритмууд нь PKI хүрээний нэг хэсэг юм.Технологи хөгжихийн хэрээр алгоритмууд нь цаг хугацааны явцад илүү төвөгтэй болсон.
PKI нь өгөгдлийг шифрлэх, тайлахын тулд түлхүүр хосуудыг ашигладаг.Холбогдох түлхүүрийн төрөл нь таны ашигладаг шифрлэлтийн төрлөөс хамаарна.Жишээлбэл, тэгш хэмт шифрлэлт нь өгөгдлийг шифрлэх, тайлахад нэг түлхүүр ашигладаг.(Энэ нь илгээгч болон хүлээн авагч хоёр ижил түлхүүрийн хуулбартай байхыг шаарддаг.) Нөгөө талаас тэгш хэмт бус шифрлэлтэд нийтийн түлхүүр ба хувийн түлхүүр гэсэн хоёр өвөрмөц (гэхдээ математикийн холбоотой) түлхүүр байдаг.Өгөгдөл нь хэн ч ашиглаж болох нийтийн түлхүүрээр шифрлэгдсэн байдаг.Нөгөө талаас, хувийн түлхүүр нь өгөгдлийг тайлж, мэдээлэл алдагдахаас хамгаалагдсан байх ёстой.
Өвөрмөц боловч математикийн холбоотой хоёр түлхүүртэй байх нь сайтын зочдын үйлчлүүлэгчдэд зөвшөөрөлгүй нэвтрэх, өгөгдөл хувиргахаас айхгүйгээр аюулгүй мессежийг хүргэхэд тусалдаг.(Ихэвчлэн хүний дундах халдлага буюу MitM гэж нэрлэдэг.)
Дүгнэлт
SSL/TLS сертификатууд нь аюулгүй HTTPS протоколыг ашиглан вэбсайтын аюулгүй байдлыг хангадаг.Энэхүү аюулгүй байдлын протоколыг хэрэгжүүлэхэд итгэлцлийн хэлхээ маш чухал.Сертификатын сүлжээний мод шиг бүтцийн ачаар сервертэй холбогдох холболтыг хурдан бөгөөд найдвартай хийх боломжтой.Түүнчлэн, энэ нь гэрчилгээг хууль ёсны эсэхийг шалгахын тулд анхны язгуур руу нь хялбархан хайж болно.Энэ бол хүн бүрийн хувьд ялалт юм.
