Co to jest łańcuch certyfikatów SSL?A jak to działa?

0 Komentarzy

Łańcuch certyfikatów SSL zawiera wiele certyfikatów, co pomaga zbudować zaufanie do przeglądarek i klientów.

Poniżej znajduje się wiedza na temat tych certyfikatów łańcuchowych i sposobu działania „łańcucha zaufania”.

Jako właściciel witryny wiesz, że certyfikat SSL/TLS jest warunkiem wstępnym udanego biznesu online.Oprócz zwiększenia zaufania i ochrony bezpieczeństwa danych pomaga również poprawić pozycję Twojej witryny w oczach Google.Ale certyfikat SSL nie będzie działał w postaci bąbelków;Jest częścią łańcucha nazywanego certyfikatami SSL.Łańcuch ten jest nieodzowną częścią wielkoskalowej infrastruktury klucza publicznego, która umożliwia prowadzenie bezpiecznej komunikacji online poprzez niezabezpieczony Internet.

Ale czym właściwie jest łańcuch certyfikatów?Dlaczego budowanie zaufania jest tak ważne?Podzielimy różne elementy łańcucha, jakie są ich zasady i jak współpracują ze sobą w ramach większej infrastruktury klucza publicznego.

Co to jest łańcuch certyfikatów SSL?

Jaki jest więc łańcuch certyfikatów SSL i TLS?Łańcuch certyfikatów obejmuje certyfikat główny, jeden lub więcej certyfikatów pośrednich oraz certyfikat serwera (liście).Jeśli nie wiesz, jakie są niektóre z nich, nie martw się.To jest naszym celem tutaj - pomóc w rozbiciu tych terminów w sensowny sposób. 

Jeśli tu trafisz, być może znasz już certyfikat serwera, ponieważ jest to certyfikat, który kupiłeś dla witryny.Ma to na celu wyświetlenie ikony kłódki na pasku adresu URL przed domeną.Jest to również powód, dla którego „HTTPS” jest wyświetlany w Twoim adresie URL.

Jeśli klikniesz na kłódkę bezpiecznej strony, zobaczysz szczegóły certyfikatu SSL.Poniższy zrzut ekranu da ci wyobrażenie o tym, co widzisz.Na przykład w witrynie SectigoStore.com zobaczysz nazwę organizacji, która wystawiła certyfikat.W tym przypadku jest to Rapid Web Services LLC, [Stany Zjednoczone].

Grafika łańcucha certyfikatów SSL: zrzut ekranu kłódki strony internetowej, przedstawiający informacje o organizacji certyfikatu SSL/TLS
Na powyższym przykładzie zrzutu ekranu zauważysz kłódkę przed domeną naszej witryny.Ta kłódka wskazuje, że witryna korzysta z bezpiecznego szyfrowanego połączenia.Oznacza to, że witryna korzysta z certyfikatu SSL/TLS.

Tak zwykle mówimy, gdy mówimy o certyfikatach SSL/TLS.Pozostałe dwa certyfikaty w łańcuchu są pomocne w budowaniu zaufania do tych certyfikatów serwera.

Certyfikaty SSL są wydawane przez renomowaną i zaufaną stronę trzecią, zwaną urzędem certyfikacji, urzędem certyfikacji lub CA (w skrócie).Jednak CA nie wyda certyfikatu bezpośrednio w witrynie.Dzięki łańcuchowi zaufania lub łańcuchowi certyfikatów proces może być szybszy i łatwiejszy.

Łańcuch zaufania jest jak drzewo...

Diagram przedstawiający drzewo łańcucha zaufania w SSL/TLS
Ilustracja łańcucha certyfikatów ma postać drzewa.Korzeń drzewa reprezentuje certyfikat główny, pień i gałęzie reprezentują certyfikaty pośrednie, a liście reprezentują certyfikaty serwera.

Aby zrozumieć, jak te certyfikaty współpracują ze sobą, wyobraź sobie drzewo.Drzewo ma korzenie, pień oraz odpowiadające im gałęzie i liście.Struktura łańcucha certyfikatów nie różni się od drzewa.

Podobnie jak drzewo, certyfikat główny jest podstawą, na której oparte są wszystkie inne certyfikaty.Podobnie jak drzewo ma wiele gałęzi, urząd certyfikacji może wystawić więcej niż jeden certyfikat pośredni z certyfikatu głównego.Ta sama analogia dotyczy urlopów reprezentujących certyfikaty serwera.

Jeśli nadal będziemy badać certyfikat SSL tej witryny, wiele się nauczymy.Dlatego kliknij „Certyfikat"Opcja, zobaczysz wyskakujące okienko, jak pokazano poniżej:

Powiązane pytania  Oświadczenie o zgodności z HIPAA
Grafika łańcucha zaufania SSL: zrzut ekranu z informacjami o certyfikacie SSL/TLS witryny
Aby wyświetlić łańcuch certyfikatów SSL, musisz najpierw otworzyć okno certyfikatu.standardowyTwoja etykieta zawiera podstawowe informacje o certyfikacie.Aby wyświetlić bardziej szczegółowe informacje, musisz kliknąć „Detale"Patka. 

Ten obraz przedstawia informacje o certyfikacie, takie jak cel certyfikatu, osoba, która wydała certyfikat (urząd certyfikacji), witryna, która wystawiła certyfikat i data jego ważności.

Następnie zostaniesz przeniesiony do szczegółowych informacji o certyfikacie, które pomogą Ci zrozumieć protokół i algorytm używany przez certyfikat.Pokazuje algorytm używany do szyfrowania klucza publicznego, a także udostępnia klucz publiczny witryny.         

Teraz przechodzimy do kolejnej części, ścieżki certyfikacji.W kontekście tego artykułu jest to najważniejsza część artykułu informacyjnego o certyfikacie.Po kliknięciu „Ścieżka certyfikacji”, zobaczysz certyfikat główny, certyfikat pośredni i certyfikat serwera.

Grafika łańcucha certyfikatów SSL: zrzut ekranu łańcucha zaufania witryny
Powyższy obrazek pokazujeŚcieżka certyfikacjiZrzut ekranu z: Certyfikat główny, certyfikat pośredni i certyfikat serwera.

Na powyższym obrazku widzimy:

  • Certyfikat główny to „ Sectigo (dawniej Comodo CA).„Jest to certyfikat z podpisem własnym, który podpisuje certyfikat pośredniego urzędu certyfikacji.
  • Certyfikat pośredni to „ COMODO RSA rozszerzony serwer bezpieczeństwa uwierzytelniania CA".„Certyfikat działa jako pośrednik (tj. pośrednik) między certyfikatem głównym a certyfikatem serwera.Dlatego certyfikat pośredni używa własnego klucza prywatnego do podpisywania certyfikatu serwera w celu ochrony klucza prywatnego certyfikatu głównego.
  • Certyfikat serwera to „ www.sectigostore.com ”.Jest to typ certyfikatu, który instalujesz na serwerze WWW, zwykle nazywany certyfikatem SSL/TLS.
Wykres łańcucha zaufania, wskazujący, że certyfikat główny podpisuje certyfikat pośredni, a następnie certyfikat pośredni podpisuje certyfikat serwera
Ten diagram struktury hierarchicznej przedstawia łańcuch zaufania w postaci tego, jak jeden certyfikat podpisuje następny certyfikat, który rozpoczyna się od korzenia i prowadzi do końcowego certyfikatu SSL.

Ponieważ certyfikat liścia pochodzi od gałęzi środkowej, a gałąź środkowa rozgałęzia się od korzenia, zakłada się, że drzewo, które opisałeś wcześniej, jest do góry nogami.Na powyższym zrzucie ekranu zasadniczo korzeń drzewa znajduje się na górze, a liście na dole.

Poznaj różne części łańcucha certyfikatów SSL

Poniższy rysunek ilustruje łańcuch certyfikatów SSL oraz szczegółowe informacje o urzędzie podpisującym:

Diagram struktury hierarchicznej pokazujący, jak działa łańcuch certyfikatów SSL i tworzy
Schemat blokowy przedstawia trzy rodzaje certyfikatów i relacje między nimi.

W tej sekcji nie tylko będziemy się rozkładaćCertyfikat główny i certyfikat pośredniróżnica pomiędzy,I równieżzałamanieCertyfikat serwera.

Certyfikat główny

Certyfikat główny (zwany również zaufanym certyfikatem głównym) to certyfikat wystawiony bezpośrednio przez urząd certyfikacji.W przeciwieństwie do innych certyfikatów, certyfikat główny jest podpisany przez urząd certyfikacji.Klucz prywatny certyfikatu głównego jest kluczem używanym do podpisywania innych certyfikatów w hierarchii certyfikatów SSL.

Powiązane pytania  Wszystko o spoofingu IP — co musisz wiedzieć

CA wystawia tylko kilka certyfikatów głównych, dlatego są one ściśle chronione.W rzeczywistości te certyfikaty główne są zwykle wstępnie instalowane w „sklepie zaufania” przeglądarek i systemów operacyjnych.Certyfikat główny jest uważany za najważniejszy w łańcuchu certyfikatów, ponieważ wszystkie strony zgadzają się ufać urzędowi certyfikacji, który wystawił certyfikat główny.Jeśli urząd certyfikacji, który wystawił certyfikat główny, jest niezaufany lub unieważniony (tzn. nie jest już uważany za godny zaufania), cały łańcuch się rozpadnie.

W celu ochrony tych certyfikatów, zwłaszcza jeśli chodzi oCertyfikat cofniętySytuacja, Główny urząd certyfikacji zwykle używa pośredniego urzędu certyfikacji, aby umieścić trochę miejsca między zaufanym certyfikatem głównym a końcowym certyfikatem serwera.Nigdy nie wystawiają certyfikatu liścia (serwera) witryny bezpośrednio ze swojego certyfikatu głównego, ponieważ jest to zbyt ryzykowne.

Certyfikat pośredni

Certyfikat pośredni działa jako bufor między certyfikatem głównym a certyfikatem serwera jednostki końcowej.Jest podpisany kluczem prywatnym certyfikatu głównego, który go wystawił.W ten sposób ustanawia się zaufanie certyfikatu pośredniego.Certyfikat pośredniEmitentCzy wystawca, który podpisał certyfikat SSL/TLS (serwer), oraztematTo witryna lub organizacja, która potwierdza swoją tożsamość.

Może istnieć więcej niż jeden certyfikat pośredni, ale nie można posiadać łańcucha certyfikatów bez co najmniej jednego certyfikatu pośredniego.

Certyfikat serwera

Urząd certyfikacji wystawia certyfikat serwera (zwany również certyfikatem liścia) dla domeny, którą użytkownik chce objąć.Ludzie mówią o nich, gdy mówią o certyfikatach SSL/TLS.Po prawidłowym zainstalowaniu certyfikatu na serwerze,początek adresu URLPokaże„HTTPS” zamiast „HTTP”.HTTPS oznacza, że ​​Twoja witryna korzysta z bezpiecznego protokołu szyfrowania, a nie z niezabezpieczonego protokołu.Ponadto przed nazwą domeny na pasku adresu pojawi się kłódka.

Jak działa łańcuch certyfikatów?

Łańcuch certyfikatów w SSL/TLS nazywany jest również łańcuchem zaufania.Powodem tego jest to, że gdy jakakolwiek przeglądarka otrzyma certyfikat SSL Twojej witryny, musi zweryfikować jego legalność.

Aby to zrobić, rozpocznie się od certyfikatu serwera, a następnie zwróci go do certyfikatu głównego w celu ustanowienia zaufania.Wykorzystuje klucz publiczny certyfikatu do dopasowania podpisu, a następnie w ten sam sposób sprawdza klucz publiczny i podpis certyfikatu pośredniczącego.Będzie to robił, aż w końcu dotrze do certyfikatu głównego, który przeglądarka zapisuje w swoim magazynie zaufania.

Jeśli którykolwiek certyfikat w tym łańcuchu nie może zostać zweryfikowany, łańcuch zostanie przerwany i weryfikacja zakończy się niepowodzeniem.Przeglądarka ostrzeże użytkownika o certyfikacie.Czy znasz te brzydkie „niepewne” i „twoje połączenie nie jest prywatne”?

Zrzuty ekranu
Przykład „niepewnej” wiadomości wyświetlanej na stronie internetowej, która nie ma certyfikatu SSL/TLS.

Tak, w ten sposób.Dlatego, aby łańcuch zaufania działał, należy zapewnić, aby żadne ogniwa w łańcuchu nie zostały przerwane.

Czy nadal mnie słuchasz?Następnie mogę pójść o krok dalej i wyjaśnić, jak działa łańcuch certyfikatów.Następnie możemy omówić technologię i proces za kulisami – Infrastrukturę Klucza Publicznego (lub PKI).

Powiązane pytania  Recenzja RusVPN

Jak działa proces weryfikacji łańcucha zaufania

Jeśli przestrzegana jest konwencjonalna hierarchia, główny urząd certyfikacji uwierzytelni pośredni urząd certyfikacji, który z kolei podpisze certyfikat serwera.Mając to na uwadze, w jaki sposób ludzie wykorzystują łańcuch zaufania do weryfikacji?

Gdy użytkownik odwiedza Twoją witrynę, serwer wyśle ​​mu certyfikat.Sprawdzi różne informacje, takie jak:

  • Podmiot, który wydał certyfikat i przedmiot.
  • Kiedy certyfikat został wydany i jak długo trwa jego ważność.
  • Jeśli ma ważny podpis cyfrowy.
  • Czy certyfikat został unieważniony.

Aby sprawdzić, czy certyfikat jest legalny, musi zweryfikować łańcuch zaufania.Tutaj przeglądarka uruchomi się od certyfikatu serwera i zweryfikuje wszystkie certyfikaty, w tym certyfikat główny.Najczęstszy proces weryfikacji łańcucha certyfikatów jest odwrócony.Oznacza to, że informacje zawarte w certyfikacie serwera muszą być najpierw porównane z certyfikatem pośrednim certyfikatu wystawiającego, a następnie certyfikat pośredni musi zostać porównany z certyfikatem głównym certyfikatu wystawiającego.

Jeśli wszystkie certyfikaty zostały sprawdzone i inne procesy wymagane do bezpiecznego połączenia zostały zakończone, witryna załaduje symbol kłódki lub „HTTPS” na pasku adresu URL.W przeciwnym razie zostanie wydane ostrzeżenie.

Co to jest PKI?

Ponieważ PKI jest tak złożonym i szczegółowym tematem, przedstawimy tutaj krótki przegląd.Infrastruktura klucza publicznego to ogólny termin opisujący strukturę procesów, strategii i technologii umożliwiających bezpieczne szyfrowanie w kanałach publicznych.Opiera się na kryptografii klucza publicznego, która wykorzystuje złożone algorytmy matematyczne w celu ułatwienia szyfrowania i deszyfrowania wiadomości w Internecie.

Algorytmy te są częścią struktury PKI.Wraz z rozwojem technologii algorytmy z czasem stają się coraz bardziej złożone.

PKI używa par kluczy do szyfrowania i odszyfrowywania danych.Rodzaj użytego klucza zależy od rodzaju używanego szyfrowania.Na przykład szyfrowanie symetryczne wykorzystuje jeden klucz do szyfrowania i odszyfrowywania danych.(Wymaga to, aby nadawca i odbiorca mieli tę samą kopię tego samego klucza). Z drugiej strony w szyfrowaniu asymetrycznym istnieją dwa unikalne (ale matematycznie powiązane) klucze: klucz publiczny i klucz prywatny .Każdy może używać klucza publicznego do szyfrowania danych.Z drugiej strony klucz prywatny odszyfruje dane, które muszą być chronione, aby zapobiec wyciekowi danych.

Posiadanie dwóch unikalnych, ale matematycznie powiązanych kluczy pomaga klientom odwiedzających witrynę w dostarczaniu bezpiecznych wiadomości bez obaw o nieautoryzowany dostęp lub manipulację danymi.(Często nazywany atakiem man-in-the-middle lub MitM.)

Wniosek

Certyfikat SSL/TLS zapewnia bezpieczeństwo serwisu dzięki wykorzystaniu bezpiecznego protokołu HTTPS.Łańcuch zaufania jest niezbędny do realizacji tego protokołu bezpieczeństwa.Dzięki drzewiastej strukturze łańcucha certyfikatów możesz szybko i bezpiecznie nawiązać kontakt z serwerem.Co więcej, może łatwo prześledzić certyfikat z powrotem do jego oryginalnego katalogu głównego, aby dowiedzieć się, czy jest legalny.Jest to sytuacja korzystna dla wszystkich.  

Udostępnij ten post

Zobacz także:

Zamieść komentarz