A cadeia de certificados SSL contém vários certificados para ajudar a estabelecer confiança com o navegador e o cliente.
A seguir está o conhecimento sobre esses certificados de cadeia e como a "cadeia de confiança" funciona.
Como proprietário de um site, você sabe que um certificado SSL / TLS é um pré-requisito para um negócio online de sucesso.Além de aumentar a confiança e proteger a segurança dos dados, também ajuda a melhorar a classificação do seu site aos olhos do Google.Mas o certificado SSL não funcionará em bubbling;Faz parte da cadeia denominada certificados SSL.A cadeia é uma parte indispensável de uma infraestrutura de chave pública em grande escala, que torna possível realizar comunicação online segura através da Internet insegura.
Mas o que exatamente é uma cadeia de certificados?Por que construir confiança é tão importante?Analisaremos os diferentes componentes da cadeia, quais são suas regras e como funcionam juntos como parte de uma infraestrutura de chave pública maior.
O que é uma cadeia de certificados SSL?
Então, qual é a cadeia de certificados SSL e TLS?A cadeia de certificados inclui o certificado raiz, um ou mais certificados intermediários e o certificado do servidor (folha).Se você não sabe o que alguns deles são, não se preocupe.Este é o nosso propósito aqui - ajudar a decompor esses termos de uma forma significativa.
Se você vier aqui, já deve estar familiarizado com o certificado do servidor, pois este é o certificado que você comprou para o site.Isso faz com que o ícone do cadeado apareça na barra de URL antes do seu domínio.É também a razão pela qual "HTTPS" é exibido em seu URL.
Se você clicar no cadeado do site seguro, verá os detalhes do certificado SSL.A captura de tela abaixo lhe dará uma ideia do que você está vendo.Por exemplo, em SectigoStore.com, você verá o nome da organização que emitiu o certificado.Nesse caso, é Rapid Web Services LLC, [Estados Unidos].
Isso é o que costumamos dizer quando falamos sobre certificados SSL / TLS.Os outros dois certificados da cadeia são úteis para estabelecer confiança nesses certificados de servidor.
O certificado SSL é emitido por um terceiro respeitável e confiável, denominado autoridade de certificação, autoridade de certificação ou CA (abreviatura).No entanto, a CA não emitirá o certificado diretamente para o site.Com uma cadeia de confiança ou cadeia de certificados, o processo pode se tornar mais rápido e fácil.
A cadeia de confiança é como uma árvore ...
Para entender como esses certificados funcionam juntos, imagine uma árvore.Uma árvore tem raízes, um tronco e seus galhos e folhas correspondentes.A estrutura da cadeia de certificados não é diferente da árvore.
Como uma árvore, o certificado raiz é a base na qual todos os outros certificados se baseiam.Assim como uma árvore tem muitos ramos, uma CA pode emitir mais de um certificado intermediário de um certificado raiz.A mesma analogia se aplica a folhas que representam certificados de servidor.
Se continuarmos explorando o certificado SSL deste site, aprenderemos muito.Portanto, clique em "Certificado"Opcionalmente, você verá uma janela pop-up, conforme mostrado abaixo:
Esta imagem mostra informações sobre o certificado, como a finalidade do certificado, a pessoa que emitiu o certificado (autoridade de certificação), o site que emitiu o certificado e sua data de validade.
Além disso, ele o levará às informações detalhadas do certificado, que o ajudarão a entender o protocolo e o algoritmo usados pelo certificado.Ele mostra o algoritmo usado para criptografar a chave pública e também fornece a chave pública do site.
Agora, passamos para a próxima parte, o caminho da certificação.No contexto deste artigo, esta é a parte mais importante do artigo de informações do certificado.Quando você clica em "Caminho de certificação", você verá o certificado raiz, o certificado intermediário e o certificado do servidor.
Na foto acima, podemos ver:
- O certificado raiz é " Sectigo (anteriormente Comodo CA)."Este é um certificado autoassinado que assina o certificado CA intermediário.
- O certificado intermediário é " COMODO RSA servidor de segurança de autenticação estendida CA "."O certificado atua como um intermediário (ou seja, intermediário) entre o certificado raiz e o certificado do servidor.Portanto, o certificado intermediário usa sua própria chave privada para assinar o certificado do servidor para proteger a chave privada do certificado raiz.
- O certificado do servidor é " www.secigostore.com "Este é o tipo de certificado que você instala no servidor da web, geralmente chamado de certificado SSL / TLS.
Como o certificado de folha vem do ramo do meio e o ramo do meio se ramifica da raiz, presume-se que a árvore que você descreveu está de cabeça para baixo.Na captura de tela acima, basicamente, a raiz da árvore está no topo e as folhas estão na parte inferior.
Compreenda as várias partes da cadeia de certificados SSL
A figura a seguir ilustra a cadeia de certificados SSL e informações detalhadas sobre a autoridade de assinatura:
Nesta seção, não iremos apenas decomporCertificado raiz e certificado intermediáriodiferença entre,E tambémdiscriminaçãoCertificado do servidor.
Certificado raiz
Um certificado raiz (também chamado de raiz confiável) é um certificado emitido diretamente por uma autoridade de certificação.Ao contrário de outros certificados, o certificado raiz é autoassinado pela CA.A chave privada do certificado raiz é a chave usada para assinar outros certificados na hierarquia de certificados SSL.
A CA emite apenas alguns certificados raiz, e é por isso que eles são estritamente protegidos.Na verdade, esses certificados raiz geralmente são pré-instalados no "armazenamento confiável" de navegadores e sistemas operacionais.O certificado raiz é considerado o mais importante na cadeia de certificados porque todas as partes concordam em confiar na CA que emitiu o certificado raiz.Se a CA que emitiu o certificado raiz não for confiável ou for revogada (ou seja, não for mais considerada confiável), toda a cadeia entrará em colapso.
Para proteger esses certificados, especialmente quando se trata deCertificado revogadoSituaçãoA CA raiz geralmente usa uma CA intermediária para colocar algum espaço entre seu certificado raiz confiável e o certificado do servidor final.Eles nunca emitem o certificado folha (servidor) do site diretamente de seu certificado raiz, porque fazer isso é muito arriscado.
Certificado Intermediário
O certificado intermediário atua como um buffer entre o certificado raiz e o certificado do servidor da entidade final.Ele é assinado pela chave privada do certificado raiz que o emitiu.É assim que a confiança do certificado intermediário é estabelecida.Certificado intermediárioEmitenteÉ o emissor que assinou o certificado SSL / TLS (servidor) etemaÉ o site ou organização que prova sua identidade.
Pode haver mais de um certificado intermediário, mas você não pode possuir uma cadeia de certificados sem pelo menos um certificado intermediário.
Certificado de servidor
A CA emite um certificado de servidor (também chamado de certificado folha) para o domínio que o usuário deseja cobrir.As pessoas estão falando sobre isso quando falam sobre certificados SSL / TLS.Depois que o certificado for instalado corretamente no servidor,URL começandoMostrará"HTTPS" em vez de "HTTP".HTTPS significa que seu site usa um protocolo de criptografia seguro, não um protocolo inseguro.Além disso, um cadeado aparecerá antes do seu nome de domínio na barra de URL.
Como funciona a cadeia de certificação?
A cadeia de certificados em SSL / TLS também é chamada de cadeia de confiança.A razão por trás disso é que, quando qualquer navegador recebe o certificado SSL do seu site, ele precisa verificar sua legitimidade.
Para fazer isso, ele começará com o certificado do servidor e, em seguida, retornará ao certificado raiz para estabelecer a confiança.Ele usa a chave pública do certificado para corresponder à assinatura e, em seguida, verifica a chave pública e a assinatura do certificado intermediário da mesma maneira.Ele continuará fazendo isso até que finalmente alcance o certificado raiz que o navegador salva em seu armazenamento confiável.
Se algum certificado nesta cadeia não puder ser verificado, a cadeia será interrompida e a verificação falhará.O navegador avisará o usuário sobre o certificado.Você conhece aquelas mensagens feias "inseguras" e "sua conexão não é privada"?
Sim, por ali.Portanto, para que a cadeia de confiança funcione, deve-se garantir que nenhum elo da cadeia seja interrompido.
Você ainda está me ouvindo?Em seguida, posso dar um passo adiante e explicar como funciona a cadeia de certificação.Depois disso, podemos discutir a tecnologia e o processo nos bastidores - infraestrutura de chave pública (ou PKI).
Como funciona o processo de verificação da cadeia de confiança
Se a hierarquia convencional for seguida, a CA raiz autenticará a CA intermediária, que por sua vez assinará o certificado do servidor.Portanto, com isso em mente, como as pessoas usam a cadeia de confiança para verificação?
Quando um usuário visita o seu site, o servidor envia um certificado para ele.Ele verificará várias informações, como:
- A entidade que emitiu o certificado e o objeto.
- Quando o certificado foi emitido e qual a duração do seu período de validade.
- Se tiver uma assinatura digital válida.
- Se o certificado foi revogado.
Para verificar se o certificado é legítimo, ele precisa verificar a cadeia de confiança.Aqui, o navegador iniciará a partir do certificado do servidor e verificará todos os certificados, incluindo o certificado raiz.O processo mais comum de verificação da cadeia de certificados é revertido.Isso significa que as informações do certificado do servidor devem primeiro ser verificadas em relação ao certificado intermediário do certificado de emissão e, em seguida, o certificado intermediário deve ser verificado em relação ao certificado raiz do certificado de emissão.
Se todos os certificados tiverem sido retirados e outros processos necessários para uma conexão segura forem concluídos, o site carregará um símbolo de cadeado ou "HTTPS" na barra de URL.Caso contrário, um aviso será emitido.
O que é PKI?
Visto que PKI é um assunto tão complexo e detalhado, forneceremos uma visão geral rápida aqui.Infraestrutura de chave pública é um termo geral que descreve a estrutura de processos, estratégias e tecnologias que tornam possível a criptografia segura em canais públicos.Ele se baseia em criptografia de chave pública, que usa algoritmos matemáticos complexos para facilitar a criptografia e descriptografia de mensagens na Internet.
Esses algoritmos fazem parte da estrutura PKI.Com o desenvolvimento da tecnologia, os algoritmos se tornam cada vez mais complexos com o tempo.
A PKI usa pares de chaves para criptografar e descriptografar dados.O tipo de chave envolvida depende do tipo de criptografia que você usa.Por exemplo, a criptografia simétrica usa uma única chave para criptografar e descriptografar dados.(Isso requer que o remetente e o receptor tenham a mesma cópia da mesma chave.) Por outro lado, na criptografia assimétrica, existem duas chaves exclusivas (mas matematicamente relacionadas): a chave pública e a chave privada.Qualquer pessoa pode usar uma chave pública para criptografar dados.Por outro lado, a chave privada descriptografa os dados, que devem ser protegidos para evitar vazamento de dados.
Ter duas chaves únicas, mas matematicamente relacionadas, ajuda o cliente do visitante do site a entregar mensagens seguras sem se preocupar com acesso não autorizado ou manipulação de dados.(Freqüentemente chamado de ataque man-in-the-middle ou MitM.)
Conclusão
O certificado SSL / TLS garante a segurança do site usando o protocolo HTTPS seguro.A cadeia de confiança é essencial para a realização deste protocolo de segurança.Por causa da estrutura em árvore da cadeia de certificados, você pode estabelecer contato com o servidor de forma rápida e segura.Além disso, ele pode rastrear facilmente o certificado de volta ao seu diretório raiz original para descobrir se ele é legal.Isso é uma vitória para todos.
