Un lanț de certificate SSL conține mai multe certificate care ajută la construirea încrederii cu browsere și clienți.
Iată ce trebuie să știți despre aceste certificate de lanț și cum funcționează „lanțurile de încredere”.
În calitate de proprietar de site, știți că un certificat SSL/TLS este o necesitate pentru o afacere online de succes.Pe lângă creșterea încrederii și păstrarea datelor în siguranță, ajută și la îmbunătățirea clasării site-ului dvs. în ochii Google.Dar certificatul SSL nu va funcționa în barbotare;Face parte dintr-un lanț numit certificat SSL.Lanțul este o parte integrantă a infrastructurii mari cu chei publice care permite comunicarea online sigură prin internetul nesigur.
Dar ce este mai exact un lanț de certificate?De ce este atât de important să construiți încredere?Vom descompune diferitele componente ale lanțului, care sunt regulile lor și cum lucrează împreună ca parte a unei infrastructuri cu cheie publică mai mare.
Ce este un lanț de certificate SSL?
Deci, care sunt lanțurile de certificate pentru SSL și TLS?Un lanț de certificate include un certificat rădăcină, unul sau mai multe certificate intermediare și un certificat de server (frunză).Dacă nu știți care sunt unele dintre ele, nu vă faceți griji.Pentru asta suntem aici - pentru a ajuta la descompunerea acestor termeni într-un mod semnificativ.
Dacă ați venit aici, probabil că sunteți deja familiarizat cu certificatele de server, deoarece acesta este cel pe care l-ați cumpărat pentru site-ul dvs.Acest lucru este pentru a face pictograma lacăt să apară în bara de adrese URL înaintea domeniului dvs.,De asemenea, ceea ce face ca „HTTPS” să apară în adresa URL.
Dacă dați clic pe lacătul unui site securizat, veți vedea detaliile certificatului SSL.Capturile de ecran de mai jos vă vor oferi o idee despre ceea ce vedeți.De exemplu, pe SectigoStore.com, veți vedea numele organizației care a emis certificatul.În acest caz, este Rapid Web Services LLC, [SUA].
Aceasta este ceea ce spunem de obicei când vorbim despre certificate SSL/TLS.Celelalte două certificate din lanț sunt utile în stabilirea încrederii în acele certificate de server.
Certificatele SSL sunt emise de terțe părți reputate și de încredere, numite autorități de certificare, autorități de certificare sau CA (prescurtare).Cu toate acestea, CA nu eliberează certificate direct site-urilor web.Având un lanț de încredere sau un lanț de certificate, procesul este mai rapid și mai ușor.
Un lanț de încredere este ca un copac...
Pentru a înțelege cum funcționează împreună aceste certificate, imaginați-vă un copac.Un copac are rădăcini, un trunchi și ramurile corespunzătoare și frunze.Un lanț de certificate nu diferă ca structură de un arbore.
Ca un arbore, certificatul rădăcină este fundația pe care se bazează toate celelalte certificate.Așa cum un arbore are multe ramuri, o CA poate emite mai mult de un certificat intermediar dintr-un certificat rădăcină.Aceeași analogie se aplică și frunzei care reprezintă certificatul de server.
Vom învăța multe dacă vom continua să explorăm certificatele SSL pentru acest site.Prin urmare, faceți clic pe „Certificat"opțiunea, veți vedea o fereastră pop-up așa cum se arată mai jos:
Această imagine vă arată informații despre certificat - cum ar fi scopul certificatului, cine a emis certificatul (Autoritatea de certificare), site-ul care a emis certificatul și data de valabilitate a acestuia.
Mai jos vă vor duce la detaliile certificatului, care vă vor ajuta să înțelegeți protocolul și algoritmul folosit de acel certificat.Acesta arată algoritmul utilizat pentru a cripta cheia publică și oferă, de asemenea, cheia publică a site-ului.
Acum, trecem la următoarea secțiune, calea de certificare.În contextul acestui articol, aceasta este cea mai importantă parte a articolului cu informații despre certificat.Când faceți clic pe „calea certificatului", veți vedea certificatul rădăcină, certificatul intermediar și certificatul serverului.
În imaginea de mai sus, putem vedea:
- Certificatul rădăcină este " Sectigo (fostă Comodo CA).„Acesta este un certificat autosemnat care semnează un certificat CA intermediar.
- Certificatul intermediar este " COMODO RSA Extended Validation Security Server CA”.„Acest certificat acționează ca un intermediar (adică om-in-the-middle) între certificatul rădăcină și certificatul serverului.Prin urmare, certificatul intermediar semnează certificatul de server cu propria sa cheie privată pentru a proteja cheia privată a certificatului rădăcină.
- Certificatul de server este " www.sectigostore.com “.Acesta este tipul de certificat pe care îl instalați pe serverul site-ului dvs. web, adesea numit certificat SSL/TLS.
Deoarece certificatul de frunze este ramificat de la ramura de mijloc, iar ramura de mijloc este ramificată de la rădăcină, se presupune că arborele pe care l-ați fotografiat mai devreme este cu susul în jos.În captura de ecran de mai sus, practic, rădăcina copacului este în partea de sus, iar frunzele sunt în partea de jos.
Înțelegeți diferitele părți ale lanțului de certificate SSL
Următoarea diagramă ilustrează lanțul de certificate SSL și detalii despre autoritatea de semnare:
În această secțiune, nu vom descompune doarCertificate rădăcină și intermediarediferență între,si va de asemeneapanăCertificat de server.
certificat rădăcină
Un certificat rădăcină (numit și rădăcină de încredere) este un certificat emis direct de o autoritate de certificare.Spre deosebire de alte certificate, certificatele rădăcină sunt autosemnate de CA.Cheia privată a certificatului rădăcină este cheia folosită pentru a semna alte certificate din ierarhia certificatelor SSL.
CA-urile emit doar câteva certificate rădăcină, motiv pentru care sunt strict protejate.În practică, aceste certificate rădăcină sunt de obicei preinstalate în „magazinul de încredere” al browserului și al sistemului de operare.Certificatul rădăcină este considerat cel mai important din lanțul de certificate, deoarece toate părțile sunt de acord să aibă încredere în CA care a emis certificatul rădăcină.Dacă CA care a emis certificatul rădăcină nu este de încredere sau este revocată (adică, nu mai este considerată de încredere), întregul lanț se va prăbuși.
Pentru a proteja aceste certificate, mai ales când vine vorba decertificat revocatcaz, CA rădăcină folosește de obicei un CA intermediar pentru a pune ceva spațiu între certificatul său rădăcină de încredere și certificatul final al serverului.Nu emit niciodată certificatul frunză (server) al unui site web direct din certificatul lor rădăcină, deoarece este prea riscant să facă acest lucru.
Certificat intermediar
Certificatul intermediar acționează ca un buffer între certificatul rădăcină și certificatul de server al entității finale.Este semnat de cheia privată a certificatului rădăcină care l-a emis.Așa se stabilește încrederea în certificatele intermediare.Certificat intermediarEmitentuleste emitentul care a semnat certificatul SSL/TLS (server), în timp cetemăeste site-ul sau organizația care își certifică identitatea.
Pot exista mai multe certificate intermediare, dar nu puteți avea un lanț de certificate fără cel puțin un certificat intermediar.
certificat de server
CA emite certificate de server (cunoscute și ca certificate de frunză) pentru domeniile pe care utilizatorii doresc să le acopere.Despre asta vorbesc oamenii când vorbesc despre certificate SSL/TLS.Odată ce acest certificat este instalat corect pe server,URL începe cuva arăta„HTTPS” în loc de „HTTP”.HTTPS înseamnă că site-ul dvs. utilizează un protocol de criptare sigur, nu unul nesecurizat.De asemenea, un lacăt va apărea în fața numelui tău de domeniu în bara de adrese URL.
Cum funcționează înlănțuirea certificatelor?
Lanțul de certificate în SSL/TLS este cunoscut și sub numele de lanțul de încredere.Motivul din spatele acestui lucru este că atunci când orice browser primește certificatul SSL al site-ului dvs. web, trebuie să verifice legitimitatea acestuia.
Pentru a face acest lucru, va începe cu certificatul de server și apoi îl va returna la certificatul rădăcină pentru a stabili încrederea.Utilizează cheia publică a certificatului pentru a se potrivi cu semnătura, apoi verifică cheia publică și semnătura certificatului intermediar în același mod.Va continua să facă acest lucru până când va ajunge în sfârșit la certificatul rădăcină pe care browserul îl păstrează în magazinul său de încredere.
Dacă vreun certificat din acest lanț nu poate fi verificat, lanțul va fi rupt și verificarea va eșua.Browserul va avertiza utilizatorul despre certificat.Știi acele mesaje urâte „nu sunt sigure” și „conexiunea ta nu este privată”?
Da asta e.Prin urmare, pentru ca un lanț de încredere să funcționeze, trebuie să se asigure că nicio verigă din acel lanț nu este ruptă.
Încă mă asculți?Apoi pot să fac un pas mai departe și să vă explic cum funcționează lanțul de certificate.După aceea, putem discuta despre tehnologiile și procesele care funcționează în culise - Public Key Infrastructure (sau cunoscută și sub numele de PKI).
Cum funcționează procesul de verificare a lanțului de încredere
Dacă urmați ierarhia obișnuită, CA rădăcină va autentifica CA intermediară, care la rândul său va semna certificatul serverului.Deci, având în vedere asta, cum folosesc oamenii un lanț de încredere pentru verificare?
Când utilizatorii vă vizitează site-ul web, serverul le va trimite un certificat.Acesta va verifica diverse informații, cum ar fi:
- Entitatea care a eliberat certificatul și căreia i-a fost eliberat.
- Când a fost eliberat certificatul și cât timp este valabil.
- Dacă are o semnătură digitală validă.
- Dacă certificatul a fost revocat.
Pentru a verifica dacă un certificat este legitim, acesta trebuie să verifice lanțul de încredere.Aici, browserul va porni de la certificatul de server și va verifica toate certificatele, inclusiv certificatul rădăcină.Cel mai comun proces de verificare a lanțului de certificate este inversat.Aceasta înseamnă că informațiile certificatului de server sunt verificate mai întâi cu certificatul intermediar al certificatului emitent, iar apoi certificatul intermediar este verificat cu certificatul rădăcină al certificatului emitent.
Dacă toate certificatele sunt verificate și alte procese necesare pentru o conexiune sigură sunt finalizate, site-ul web se va încărca cu un simbol de lacăt sau „HTTPS” în bara de adrese URL.În caz contrar, va fi emis un avertisment.
Ce este PKI?
Deoarece PKI este un subiect atât de complex și detaliat, vă vom oferi aici o scurtă prezentare generală.Public Key Infrastructure este un termen umbrelă care descrie un cadru de procese, politici și tehnologii care permit criptarea securizată pe canalele publice.Se bazează pe criptografia cu cheie publică, care utilizează algoritmi matematici complexi pentru a facilita criptarea și decriptarea mesajelor de pe Internet.
Acești algoritmi fac parte din cadrul PKI.Algoritmii au devenit mai complexi de-a lungul timpului pe masura ce tehnologia se dezvolta.
PKI folosește perechi de chei pentru a cripta și decripta datele.Tipul de cheie implicat depinde de tipul de criptare pe care îl utilizați.De exemplu, criptarea simetrică folosește o singură cheie pentru a cripta și decripta datele.(Acest lucru necesită ca atât expeditorul, cât și destinatarul să aibă aceeași copie a aceleiași chei.) În criptarea asimetrică, pe de altă parte, există două chei unice (dar legate matematic): cheia publică și cheia privată.Datele sunt criptate cu o cheie publică pe care oricine o poate folosi.Pe de altă parte, cheia privată decriptează datele și trebuie protejată împotriva scurgerilor de date.
Având două chei unice, dar legate matematic, îi ajută pe clienții vizitatorilor site-ului să transmită mesaje sigure fără teama de acces neautorizat sau de manipulare a datelor.(Cunoscut în mod obișnuit ca un atac de tip om-in-the-middle sau MitM.)
concluzie
Certificatele SSL/TLS asigură securitatea unui site web prin utilizarea protocolului HTTPS securizat.Un lanț de încredere este esențial pentru implementarea acestui protocol de securitate.Datorită structurii arborescente a lanțului de certificate, conexiunea la server poate fi stabilită rapid și în siguranță.De asemenea, poate urmări cu ușurință certificatul înapoi la rădăcina sa originală pentru a vedea dacă este legitim.Este un câștig-câștig pentru toată lumea.
