Čo je reťaz certifikátov SSL?a ako to funguje?

0 Comment

Reťazec certifikátov SSL obsahuje viacero certifikátov, ktoré pomáhajú budovať dôveru v prehliadačoch a klientoch.

Tu je to, čo by ste mali vedieť o týchto reťazových certifikátoch a ako fungujú „reťazce dôvery“.

Ako vlastník webovej stránky viete, že certifikát SSL/TLS je nevyhnutnosťou pre úspešné online podnikanie.Okrem zvýšenia dôvery a ochrany vašich údajov to tiež pomáha zlepšiť hodnotenie vášho webu v očiach Google.Certifikát SSL však nebude fungovať v prebublávaní;Je súčasťou reťazca nazývaného SSL certifikát.Reťazec je neoddeliteľnou súčasťou rozsiahlej infraštruktúry verejných kľúčov, ktorá umožňuje bezpečnú online komunikáciu cez nezabezpečený internet.

Ale čo presne je reťaz certifikátov?Prečo je budovanie dôvery také dôležité?Rozoberieme rôzne zložky reťazca, aké sú ich pravidlá a ako spolupracujú ako súčasť väčšej infraštruktúry verejného kľúča.

Čo je reťaz certifikátov SSL?

Aké sú teda reťazce certifikátov pre SSL a TLS?Reťaz certifikátov zahŕňa koreňový certifikát, jeden alebo viacero prechodných certifikátov a serverový (listový) certifikát.Ak niektoré z nich neviete, nezúfajte.Na to sme tu – pomôcť zmysluplným spôsobom rozčleniť tieto pojmy. 

Ak ste sem prišli, pravdepodobne už poznáte certifikáty servera, pretože je to ten, ktorý ste si kúpili pre svoju webovú stránku.Je to preto, aby sa ikona visiaceho zámku objavila na paneli s adresou URL pred vašou doménou,Tiež to, prečo sa „HTTPS“ zobrazuje vo vašej adrese URL.

Ak kliknete na visiaci zámok zabezpečenej stránky, zobrazia sa vám podrobnosti o certifikáte SSL.Snímky obrazovky nižšie vám poskytnú predstavu o tom, čo vidíte.Napríklad na SectigoStore.com uvidíte názov organizácie, ktorá vydala certifikát.V tomto prípade ide o Rapid Web Services LLC, [USA].

Grafika reťazca certifikátov SSL: Snímka obrazovky visiaceho zámku webovej lokality s informáciami o organizácii pre certifikáty SSL/TLS
Vo vyššie uvedenom príklade snímky obrazovky si všimnete visiaci zámok pred doménou našej webovej lokality.Tento visiaci zámok označuje, že webová lokalita používa zabezpečené šifrované pripojenie.To znamená, že stránka používa certifikát SSL/TLS.

To je to, čo zvyčajne hovoríme, keď hovoríme o certifikátoch SSL/TLS.Ďalšie dva certifikáty v reťazci sú užitočné pri vytváraní dôvery v tieto serverové certifikáty.

Certifikáty SSL vydávajú renomované a dôveryhodné tretie strany nazývané Certifikačné autority, Certifikačné autority alebo CA (skrátene).CA však nevydávajú certifikáty priamo webovým stránkam.Reťazec dôvery alebo reťazec certifikátov tento proces zrýchľuje a zjednodušuje.

Reťaz dôvery je ako strom...

Ilustrácia stromu reprezentujúceho reťazec dôvery v SSL/TLS
Ilustrácia reťaze certifikátov vo forme stromu.Koreň stromu predstavuje koreňové certifikáty, kmeň a vetvy predstavujú prechodné certifikáty a listy predstavujú serverové certifikáty.

Aby ste pochopili, ako tieto certifikáty spolupracujú, predstavte si strom.Strom má korene, kmeň a príslušné vetvy a listy.Reťazec certifikátov sa svojou štruktúrou nelíši od stromu.

Rovnako ako strom, koreňový certifikát je základom, na ktorom sú založené všetky ostatné certifikáty.Rovnako ako strom má veľa vetiev, CA môže vydať viac ako jeden prechodný certifikát z koreňového certifikátu.Rovnaká analógia platí pre listy predstavujúce certifikáty servera.

Veľa sa naučíme, ak budeme pokračovať v skúmaní SSL certifikátov pre túto stránku.Preto kliknite na "certifikát"možnosť, uvidíte vyskakovacie okno, ako je uvedené nižšie:

Súvisiace otázky  Poznámky o zhode HIPAA
SSL Trust Chain Graphic: Snímka obrazovky s informáciami o certifikáte SSL/TLS webovej stránky
Ak chcete zobraziť reťazec certifikátov SSL, musíte najskôr otvoriť okno certifikátu.konvenčnéVaša karta zobrazuje niektoré základné informácie o certifikáte.Ak chcete zobraziť konkrétnejšie informácie, musíte kliknúť na „podrobnosti"Tab. 

Tento obrázok zobrazuje informácie o certifikáte – napríklad účel certifikátu, kto certifikát vydal (Certifikačná autorita), web, ktorý certifikát vydal, a dátum jeho platnosti.

Ak pôjdete ďalej, dostanete sa k podrobnostiam certifikátu, čo vám pomôže pochopiť protokol a algoritmus, ktorý daný certifikát používa.Zobrazuje algoritmus použitý na šifrovanie verejného kľúča a poskytuje aj verejný kľúč stránky.         

Teraz prejdeme k ďalšej časti, certifikačnej ceste.V kontexte tohto článku ide o najdôležitejšiu časť článku s informáciami o certifikáte.Keď kliknete na "cesta k certifikátu“, uvidíte koreňový certifikát, prechodný certifikát a certifikát servera.

Grafika reťazca certifikátov SSL: snímka obrazovky reťazca dôveryhodnosti webovej lokality
Obrázok vyššie ukazujecesta k certifikátusnímka obrazovky z: koreňový certifikát, prechodný certifikát a certifikát servera.

Na obrázku vyššie môžeme vidieť:

  • Koreňový certifikát je " Sectigo (predtým Comodo CA).„Ide o certifikát s vlastným podpisom, ktorý podpisuje sprostredkujúci certifikát CA.
  • Stredný certifikát je " COMODO RSA Extended Validation Security Server CA"."Tento certifikát funguje ako sprostredkovateľ (t.j. man-in-the-middle) medzi koreňovým certifikátom a certifikátom servera.Sprostredkujúci certifikát preto podpisuje certifikát servera vlastným súkromným kľúčom, aby chránil súkromný kľúč koreňového certifikátu.
  • Certifikát servera je " www.sectigostore.com ".Ide o typ certifikátu, ktorý inštalujete na server svojej webovej lokality, často nazývaný certifikát SSL/TLS.
Grafický reťazec dôveryhodnosti znázorňujúci, že koreňový certifikát podpísal prechodný certifikát, ktorý následne podpísal certifikát servera
Tento diagram hierarchie zobrazuje reťazec dôvery v spôsobe, akým jeden certifikát podpisuje ďalší certifikát, počnúc od koreňa až po konečný certifikát SSL.

Keďže listový certifikát je rozvetvený zo strednej vetvy a stredná vetva je rozvetvená z koreňa, predpokladá sa, že strom, ktorý ste si predtým predstavili, je hore nohami.Na obrázku vyššie je v podstate koreň stromu hore a listy sú dole.

Pochopte rôzne časti reťazca certifikátov SSL

Nasledujúci diagram znázorňuje reťazec certifikátov SSL a podrobnosti o podpisovej autorite:

Hierarchický diagram znázorňujúci, ako fungujú a tvoria reťazce certifikátov SSL a
Vývojový diagram zobrazuje tri certifikáty a vzťah medzi nimi.

V tejto časti sa nebudeme len rozkladaťkoreňové a stredné certifikátyrozdiel medzi,a bude tiežzlomiťCertifikát servera.

koreňový certifikát

Koreňový certifikát (nazývaný aj dôveryhodný koreň) je certifikát vydaný priamo certifikačnou autoritou.Na rozdiel od iných certifikátov sú koreňové certifikáty samopodpísané CA.Súkromný kľúč koreňového certifikátu je kľúč používaný na podpisovanie iných certifikátov v hierarchii certifikátov SSL.

Súvisiace otázky  Všetko o spoofingu IP – čo potrebujete vedieť

CA vydávajú iba niekoľko koreňových certifikátov, a preto sú prísne chránené.V praxi sú tieto koreňové certifikáty zvyčajne predinštalované v „trust store“ prehliadača a operačného systému.Koreňový certifikát sa považuje za najdôležitejší v reťazci certifikátov, pretože všetky strany súhlasia s dôverou CA, ktorá vydala koreňový certifikát.Ak je CA, ktorá vydala koreňový certifikát, nedôveryhodná alebo odvolaná (tj už nie je považovaná za dôveryhodnú), celý reťazec sa zrúti.

Na ochranu týchto certifikátov, najmä pokiaľ ide ocertifikát zrušenýprípad, koreňová CA zvyčajne používa prechodnú CA na vloženie určitého priestoru medzi svoj dôveryhodný koreňový certifikát a konečný certifikát servera.Nikdy nevydávajú listový (serverový) certifikát webovej stránky priamo zo svojho koreňového certifikátu, pretože to je príliš riskantné.

Stredný certifikát

Sprostredkujúci certifikát funguje ako vyrovnávacia pamäť medzi koreňovým certifikátom a certifikátom servera koncovej entity.Je podpísaný súkromným kľúčom koreňového certifikátu, ktorý ho vydal.Takto sa vytvára dôvera v prechodné certifikáty.Stredný certifikátEmitentje vydavateľ, ktorý podpísal certifikát SSL/TLS (server), pričomtémaje stránka alebo organizácia, ktorá osvedčuje svoju identitu.

Môže existovať viac ako jeden prechodný certifikát, ale nemôžete mať reťaz certifikátov bez aspoň jedného prechodného certifikátu.

certifikát servera

CA vydáva serverové certifikáty (známe aj ako listové certifikáty) pre domény, ktoré chcú používatelia pokryť.To je to, o čom ľudia hovoria, keď hovoria o certifikátoch SSL/TLS.Po správnom nainštalovaní tohto certifikátu na serverAdresa URL začína naUkáže„HTTPS“ namiesto „HTTP“.HTTPS znamená, že váš web používa bezpečný šifrovací protokol, nie nezabezpečený.V paneli s adresou URL sa pred názvom domény zobrazí aj visiaci zámok.

Ako funguje reťazenie certifikátov?

Reťazec certifikátov v SSL/TLS je známy aj ako reťazec dôvery.Dôvodom je, že keď ktorýkoľvek prehliadač dostane certifikát SSL vašej webovej stránky, musí overiť jeho legitimitu.

Za týmto účelom začne certifikátom servera a potom ho vráti do koreňového certifikátu, aby sa vytvorila dôvera.Použije verejný kľúč certifikátu na zhodu s podpisom a potom rovnakým spôsobom skontroluje verejný kľúč a podpis prechodného certifikátu.Bude to robiť, kým konečne nedosiahne koreňový certifikát, ktorý prehliadač uchováva vo svojom úložisku dôveryhodnosti.

Ak niektorý certifikát v tomto reťazci nemožno overiť, reťaz sa preruší a overenie zlyhá.Prehliadač upozorní používateľa na certifikát.Poznáte tie škaredé správy „nie je zabezpečené“ a „vaše pripojenie nie je súkromné“?

Snímky obrazovky
Príklad správy „Nezabezpečené“ zobrazenej na webovej lokalite s chýbajúcim certifikátom SSL/TLS.

Áno, to je.Preto, aby reťaz dôvery fungovala, je potrebné zabezpečiť, aby sa žiadny článok v tejto reťazi neporušil.

Stále ma počúvaš?Potom môžem ísť o krok ďalej a vysvetliť vám, ako funguje reťazec certifikátov.Potom môžeme diskutovať o technológiách a procesoch, ktoré fungujú v zákulisí – Infraštruktúra verejného kľúča (alebo tiež známa ako PKI).

Súvisiace otázky  Recenzia RusVPN

Ako funguje proces overovania reťazca dôveryhodnosti

Ak budete postupovať podľa bežnej hierarchie, koreňová CA overí prostrednú CA, ktorá následne podpíše certifikát servera.Takže s ohľadom na to, ako ľudia používajú reťazec dôvery na overenie?

Keď používatelia navštívia váš web, server im pošle certifikát.Skontroluje rôzne informácie, ako napríklad:

  • Subjekt, ktorý certifikát vydal a komu bol vydaný.
  • Kedy bol certifikát vydaný a ako dlho je platný.
  • Ak má platný digitálny podpis.
  • Či bol certifikát zrušený.

Na overenie, či je certifikát legitímny, potrebuje overiť reťazec dôvery.Tu sa prehliadač spustí z certifikátu servera a overí všetky certifikáty vrátane koreňového certifikátu.Najbežnejší proces overovania reťazca certifikátov je obrátený.To znamená, že informácie o certifikáte servera sa najprv porovnajú so sprostredkujúcim certifikátom vydávajúceho certifikátu a potom sa sprostredkuje certifikát s koreňovým certifikátom vydávajúceho certifikátu.

Ak sú odhlásené všetky certifikáty a sú dokončené ďalšie procesy potrebné na bezpečné pripojenie, webová lokalita sa načíta so symbolom visiaceho zámku alebo „HTTPS“ v paneli s adresou URL.V opačnom prípade bude vydané varovanie.

Čo je PKI?

Keďže PKI je taká zložitá a podrobná téma, poskytneme vám rýchly prehľad.Infraštruktúra verejného kľúča je zastrešujúci pojem, ktorý popisuje rámec procesov, politík a technológií, ktoré umožňujú bezpečné šifrovanie vo verejných kanáloch.Spolieha sa na kryptografiu s verejným kľúčom, ktorá využíva zložité matematické algoritmy na uľahčenie šifrovania a dešifrovania správ na internete.

Tieto algoritmy sú súčasťou rámca PKI.Algoritmy sa postupom času stali zložitejšími, ako sa technológia vyvíja.

PKI používa páry kľúčov na šifrovanie a dešifrovanie údajov.Typ použitého kľúča závisí od typu šifrovania, ktoré používate.Napríklad symetrické šifrovanie používa jeden kľúč na šifrovanie a dešifrovanie údajov.(To si vyžaduje, aby odosielateľ aj príjemca mali rovnakú kópiu rovnakého kľúča.) Na druhej strane v asymetrickom šifrovaní existujú dva jedinečné (ale matematicky súvisiace) kľúče: verejný kľúč a súkromný kľúč .Údaje sú šifrované verejným kľúčom, ktorý môže použiť ktokoľvek.Na druhej strane, súkromný kľúč dešifruje dáta a musí byť chránený proti úniku dát.

Dva jedinečné, ale matematicky súvisiace kľúče pomáhajú klientom návštevníkov stránok doručovať bezpečné správy bez strachu z neoprávneného prístupu alebo manipulácie s údajmi.(Bežne známy ako útok typu man-in-the-middle alebo MitM.)

záver

Certifikáty SSL/TLS zaisťujú bezpečnosť webovej stránky pomocou zabezpečeného protokolu HTTPS.Reťazec dôvery je rozhodujúci pre implementáciu tohto bezpečnostného protokolu.Vďaka stromovej štruktúre reťazca certifikátov je možné rýchlo a bezpečne vytvoriť spojenie so serverom.Tiež môže ľahko sledovať certifikát späť do jeho pôvodného koreňa, aby zistil, či je legitímny.Je to výhra pre všetkých.  

Zdieľať tento príspevok

Mohlo by Vás tiež zaujímať:

Pridať komentár