Një zinxhir certifikatash SSL përmban certifikata të shumta që ndihmojnë në ndërtimin e besimit me shfletuesit dhe klientët.
Ja çfarë duhet të dini për këto certifikata zinxhiri dhe se si funksionojnë "zinxhirët e besimit".
Si pronar i faqes në internet, ju e dini se një certifikatë SSL/TLS është një domosdoshmëri për një biznes të suksesshëm në internet.Përveç rritjes së besimit dhe mbajtjes së të dhënave të sigurta, ai gjithashtu ndihmon në përmirësimin e renditjes së faqes suaj të internetit në sytë e Google.Por certifikata SSL nuk do të funksionojë në flluska;Është pjesë e një zinxhiri të quajtur certifikatë SSL.Zinxhiri është një pjesë integrale e infrastrukturës së madhe të çelësit publik që mundëson komunikim të sigurt në internet përmes internetit të pasigurt.
Por çfarë është saktësisht një zinxhir certifikatash?Pse është kaq e rëndësishme ndërtimi i besimit?Ne do të zbërthejmë komponentët e ndryshëm të zinxhirit, cilat janë rregullat e tyre dhe si funksionojnë së bashku si pjesë e një infrastrukture më të madhe të çelësit publik.
Çfarë është një zinxhir certifikate SSL?
Pra, cilat janë zinxhirët e certifikatës për SSL dhe TLS?Një zinxhir certifikate përfshin një certifikatë rrënjësore, një ose më shumë certifikata të ndërmjetme dhe një certifikatë serveri (fletë).Nëse nuk e dini se cilat janë disa prej tyre, mos u shqetësoni.Kjo është ajo për të cilën ne jemi këtu - për të ndihmuar në zbërthimin e këtyre termave në një mënyrë kuptimplote.
Nëse keni ardhur këtu, me siguri tashmë jeni njohur me certifikatat e serverit, pasi kjo është ajo që keni blerë për faqen tuaj të internetit.Kjo është për të bërë që ikona e drynit të shfaqet në shiritin e URL-së përpara domenit tuaj,Gjithashtu ajo që e bën "HTTPS" të shfaqet në URL-në tuaj.
Nëse klikoni në dryn e një faqeje të sigurt, do të shihni detajet e certifikatës SSL.Pamjet e mëposhtme të ekranit do t'ju japin një ide të asaj që po shihni.Për shembull, në SectigoStore.com do të shihni emrin e organizatës që ka lëshuar certifikatën.Në këtë rast, është Rapid Web Services LLC, [SHBA].
Kjo është ajo që ne zakonisht themi kur flasim për certifikatat SSL/TLS.Dy certifikatat e tjera në zinxhir janë të dobishme për të krijuar besim në ato certifikata të serverit.
Certifikatat SSL lëshohen nga palë të treta me reputacion dhe të besueshëm të quajtur Autoritetet e Certifikatës, Autoritetet e Certifikatës ose CA (shkurtimisht).Megjithatë, AK-të nuk lëshojnë drejtpërdrejt certifikata në faqet e internetit.Pasja e një zinxhiri besimi ose zinxhiri certifikate e bën procesin më të shpejtë dhe më të lehtë.
Një zinxhir besimi është si një pemë...
Për të kuptuar se si këto certifikata funksionojnë së bashku, imagjinoni një pemë.Një pemë ka rrënjë, një trung dhe degët e tij përkatëse dhe gjethe.Një zinxhir certifikate nuk është i ndryshëm në strukturë nga një pemë.
Ashtu si një pemë, certifikata rrënjë është baza mbi të cilën bazohen të gjitha certifikatat e tjera.Ashtu si një pemë ka shumë degë, një CA mund të lëshojë më shumë se një certifikatë të ndërmjetme nga një certifikatë rrënjësore.E njëjta analogji vlen edhe për fletët që përfaqësojnë certifikatat e serverit.
Do të mësojmë shumë nëse vazhdojmë të eksplorojmë certifikatat SSL për këtë faqe.Prandaj, klikoni "Certifikata"opsion, do të shihni një dritare që shfaqet siç tregohet më poshtë:
Ky imazh ju tregon informacione rreth certifikatës - si p.sh. qëllimi i certifikatës, kush e ka lëshuar certifikatën (Autoriteti i Certifikatës), siti që ka lëshuar certifikatën dhe datën e vlefshmërisë së saj.
Shkuarja më tej do t'ju çojë në detajet e certifikatës, të cilat do t'ju ndihmojnë të kuptoni protokollin dhe algoritmin e përdorur nga ajo certifikatë.Ai tregon algoritmin e përdorur për të kriptuar çelësin publik, dhe gjithashtu siguron çelësin publik të faqes.
Tani kalojmë në pjesën tjetër, rrugën e certifikimit.Në kontekstin e këtij neni, kjo është pjesa më e rëndësishme e artikullit të informacionit të certifikatës.Kur klikoni "rrugën e certifikatës", do të shihni certifikatën rrënjë, certifikatën e ndërmjetme dhe certifikatën e serverit.
Në imazhin e mësipërm, ne mund të shohim:
- Certifikata rrënjësore është " Sectigo (ish Comodo CA).“Kjo është një certifikatë e vetë-nënshkruar që nënshkruan një certifikatë të ndërmjetme AK.
- Certifikata e ndërmjetme është " Serveri i Sigurisë së Zgjeruar të Validimit të COMODO RSA CA"."Kjo certifikatë vepron si një ndërmjetës (d.m.th. njeriu në mes) midis certifikatës rrënjësore dhe certifikatës së serverit.Prandaj, certifikata e ndërmjetme nënshkruan certifikatën e serverit me çelësin e vet privat për të mbrojtur çelësin privat të certifikatës rrënjësore.
- Certifikata e serverit është " www.sectigostore.com ".Ky është lloji i certifikatës që instaloni në serverin tuaj të faqes së internetit, që shpesh quhet certifikatë SSL/TLS.
Meqenëse certifikatat e gjetheve janë të degëzuara nga dega e mesme dhe dega e mesme është e degëzuar nga rrënja, supozohet se pema që keni paraqitur më parë është me kokë poshtë.Në pamjen e mësipërme të ekranit, në thelb, rrënja e pemës është në krye dhe gjethet janë në fund.
Kuptoni pjesët e ndryshme të zinxhirit të certifikatave SSL
Diagrami i mëposhtëm ilustron zinxhirin e certifikatës SSL dhe detaje rreth autoritetit nënshkrues:
Në këtë seksion, ne jo vetëm që do të zbërthehemicertifikatat rrënjë dhe të ndërmjetmedallimi mes,dhe gjithashtu doThyejCertifikata e serverit.
certifikatë rrënjësore
Një certifikatë rrënjësore (e quajtur edhe një rrënjë e besuar) është një certifikatë e lëshuar drejtpërdrejt nga një autoritet certifikues.Ndryshe nga certifikatat e tjera, certifikatat rrënjësore nënshkruhen vetë nga AK.Çelësi privat i certifikatës rrënjësore është çelësi që përdoret për të nënshkruar certifikata të tjera në hierarkinë e certifikatës SSL.
CA-të lëshojnë vetëm disa certifikata rrënjësore, kjo është arsyeja pse ato mbrohen rreptësisht.Në praktikë, këto certifikata rrënjë zakonisht instalohen paraprakisht në "magazinën e besimit" të shfletuesit dhe sistemit operativ.Certifikata rrënjësore konsiderohet më e rëndësishmja në zinxhirin e certifikatave sepse të gjitha palët bien dakord t'i besojnë AK-së që ka lëshuar certifikatën rrënjësore.Nëse AK-ja që ka lëshuar certifikatën rrënjësore është e pabesueshme ose revokohet (dmth., nuk konsiderohet më e besueshme), i gjithë zinxhiri do të prishet.
Për të mbrojtur këto certifikata, veçanërisht kur bëhet fjalë përcertifikata e revokuarrast, CA rrënjë zakonisht përdor një CA të ndërmjetme për të vendosur pak hapësirë midis certifikatës së saj të besuar rrënjësore dhe certifikatës përfundimtare të serverit.Ata kurrë nuk lëshojnë certifikatën e një faqeje (server) direkt nga certifikata e tyre rrënjë, sepse ta bësh këtë është shumë e rrezikshme.
Certifikatë e ndërmjetme
Certifikata e ndërmjetme vepron si një bufer midis certifikatës rrënjësore dhe certifikatës së serverit të entitetit përfundimtar.Ai nënshkruhet nga çelësi privat i certifikatës rrënjësore që e ka lëshuar atë.Kështu krijohet besimi në certifikatat e ndërmjetme.Certifikatë e ndërmjetmeLëshuesiështë lëshuesi që ka nënshkruar certifikatën SSL/TLS (server), ndërsatemëështë faqja ose organizata që vërteton identitetin e saj.
Mund të ketë më shumë se një certifikatë të ndërmjetme, por nuk mund të keni një zinxhir certifikatash pa të paktën një certifikatë të ndërmjetme.
certifikatën e serverit
CA lëshon certifikata serveri (të njohura gjithashtu si certifikata fletë) për domenet që përdoruesit duan të mbulojnë.Kjo është ajo për të cilën njerëzit flasin kur flasin për certifikatat SSL/TLS.Pasi kjo certifikatë të jetë instaluar siç duhet në server,URL-ja fillon meDo te shfaqet"HTTPS" në vend të "HTTP".HTTPS do të thotë që faqja juaj po përdor një protokoll të sigurt enkriptimi, jo një të pasigurt.Gjithashtu, një dry do të shfaqet përpara emrit të domenit tuaj në shiritin URL.
Si funksionon zinxhiri i certifikatave?
Zinxhiri i certifikatave në SSL/TLS njihet gjithashtu si zinxhiri i besimit.Arsyeja pas kësaj është se kur ndonjë shfletues merr certifikatën SSL të faqes suaj të internetit, ai duhet të verifikojë legjitimitetin e tij.
Për ta bërë këtë, ai do të fillojë me certifikatën e serverit dhe më pas do ta kthejë atë në certifikatën rrënjë për të krijuar besim.Ai përdor çelësin publik të certifikatës për të përputhur me nënshkrimin dhe më pas kontrollon çelësin publik dhe nënshkrimin e certifikatës së ndërmjetme në të njëjtën mënyrë.Ai do të vazhdojë ta bëjë këtë derisa të arrijë më në fund certifikatën rrënjë që shfletuesi ruan në dyqanin e tij të besuar.
Nëse ndonjë certifikatë në këtë zinxhir nuk mund të verifikohet, zinxhiri do të prishet dhe verifikimi do të dështojë.Shfletuesi do të paralajmërojë përdoruesin për certifikatën.I njihni ato mesazhe të shëmtuara "jo të sigurta" dhe "lidhja juaj nuk është private"?
Po, kjo është.Prandaj, që një zinxhir besimi të funksionojë, duhet të sigurohet që asnjë hallkë në atë zinxhir të mos prishet.
A po më dëgjon akoma?Pastaj mund të shkoj një hap më tej dhe t'ju shpjegoj se si funksionon zinxhiri i certifikatave.Pas kësaj, ne mund të diskutojmë teknologjitë dhe proceset që funksionojnë prapa skenave - Infrastruktura e çelësit publik (ose e njohur edhe si PKI).
Si funksionon procesi i verifikimit të zinxhirit të besimit
Nëse ndiqni hierarkinë e rregullt, CA rrënjë do të vërtetojë CA-në e ndërmjetme, e cila nga ana tjetër do të nënshkruajë certifikatën e serverit.Pra, me këtë në mendje, si e përdorin njerëzit një zinxhir besimi për verifikim?
Kur përdoruesit vizitojnë faqen tuaj të internetit, serveri do t'u dërgojë atyre një certifikatë.Ai do të kontrollojë informacione të ndryshme si:
- Subjekti që ka lëshuar certifikatën dhe të cilit i është lëshuar.
- Kur është lëshuar certifikata dhe sa kohë është e vlefshme.
- Nëse ka një nënshkrim dixhital të vlefshëm.
- Nëse certifikata është revokuar.
Për të verifikuar që certifikata është legjitime, ajo duhet të verifikojë zinxhirin e besimit.Këtu, shfletuesi do të fillojë nga certifikata e serverit dhe do të verifikojë të gjitha certifikatat, duke përfshirë certifikatën rrënjë.Procesi më i zakonshëm i verifikimit të zinxhirit të certifikatave është i kundërt.Kjo do të thotë që informacioni i certifikatës së serverit kontrollohet fillimisht kundrejt certifikatës së ndërmjetme të certifikatës lëshuese, dhe më pas certifikata e ndërmjetme kontrollohet kundrejt certifikatës rrënjësore të certifikatës lëshuese.
Nëse të gjitha certifikatat janë kontrolluar dhe proceset e tjera të kërkuara për një lidhje të sigurt janë përfunduar, faqja e internetit do të ngarkohet me një simbol të drynit ose "HTTPS" në shiritin e URL-së.Përndryshe, do të lëshohet një paralajmërim.
Çfarë është PKI?
Meqenëse PKI është një temë kaq komplekse dhe e detajuar, ne do t'ju japim një përmbledhje të shpejtë këtu.Infrastruktura e çelësit publik është një term ombrellë që përshkruan një kornizë procesesh, politikash dhe teknologjish që bëjnë të mundur enkriptimin e sigurt në kanalet publike.Ai mbështetet në kriptografinë me çelës publik, i cili përdor algoritme komplekse matematikore për të lehtësuar enkriptimin dhe deshifrimin e mesazheve në internet.
Këto algoritme janë pjesë e kornizës PKI.Algoritmet janë bërë më komplekse me kalimin e kohës me zhvillimin e teknologjisë.
PKI përdor çiftet e çelësave për të kriptuar dhe deshifruar të dhënat.Lloji i çelësit të përfshirë varet nga lloji i enkriptimit që përdorni.Për shembull, kriptimi simetrik përdor një çelës të vetëm për të kriptuar dhe deshifruar të dhënat.(Kjo kërkon që edhe dërguesi edhe marrësi të kenë të njëjtën kopje të të njëjtit çelës.) Në enkriptimin asimetrik, nga ana tjetër, ekzistojnë dy çelësa unikë (por të lidhur matematikisht): çelësi publik dhe çelësi privat.Të dhënat janë të koduara me një çelës publik që çdokush mund ta përdorë.Nga ana tjetër, çelësi privat deshifron të dhënat dhe duhet të mbrohet nga rrjedhja e të dhënave.
Të kesh dy çelësa unikë, por të lidhur matematikisht, i ndihmon klientët e vizitorëve të faqes të japin mesazhe të sigurta pa frikë nga aksesi i paautorizuar ose manipulimi i të dhënave.(Zakonisht i njohur si një sulm njeri në mes ose MitM.)
përfundim
Certifikatat SSL/TLS sigurojnë sigurinë e një faqe interneti duke përdorur protokollin e sigurt HTTPS.Një zinxhir besimi është thelbësor për zbatimin e këtij protokolli sigurie.Falë strukturës së ngjashme me pemën e zinxhirit të certifikatave, lidhja me serverin mund të vendoset shpejt dhe në mënyrë të sigurt.Gjithashtu, mund ta gjurmojë me lehtësi certifikatën në rrënjën e saj origjinale për të parë nëse është e ligjshme.Është një fitore e favorshme për të gjithë.
