ห่วงโซ่ใบรับรอง SSL มีใบรับรองหลายใบเพื่อช่วยสร้างความไว้วางใจกับเบราว์เซอร์และไคลเอนต์
ต่อไปนี้เป็นความรู้เกี่ยวกับใบรับรองลูกโซ่เหล่านี้และการทำงานของ "ห่วงโซ่แห่งความไว้วางใจ"
ในฐานะเจ้าของเว็บไซต์ คุณทราบดีว่าใบรับรอง SSL/TLS เป็นข้อกำหนดเบื้องต้นสำหรับธุรกิจออนไลน์ที่ประสบความสำเร็จนอกจากจะเพิ่มความไว้วางใจและปกป้องความปลอดภัยของข้อมูลแล้ว ยังช่วยปรับปรุงการจัดอันดับเว็บไซต์ของคุณในสายตาของ Googleแต่ใบรับรอง SSL จะไม่ทำงานเป็นฟองมันเป็นส่วนหนึ่งของสายโซ่ที่เรียกว่าใบรับรอง SSLห่วงโซ่เป็นส่วนสำคัญของโครงสร้างพื้นฐานกุญแจสาธารณะขนาดใหญ่ ซึ่งทำให้สามารถดำเนินการสื่อสารออนไลน์ที่ปลอดภัยผ่านอินเทอร์เน็ตที่ไม่ปลอดภัยได้
แต่ห่วงโซ่ใบรับรองคืออะไรกันแน่?เหตุใดการสร้างความไว้วางใจจึงมีความสำคัญมากเราจะแยกย่อยส่วนประกอบต่างๆ ของเชน กฎของพวกมันคืออะไร และทำงานร่วมกันอย่างไรในฐานะส่วนหนึ่งของโครงสร้างพื้นฐานคีย์สาธารณะที่ใหญ่ขึ้น
ห่วงโซ่ใบรับรอง SSL คืออะไร?
ดังนั้นห่วงโซ่ใบรับรองของ SSL และ TLS คืออะไร?ห่วงโซ่ใบรับรองประกอบด้วยใบรับรองหลัก ใบรับรองระดับกลางอย่างน้อยหนึ่งรายการ และใบรับรองเซิร์ฟเวอร์ (ใบ)หากคุณไม่รู้ว่าบางส่วนคืออะไร ไม่ต้องกังวลนี่คือจุดประสงค์ของเราที่นี่ เพื่อช่วยแยกย่อยคำศัพท์เหล่านี้อย่างมีความหมาย
หากคุณมาที่นี่ คุณอาจคุ้นเคยกับใบรับรองเซิร์ฟเวอร์อยู่แล้ว เพราะนี่คือใบรับรองที่คุณซื้อสำหรับเว็บไซต์นี่คือการทำให้ไอคอนแม่กุญแจปรากฏในแถบ URL ก่อนโดเมนของคุณนอกจากนี้ยังเป็นสาเหตุที่แสดง "HTTPS" ใน URL ของคุณอีกด้วย.
หากคุณคลิกแม่กุญแจของไซต์ที่ปลอดภัย คุณจะเห็นรายละเอียดของใบรับรอง SSLภาพหน้าจอด้านล่างจะช่วยให้คุณเห็นภาพสิ่งที่คุณเห็นตัวอย่างเช่น ใน SectigoStore.com คุณจะเห็นชื่อองค์กรที่ออกใบรับรองในกรณีนี้คือ Rapid Web Services LLC, [สหรัฐอเมริกา]
นี่คือสิ่งที่เรามักจะพูดเมื่อเราพูดถึงใบรับรอง SSL/TLSใบรับรองอีกสองใบในห่วงโซ่มีประโยชน์ในการสร้างความไว้วางใจในใบรับรองเซิร์ฟเวอร์เหล่านั้น
ใบรับรอง SSL ออกโดยบุคคลที่สามที่มีชื่อเสียงและเชื่อถือได้ ซึ่งเรียกว่าผู้ออกใบรับรอง ผู้ออกใบรับรอง หรือ CA (ตัวย่อ)อย่างไรก็ตาม CA จะไม่ออกใบรับรองให้กับเว็บไซต์โดยตรงด้วยสายโซ่แห่งความไว้วางใจหรือสายใบรับรอง กระบวนการนี้สามารถทำได้เร็วและง่ายขึ้น
สายใยแห่งความไว้ใจก็เหมือนต้นไม้...
เพื่อให้เข้าใจว่าใบรับรองเหล่านี้ทำงานร่วมกันอย่างไร ลองนึกภาพต้นไม้ต้นไม้มีราก ลำต้น กิ่งก้านและใบที่สัมพันธ์กันโครงสร้างของสายใบรับรองไม่แตกต่างจากแผนผัง
เช่นเดียวกับต้นไม้ ใบรับรองหลักเป็นพื้นฐานของใบรับรองอื่นๆ ทั้งหมดเช่นเดียวกับต้นไม้ที่มีหลายสาขา CA อาจออกใบรับรองระดับกลางมากกว่าหนึ่งใบจากใบรับรองหลักการเปรียบเทียบเดียวกันนี้ใช้กับใบที่แสดงใบรับรองเซิร์ฟเวอร์
หากเรายังคงสำรวจใบรับรอง SSL ของเว็บไซต์นี้ต่อไป เราจะได้เรียนรู้มากมายดังนั้น คลิก "ใบรับรอง"ตัวเลือก คุณจะเห็นหน้าต่างป๊อปอัปดังที่แสดงด้านล่าง:
ภาพนี้แสดงข้อมูลเกี่ยวกับใบรับรอง เช่น วัตถุประสงค์ของใบรับรอง บุคคลที่ออกใบรับรอง (ผู้ออกใบรับรอง) ไซต์ที่ออกใบรับรอง และวันหมดอายุ
นอกจากนี้ จะนำคุณไปยังข้อมูลโดยละเอียดของใบรับรอง ซึ่งจะช่วยให้คุณเข้าใจโปรโตคอลและอัลกอริทึมที่ใช้โดยใบรับรองจะแสดงอัลกอริทึมที่ใช้ในการเข้ารหัสคีย์สาธารณะและจัดเตรียมคีย์สาธารณะของไซต์ด้วย
ตอนนี้ เราไปยังส่วนถัดไป เส้นทางการรับรองในบริบทของบทความนี้ นี่คือส่วนที่สำคัญที่สุดของบทความข้อมูลใบรับรองเมื่อคุณคลิก "เส้นทางการรับรอง" คุณจะเห็นใบรับรองหลัก ใบรับรองระดับกลาง และใบรับรองเซิร์ฟเวอร์
ในภาพด้านบนเราจะเห็น:
- ใบรับรองหลักคือ " Sectigo (เดิมชื่อ Comodo CA)"นี่คือใบรับรองที่ลงนามเองซึ่งลงนามในใบรับรอง CA ระดับกลาง
- ใบรับรองระดับกลางคือ " COMODO RSA ขยายเซิร์ฟเวอร์ความปลอดภัยการรับรองความถูกต้อง CA""ใบรับรองทำหน้าที่เป็นตัวกลาง (เช่น คนกลาง) ระหว่างใบรับรองหลักและใบรับรองเซิร์ฟเวอร์ดังนั้น ใบรับรองระดับกลางจึงใช้ไพรเวตคีย์ของตัวเองเพื่อลงนามในใบรับรองเซิร์ฟเวอร์เพื่อปกป้องคีย์ส่วนตัวของใบรับรองหลัก
- ใบรับรองเซิร์ฟเวอร์คือ " www.secigostore.com "นี่คือประเภทของใบรับรองที่คุณติดตั้งบนเว็บเซิร์ฟเวอร์ ซึ่งปกติจะเรียกว่าใบรับรอง SSL/TLS
เนื่องจากใบประกาศนียบัตรมาจากกิ่งกลาง และกิ่งกลางมาจากราก จึงถือว่าต้นไม้ที่คุณอธิบายไว้ก่อนหน้านี้กลับหัวกลับหางในภาพหน้าจอด้านบน โดยพื้นฐานแล้ว รากของต้นไม้จะอยู่ที่ด้านบนสุดและใบจะอยู่ด้านล่าง
ทำความเข้าใจส่วนต่างๆ ของห่วงโซ่ใบรับรอง SSL
รูปภาพต่อไปนี้แสดงห่วงโซ่ใบรับรอง SSL และข้อมูลโดยละเอียดเกี่ยวกับผู้มีอำนาจลงนาม:
ในส่วนนี้ เราจะไม่เพียงแค่ย่อยสลายใบรับรองหลักและใบรับรองระดับกลางความแตกต่างระหว่าง,และนอกจากนี้ยังมีชำรุดใบรับรองเซิร์ฟเวอร์
ใบรับรองหลัก
ใบรับรองหลัก (เรียกอีกอย่างว่ารูทที่เชื่อถือได้) เป็นใบรับรองที่ออกโดยผู้ออกใบรับรองโดยตรงใบรับรองหลักต่างจากใบรับรองอื่นๆ ตรงที่ CA เป็นผู้ลงนามเองไพรเวตคีย์ของใบรับรองรูทคือคีย์ที่ใช้เซ็นใบรับรองอื่นๆ ในลำดับชั้นใบรับรอง SSL
CA ออกใบรับรองรูทเพียงไม่กี่ใบเท่านั้น ซึ่งเป็นเหตุว่าทำไมใบรับรองเหล่านี้จึงได้รับการปกป้องอย่างเข้มงวดที่จริงแล้ว ใบรับรองหลักเหล่านี้มักจะติดตั้งไว้ล่วงหน้าใน "ที่เก็บความเชื่อถือ" ของเบราว์เซอร์และระบบปฏิบัติการใบรับรองหลักถือเป็นสิ่งที่สำคัญที่สุดในสายใบรับรอง เนื่องจากทุกฝ่ายตกลงที่จะเชื่อถือ CA ที่ออกใบรับรองหลักหาก CA ที่ออกใบรับรองหลักนั้นไม่น่าเชื่อถือหรือถูกเพิกถอน (กล่าวคือ ไม่ถือว่าเชื่อถือได้อีกต่อไป) ห่วงโซ่ทั้งหมดจะล่มสลาย
เพื่อปกป้องใบรับรองเหล่านี้ โดยเฉพาะอย่างยิ่งเมื่อพูดถึงใบรับรองถูกเพิกถอนสถานการณ์โดยทั่วไปแล้ว root CA จะใช้ CA ระดับกลางเพื่อวางช่องว่างระหว่างใบรับรองหลักที่เชื่อถือได้และใบรับรองเซิร์ฟเวอร์ขั้นสุดท้ายพวกเขาไม่เคยออกใบรับรองลีฟ (เซิร์ฟเวอร์) ของเว็บไซต์โดยตรงจากใบรับรองหลัก เนื่องจากการทำเช่นนั้นมีความเสี่ยงมากเกินไป
ใบรับรองระดับกลาง
ใบรับรองระดับกลางทำหน้าที่เป็นบัฟเฟอร์ระหว่างใบรับรองหลักและใบรับรองเซิร์ฟเวอร์ของเอนทิตีปลายทางมีการลงนามโดยคีย์ส่วนตัวของใบรับรองหลักที่ออกให้นี่คือวิธีการสร้างความน่าเชื่อถือของใบรับรองระดับกลางใบรับรองระดับกลางผู้ออกเป็นผู้ออกใบรับรองที่ลงนามในใบรับรอง SSL/TLS (เซิร์ฟเวอร์) และ主题เป็นเว็บไซต์หรือองค์กรที่พิสูจน์ตัวตน
มีใบรับรองระดับกลางได้มากกว่าหนึ่งใบรับรอง แต่คุณไม่สามารถเป็นเจ้าของกลุ่มใบรับรองได้หากไม่มีใบรับรองระดับกลางอย่างน้อยหนึ่งรายการ
ใบรับรองเซิร์ฟเวอร์
CA ออกใบรับรองเซิร์ฟเวอร์ (หรือที่เรียกว่าใบใบรับรอง) ให้กับโดเมนที่ผู้ใช้ต้องการครอบคลุมผู้คนพูดถึงสิ่งเหล่านี้เมื่อพวกเขาพูดถึงใบรับรอง SSL/TLSหลังจากติดตั้งใบรับรองอย่างถูกต้องบนเซิร์ฟเวอร์แล้วURL เริ่มต้นจะแสดง"HTTPS" แทน "HTTP".HTTPS หมายความว่าไซต์ของคุณใช้โปรโตคอลการเข้ารหัสที่ปลอดภัย ไม่ใช่โปรโตคอลที่ไม่ปลอดภัยนอกจากนี้ แม่กุญแจจะปรากฏขึ้นก่อนชื่อโดเมนของคุณในแถบ URL
ห่วงโซ่ใบรับรองทำงานอย่างไร
ห่วงโซ่ใบรับรองใน SSL/TLS เรียกอีกอย่างว่าห่วงโซ่ความไว้วางใจเหตุผลเบื้องหลังคือเมื่อเบราว์เซอร์ใดๆ ได้รับใบรับรอง SSL ของเว็บไซต์ของคุณ เบราว์เซอร์จะต้องตรวจสอบความถูกต้องของเบราว์เซอร์
การทำเช่นนี้จะเริ่มต้นด้วยใบรับรองเซิร์ฟเวอร์แล้วส่งกลับไปยังใบรับรองหลักเพื่อสร้างความเชื่อถือใช้คีย์สาธารณะของใบรับรองเพื่อให้ตรงกับลายเซ็น จากนั้นตรวจสอบคีย์สาธารณะและลายเซ็นของใบรับรองระดับกลางในลักษณะเดียวกันจะทำสิ่งนี้ต่อไปจนกว่าจะถึงใบรับรองหลักที่เบราว์เซอร์บันทึกไว้ในร้านค้าที่เชื่อถือได้
หากไม่สามารถตรวจสอบใบรับรองใดๆ ในสายนี้ ห่วงโซ่จะขาดและการตรวจสอบจะล้มเหลวเบราว์เซอร์จะเตือนผู้ใช้เกี่ยวกับใบรับรองคุณรู้หรือไม่ว่าข้อความ "ไม่ปลอดภัย" และ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" ที่น่าเกลียดเหล่านี้?
ใช่ ทางนั้นดังนั้นเพื่อให้สายโซ่แห่งความไว้วางใจทำงานได้ต้องแน่ใจว่าไม่มีการเชื่อมโยงในห่วงโซ่ถูกขัดจังหวะ
คุณยังฟังฉันอยู่ไหมจากนั้นฉันจะสามารถก้าวไปอีกขั้นและอธิบายให้คุณทราบถึงวิธีการทำงานของสายใบรับรองหลังจากนั้น เราสามารถพูดคุยเกี่ยวกับเทคโนโลยีและกระบวนการเบื้องหลัง - Public Key Infrastructure (หรือ PKI)
กระบวนการตรวจสอบความเชื่อถือลูกโซ่ทำงานอย่างไร
หากปฏิบัติตามลำดับชั้นแบบเดิม รูท CA จะตรวจสอบสิทธิ์ CA ระดับกลาง ซึ่งจะลงนามในใบรับรองเซิร์ฟเวอร์ดังนั้น เมื่อคำนึงถึงสิ่งนี้ ผู้คนจะใช้ห่วงโซ่แห่งความไว้วางใจในการตรวจสอบได้อย่างไร
เมื่อผู้ใช้เยี่ยมชมเว็บไซต์ของคุณ เซิร์ฟเวอร์จะส่งใบรับรองให้โดยจะตรวจสอบข้อมูลต่างๆ เช่น
- นิติบุคคลที่ออกใบรับรองและวัตถุ
- ใบรับรองออกเมื่อใดและมีอายุเท่าใด
- หากมีลายเซ็นดิจิทัลที่ถูกต้อง
- ใบรับรองถูกเพิกถอนหรือไม่
ในการตรวจสอบว่าใบรับรองถูกต้องหรือไม่ จำเป็นต้องตรวจสอบห่วงโซ่แห่งความไว้วางใจที่นี่ เบราว์เซอร์จะเริ่มต้นจากใบรับรองเซิร์ฟเวอร์และตรวจสอบใบรับรองทั้งหมด รวมถึงใบรับรองหลักด้วยกระบวนการตรวจสอบห่วงโซ่ใบรับรองที่พบบ่อยที่สุดจะถูกย้อนกลับซึ่งหมายความว่าต้องตรวจสอบข้อมูลของใบรับรองเซิร์ฟเวอร์กับใบรับรองระดับกลางของใบรับรองที่ออกก่อน จากนั้นจึงตรวจสอบใบรับรองระดับกลางกับใบรับรองหลักของใบรับรองที่ออก
หากตรวจสอบใบรับรองทั้งหมดแล้ว และกระบวนการอื่นๆ ที่จำเป็นสำหรับการเชื่อมต่อที่ปลอดภัยเสร็จสมบูรณ์ เว็บไซต์จะโหลดสัญลักษณ์แม่กุญแจหรือ "HTTPS" ในแถบ URLมิฉะนั้นจะมีการออกคำเตือน
PKI คืออะไร?
เนื่องจาก PKI เป็นเรื่องที่ซับซ้อนและมีรายละเอียดมาก เราจึงนำเสนอภาพรวมคร่าวๆ ให้คุณที่นี่โครงสร้างพื้นฐานของกุญแจสาธารณะเป็นคำทั่วไปที่อธิบายกรอบของกระบวนการ กลยุทธ์ และเทคโนโลยีที่ทำให้การเข้ารหัสที่ปลอดภัยในช่องทางสาธารณะเป็นไปได้โดยอาศัยการเข้ารหัสคีย์สาธารณะ ซึ่งใช้อัลกอริธึมทางคณิตศาสตร์ที่ซับซ้อนเพื่ออำนวยความสะดวกในการเข้ารหัสและถอดรหัสข้อความบนอินเทอร์เน็ต
อัลกอริทึมเหล่านี้เป็นส่วนหนึ่งของกรอบงาน PKIด้วยการพัฒนาเทคโนโลยี อัลกอริธึมมีความซับซ้อนมากขึ้นเรื่อยๆ เมื่อเวลาผ่านไป
PKI ใช้คู่คีย์เพื่อเข้ารหัสและถอดรหัสข้อมูลประเภทของคีย์ที่เกี่ยวข้องขึ้นอยู่กับประเภทของการเข้ารหัสที่คุณใช้ตัวอย่างเช่น การเข้ารหัสแบบสมมาตรใช้คีย์เดียวในการเข้ารหัสและถอดรหัสข้อมูล(ซึ่งกำหนดให้ทั้งผู้ส่งและผู้รับต้องมีสำเนาของคีย์เดียวกัน) ในทางกลับกัน ในการเข้ารหัสแบบอสมมาตร มีคีย์ที่ไม่ซ้ำกันสองคีย์ (แต่เกี่ยวข้องกับคณิตศาสตร์): คีย์สาธารณะและคีย์ส่วนตัวทุกคนสามารถใช้กุญแจสาธารณะเพื่อเข้ารหัสข้อมูลได้ในทางกลับกัน คีย์ส่วนตัวจะถอดรหัสข้อมูล ซึ่งจะต้องได้รับการปกป้องเพื่อป้องกันการรั่วไหลของข้อมูล
การมีคีย์ที่ไม่ซ้ำกันแต่เกี่ยวข้องกันทางคณิตศาสตร์สองคีย์ช่วยให้ลูกค้าของผู้เยี่ยมชมไซต์สามารถส่งข้อความที่ปลอดภัยโดยไม่ต้องกังวลเกี่ยวกับการเข้าถึงโดยไม่ได้รับอนุญาตหรือการจัดการข้อมูล(มักเรียกว่าการโจมตีแบบคนกลาง หรือ MitM.)
ข้อสรุป
ใบรับรอง SSL/TLS ช่วยรับรองความปลอดภัยของเว็บไซต์โดยใช้โปรโตคอล HTTPS ที่ปลอดภัยห่วงโซ่แห่งความไว้วางใจเป็นสิ่งสำคัญในการทำให้โปรโตคอลความปลอดภัยนี้เป็นจริงเนื่องจากโครงสร้างแบบทรีของสายใบรับรอง คุณจึงติดต่อกับเซิร์ฟเวอร์ได้อย่างรวดเร็วและปลอดภัยนอกจากนี้ ยังสามารถติดตามใบรับรองกลับไปยังไดเร็กทอรีรากเดิมได้อย่างง่ายดายเพื่อดูว่าถูกกฎหมายหรือไม่นี่เป็นสถานการณ์แบบ win-win สำหรับทุกคน
