Chuỗi chứng chỉ SSL chứa nhiều chứng chỉ để giúp thiết lập sự tin cậy với trình duyệt và ứng dụng khách.
Sau đây là kiến thức về các chứng chỉ chuỗi này và cách thức hoạt động của "chuỗi sự tin cậy".
Là chủ sở hữu trang web, bạn biết rằng chứng chỉ SSL / TLS là điều kiện tiên quyết để kinh doanh trực tuyến thành công.Ngoài việc tăng độ tin tưởng và bảo vệ an toàn dữ liệu, nó còn giúp cải thiện thứ hạng trang web của bạn trong mắt Google.Nhưng chứng chỉ SSL sẽ không chạy trong tình trạng sôi sục;Nó là một phần của chuỗi được gọi là chứng chỉ SSL.Chuỗi là một phần không thể thiếu của cơ sở hạ tầng khóa công khai quy mô lớn, giúp thực hiện liên lạc trực tuyến an toàn thông qua mạng Internet không an toàn.
Nhưng chính xác thì một chuỗi chứng chỉ là gì?Tại sao việc xây dựng niềm tin lại quan trọng như vậy?Chúng tôi sẽ chia nhỏ các thành phần khác nhau của chuỗi, quy tắc của chúng là gì và cách chúng hoạt động cùng nhau như một phần của cơ sở hạ tầng khóa công khai lớn hơn.
Chuỗi chứng chỉ SSL là gì?
Vậy, chuỗi chứng chỉ SSL và TLS là gì?Chuỗi chứng chỉ bao gồm chứng chỉ gốc, một hoặc nhiều chứng chỉ trung gian và chứng chỉ máy chủ (lá).Nếu bạn không biết một số trong số chúng là gì, đừng lo lắng.Đây là mục đích của chúng tôi ở đây-để giúp chia nhỏ các thuật ngữ này một cách có ý nghĩa.
Nếu bạn đến đây, bạn có thể đã quen với chứng chỉ máy chủ, vì đây là chứng chỉ bạn đã mua cho trang web.Điều này là để làm cho biểu tượng ổ khóa xuất hiện trong thanh URL trước miền của bạn.Đó cũng là lý do tại sao "HTTPS" được hiển thị trong URL của bạn.
Nếu bạn nhấp vào ổ khóa của trang web an toàn, bạn sẽ thấy thông tin chi tiết của chứng chỉ SSL.Ảnh chụp màn hình dưới đây sẽ cung cấp cho bạn ý tưởng về những gì bạn đang thấy.Ví dụ, trên SectigoStore.com, bạn sẽ thấy tên của tổ chức đã cấp chứng chỉ.Trong trường hợp này, đó là Rapid Web Services LLC, [Hoa Kỳ].
Đây là những gì chúng ta thường nói khi nói về chứng chỉ SSL / TLS.Hai chứng chỉ khác trong chuỗi rất hữu ích trong việc thiết lập niềm tin vào các chứng chỉ máy chủ đó.
Chứng chỉ SSL được cấp bởi một bên thứ ba có uy tín và đáng tin cậy, được gọi là tổ chức phát hành chứng chỉ, tổ chức phát hành chứng chỉ hoặc CA (viết tắt).Tuy nhiên, CA sẽ không trực tiếp cấp chứng chỉ cho trang web.Với chuỗi tin cậy hoặc chuỗi chứng chỉ, quy trình có thể được thực hiện nhanh hơn và dễ dàng hơn.
Chuỗi niềm tin giống như một cây ...
Để hiểu cách các chứng chỉ này hoạt động cùng nhau, hãy tưởng tượng một cái cây.Cây có rễ, có thân và cành, lá tương ứng.Cấu trúc của chuỗi chứng chỉ không khác gì cái cây.
Giống như một cái cây, chứng chỉ gốc là cơ sở dựa trên tất cả các chứng chỉ khác.Giống như một cây có nhiều nhánh, CA có thể cấp nhiều hơn một chứng chỉ trung gian từ chứng chỉ gốc.Tương tự cũng áp dụng cho các lá đại diện cho chứng chỉ máy chủ.
Nếu chúng ta tiếp tục khám phá chứng chỉ SSL của trang web này, chúng ta sẽ học được rất nhiều điều.Do đó, hãy nhấp vào "Giấy chứng nhận"Tùy chọn, bạn sẽ thấy một cửa sổ bật lên, như hình dưới đây:
Hình ảnh này hiển thị cho bạn thông tin về chứng chỉ - chẳng hạn như mục đích của chứng chỉ, người cấp chứng chỉ (cơ quan cấp chứng chỉ), địa điểm cấp chứng chỉ và ngày hết hạn của chứng chỉ.
Hơn nữa, nó sẽ đưa bạn đến thông tin chi tiết của chứng chỉ, điều này sẽ giúp bạn hiểu giao thức và thuật toán được sử dụng bởi chứng chỉ.Nó cho thấy thuật toán được sử dụng để mã hóa khóa công khai và cũng cung cấp khóa công khai của trang web.
Bây giờ, chúng ta chuyển sang phần tiếp theo, con đường chứng nhận.Trong khuôn khổ của bài viết này, đây là phần quan trọng nhất của bài báo thông tin chứng chỉ.Khi bạn nhấp vào "Đường dẫn chứng nhận”, bạn sẽ thấy chứng chỉ gốc, chứng chỉ trung gian và chứng chỉ máy chủ.
Trong hình trên, chúng ta có thể thấy:
- Chứng chỉ gốc là " Sectigo (trước đây là Comodo CA).“Đây là chứng chỉ tự ký tên chứng chỉ CA trung gian.
- Chứng chỉ trung gian là " Máy chủ bảo mật xác thực mở rộng COMODO RSA CA ”."Chứng chỉ đóng vai trò trung gian (tức là người trung gian) giữa chứng chỉ gốc và chứng chỉ máy chủ.Do đó, chứng chỉ trung gian sử dụng khóa riêng của chính nó để ký chứng chỉ máy chủ nhằm bảo vệ khóa riêng của chứng chỉ gốc.
- Chứng chỉ máy chủ là " www.sectigostore.com ".Đây là loại chứng chỉ bạn cài đặt trên máy chủ web, thường được gọi là chứng chỉ SSL / TLS.
Vì chứng chỉ lá xuất phát từ cành giữa và cành giữa phân cành từ gốc, nên giả thiết rằng cây mà bạn mô tả trước đó là cây mọc ngược.Trong ảnh chụp màn hình ở trên, về cơ bản, gốc của cây ở trên cùng và lá ở dưới cùng.
Hiểu các phần khác nhau của chuỗi chứng chỉ SSL
Hình sau minh họa chuỗi chứng chỉ SSL và thông tin chi tiết về cơ quan ký:
Trong phần này, chúng tôi sẽ không chỉ phân tíchChứng chỉ gốc và chứng chỉ trung giansự khác biệt giữa,Và ngoài raphá vỡChứng chỉ máy chủ.
Chứng chỉ gốc
Chứng chỉ gốc (còn được gọi là gốc tin cậy) là chứng chỉ được cấp trực tiếp bởi tổ chức cung cấp dịch vụ chứng thực.Không giống như các chứng chỉ khác, chứng chỉ gốc do CA tự ký.Khóa riêng của chứng chỉ gốc là khóa được sử dụng để ký các chứng chỉ khác trong hệ thống phân cấp chứng chỉ SSL.
CA chỉ phát hành một số chứng chỉ gốc, đó là lý do tại sao chúng được bảo vệ nghiêm ngặt.Trên thực tế, các chứng chỉ gốc này thường được cài đặt sẵn trong "cửa hàng tin cậy" của các trình duyệt và hệ điều hành.Chứng chỉ gốc được coi là quan trọng nhất trong chuỗi chứng chỉ vì tất cả các bên đồng ý tin tưởng CA đã cấp chứng chỉ gốc.Nếu CA đã cấp chứng chỉ gốc không đáng tin cậy hoặc bị thu hồi (tức là không còn được coi là đáng tin cậy nữa), toàn bộ chuỗi sẽ sụp đổ.
Để bảo vệ các chứng chỉ này, đặc biệt là khiChứng chỉ bị thu hồiTình hìnhCA gốc thường sử dụng CA trung gian để đặt một số khoảng trống giữa chứng chỉ gốc đáng tin cậy của nó và chứng chỉ máy chủ cuối cùng.Họ không bao giờ cấp chứng chỉ lá (máy chủ) của trang web trực tiếp từ chứng chỉ gốc của họ, vì làm như vậy là quá rủi ro.
Chứng chỉ Trung cấp
Chứng chỉ trung gian hoạt động như một bộ đệm giữa chứng chỉ gốc và chứng chỉ máy chủ của thực thể cuối.Nó được ký bởi khóa riêng của chứng chỉ gốc đã cấp nó.Đây là cách xác lập độ tin cậy của chứng chỉ trung gian.Chứng chỉ trung cấpNgười phát hànhLà tổ chức phát hành đã ký chứng chỉ SSL / TLS (máy chủ) vàchủ đềLà trang web hoặc tổ chức chứng minh danh tính của mình.
Có thể có nhiều hơn một chứng chỉ trung cấp, nhưng bạn không thể sở hữu chuỗi chứng chỉ mà không có ít nhất một chứng chỉ trung cấp.
Chứng chỉ máy chủ
CA cấp chứng chỉ máy chủ (còn được gọi là chứng chỉ lá) cho miền mà người dùng muốn bao gồm.Mọi người đang nói về những điều này khi họ nói về chứng chỉ SSL / TLS.Sau khi chứng chỉ được cài đặt đúng cách trên máy chủ,URL bắt đầuSẽ hiển thị"HTTPS" thay vì "HTTP".HTTPS có nghĩa là trang web của bạn sử dụng giao thức mã hóa an toàn, không phải giao thức không an toàn.Ngoài ra, một ổ khóa sẽ xuất hiện trước tên miền của bạn trong thanh URL.
Chuỗi chứng chỉ hoạt động như thế nào?
Chuỗi chứng chỉ trong SSL / TLS còn được gọi là chuỗi tin cậy.Lý do đằng sau điều này là khi bất kỳ trình duyệt nào nhận được chứng chỉ SSL của trang web của bạn, trình duyệt đó cần phải xác minh tính hợp pháp của nó.
Để làm điều này, nó sẽ bắt đầu với chứng chỉ máy chủ và sau đó đưa nó trở lại chứng chỉ gốc để thiết lập sự tin cậy.Nó sử dụng khóa công khai của chứng chỉ để khớp với chữ ký, sau đó kiểm tra khóa công khai và chữ ký của chứng chỉ trung gian theo cách tương tự.Nó sẽ tiếp tục làm điều này cho đến khi cuối cùng đạt được chứng chỉ gốc mà trình duyệt lưu trong cửa hàng tin cậy của nó.
Nếu bất kỳ chứng chỉ nào trong chuỗi này không thể được xác minh, chuỗi sẽ bị hỏng và quá trình xác minh sẽ không thành công.Trình duyệt sẽ cảnh báo người dùng về chứng chỉ.Bạn có biết những thông báo xấu xí "không an toàn" và "kết nối của bạn không phải là riêng tư" không?
Vâng, theo cách đó.Vì vậy, để chuỗi ủy thác hoạt động, cần phải đảm bảo rằng không có mắt xích nào trong chuỗi bị gián đoạn.
Bạn vẫn đang nghe tôi nói?Sau đó, tôi có thể tiến thêm một bước và giải thích cho bạn cách hoạt động của chuỗi chứng chỉ.Sau đó, chúng ta có thể thảo luận về công nghệ và quy trình hậu trường-Cơ sở hạ tầng khóa công khai (hoặc PKI).
Cách chuỗi quy trình xác minh niềm tin hoạt động
Nếu hệ thống phân cấp thông thường được tuân theo, CA gốc sẽ xác thực CA trung gian, đến lượt nó sẽ ký chứng chỉ máy chủ.Vì vậy, với suy nghĩ này, làm thế nào để mọi người sử dụng chuỗi tin cậy để xác minh?
Khi người dùng truy cập trang web của bạn, máy chủ sẽ gửi cho nó một chứng chỉ.Nó sẽ kiểm tra các thông tin khác nhau như:
- Thực thể đã cấp chứng chỉ và đối tượng.
- Chứng chỉ được cấp khi nào và thời hạn hiệu lực của nó là bao lâu.
- Nếu nó có chữ ký điện tử hợp lệ.
- Chứng chỉ đã bị thu hồi hay chưa.
Để xác minh rằng chứng chỉ là hợp pháp, nó cần xác minh chuỗi tin cậy.Tại đây, trình duyệt sẽ bắt đầu từ chứng chỉ máy chủ và xác minh tất cả các chứng chỉ, bao gồm cả chứng chỉ gốc.Quy trình xác minh chuỗi chứng chỉ phổ biến nhất bị đảo ngược.Điều này có nghĩa là thông tin của chứng chỉ máy chủ trước tiên phải được kiểm tra với chứng chỉ trung gian của chứng chỉ phát hành, sau đó chứng chỉ trung gian phải được kiểm tra với chứng chỉ gốc của chứng chỉ phát hành.
Nếu tất cả các chứng chỉ đã được kiểm tra và các quy trình khác cần thiết cho kết nối an toàn được hoàn tất, trang web sẽ tải biểu tượng ổ khóa hoặc "HTTPS" trên thanh URL.Nếu không, một cảnh báo sẽ được đưa ra.
PKI là gì?
Vì PKI là một chủ đề phức tạp và chi tiết, chúng tôi sẽ cung cấp cho bạn một cái nhìn tổng quan nhanh chóng tại đây.Cơ sở hạ tầng khóa công khai là một thuật ngữ chung mô tả khuôn khổ của các quy trình, chiến lược và công nghệ giúp mã hóa an toàn trong các kênh công cộng có thể thực hiện được.Nó dựa trên mật mã khóa công khai, sử dụng các thuật toán toán học phức tạp để tạo thuận lợi cho việc mã hóa và giải mã các thông điệp trên Internet.
Các thuật toán này là một phần của khung PKI.Với sự phát triển của công nghệ, các thuật toán ngày càng trở nên phức tạp hơn theo thời gian.
PKI sử dụng các cặp khóa để mã hóa và giải mã dữ liệu.Loại khóa liên quan tùy thuộc vào loại mã hóa bạn sử dụng.Ví dụ, mã hóa đối xứng sử dụng một khóa duy nhất để mã hóa và giải mã dữ liệu.(Điều này yêu cầu cả người gửi và người nhận phải có cùng một bản sao của cùng một khóa.) Mặt khác, trong mã hóa không đối xứng, có hai khóa duy nhất (nhưng có liên quan về mặt toán học): khóa công khai và khóa cá nhân.Bất kỳ ai cũng có thể sử dụng khóa công khai để mã hóa dữ liệu.Mặt khác, khóa riêng sẽ giải mã dữ liệu, dữ liệu này phải được bảo vệ để tránh rò rỉ dữ liệu.
Việc có hai khóa duy nhất nhưng có liên quan đến toán học giúp khách hàng của khách truy cập trang web gửi thông điệp an toàn mà không phải lo lắng về việc truy cập trái phép hoặc thao tác dữ liệu.(Thường được gọi là cuộc tấn công man-in-the-middle hoặc MitM.)
Kết luận
Chứng chỉ SSL / TLS đảm bảo tính bảo mật của trang web bằng cách sử dụng giao thức HTTPS an toàn.Chuỗi tin cậy là điều cần thiết để hiện thực hóa giao thức bảo mật này.Do cấu trúc cây của chuỗi chứng chỉ, bạn có thể thiết lập liên hệ với máy chủ một cách nhanh chóng và an toàn.Hơn nữa, nó có thể dễ dàng theo dõi chứng chỉ trở lại thư mục gốc ban đầu của nó để tìm xem nó có hợp pháp hay không.Đây là một đôi bên cùng có lợi cho tất cả mọi người.
