Ланцюжок SSL-сертифікатів кореневі та проміжні сертифікати

проміжні

Піктограма закритого зеленого замку та префікс https: говорять про захищеність з'єднання. У різних браузерах зашифровані з'єднання відображаються по-різному.

З'єднання за протоколом HTTPS встановлюється за допомогою SSL-сертифіката. Відомості про нього можна отримати, переглянувши його властивості за допомогою браузера. Про те, як це зробити, розказано тут.

Зараз нас цікавить одна з властивостей сертифікату: «Шлях сертифікації».

ssl-сертифікатів

Взагалі, для того, щоб зашифрувати дані, що надсилаються між веб-сервером і браузером відвідувача, достатньо одного сертифіката. А тут їх аж три!

Справа в тому, що при відвідуванні багатьох сайтів, наприклад банків або залізничних кас, ми хочемо бути впевненими не тільки в тому, що наше з'єднання захищене, але й у тому, що ми опинилися на правильному бажаному сайті.

Для посвідчення цього факту одного сертифіката недостатньо. Потрібно, щоб хтось сторонній підтвердив, що для захисту з'єднання використовується сертифікат, випущений саме для цього сайту.

Поручителі

У ролі поручителя-засвідчувача виступає центр сертифікації, який випустив SSL-сертифікат на запит власника сайту.

Сертифікат та сайт, для якого він випущений, засвідчуються електронним цифровим підписом (ЕЦП). Цей підпис, по-перше, вказує, кому належить він сам, а по-друге, фіксує вміст сертифікату, тобто дозволяє перевірити, чи не було його кимось змінено після випуску та підписання.

Нехай хтось «Б» засвідчив особу якогось «А».

проміжні

Проблему можна вважати подоланою, якщо ви знаєте та довіряєте «Б», а що, якщо ні: не знаєте чи не довіряєте.

"Б", у свою чергу, може повідомити, що його знає "В".

УВ принципі, довжина ланцюжка посвідчень не обмежена. Головне, щоб у ній був той, кому ми довіряємо.

Мишу знає Боря, Борю знає Діма, Діму знає Вова, а ось Вову ми знаємо самі. Пам'ятаєте жартівливу теорію про шість рукостискань між двома будь-якими людьми, які одночасно живуть на Землі?

Однак у реальному житті в ланцюжку знайомих між собою людей може довго не бути знайомим особисто нам. Або цей ланцюжок може виявитися занадто довгим. Або вимагати надто багато ресурсів на свою обробку.

Кореневі сертифікати

Історично та технологічно склалося так, що ряд центрів сертифікації отримали найбільше визнання у галузі інформаційних комп'ютерних технологій. Тому було ухвалено узгоджене рішення назвати їхні криптографічні сертифікатикореневимиі завжди довіряти їх електронним цифровим підписам.

Перелік кореневих центрів сертифікації та їх публічних ключів повинен спочатку зберігатися в комп'ютері користувача: в операційній системі, в браузері, в інших програмах, які використовують асиметричне шифрування.

Якщо ланцюжок послідовно підписаних сертифікатів завершує кореневий сертифікат, всі сертифікати, що входять до цього ланцюжка, вважаються підтвердженими.

ланцюжок

У цьому прикладі сертифікати «Б» та «В» називаються проміжними.

Кореневі сертифікати, що знаходяться в комп'ютері користувача, зберігаються у спеціальному контейнері, захищеному від випадкового доступу сторонніх. Тим не менш, можливість поповнювати контейнер новими кореневими сертифікатами є, і в цьому є одне з джерел небезпеки.

При певних зусиллях і наявності доступу до комп'ютера, що атакується, зловмисник може включити до числа кореневих сертифікатів свій і використовувати його для розшифрування данихкористувача.

Кореневим центром сертифікації може бути призначений урядом тієї чи іншої країни або керівництвом корпорації. У цих випадках кореневі центри сертифікації не будуть глобальними, але при цьому вони можуть успішно використовуватися в конкретній країні або в рамках конкретного підприємства.

Зараз перелік кореневих центрів сертифікації в комп'ютері користувача може автоматично змінюватися під час оновлення операційної системи, програмних продуктів або вручну системним адміністратором.

Переглянути локальні списки кореневих сертифікатів можна в налаштуваннях браузерів або операційної системи.

Висновок

Важливо розуміти, що будь-яка система криптографічного захисту даних не може бути заснована лише на технічних та технологічних рішеннях. Вона повинна обов'язково включати і організаційні аспекти.