Root, междинни и SSL сертификати – о, Боже! Това са термини, които може би сте чували, докато сърфирате онлайн. Но какво представлява Root сертификатът и по какво се различава от другите цифрови сертификати?
Вероятно не мислите съзнателно за целостта на данните, защитата на личните данни и удостоверяването на крайния субект, когато сърфирате в интернет. Но дори когато не мислите за онлайн сигурността, коренните (Root )сертификати и системата SSL го правят.
Когато става въпрос за интернет безопасност, Panda Dome от Panda Security ви помага целенасочено да защитавате личните си данни, докато коренните сертификати непрекъснато проверяват цифровите сертификати и ви предпазват в мрежата.
Какво представлява root сертификатът?
Това е цифров сертификат, който може да се използва за издаване на други сертификати в системата TLS/SSL. Тези сертификати се издават от проверен орган за издаване на сертификати (CA), който е единствената надеждна организация, имаща възможност да издава автентични SSL сертификати.
Понякога наричани “доверен корен”, root сертификатите са в основата на модела на доверие, използван за защита на инфраструктурата на публичния ключ. Те използват частни ключове – подобни на криптирани пароли – за подписване на сертификатите. Този подпис уведомява браузърите, че на сертификата може да се има доверие, което елиминира необходимостта от многократни кръгове на удостоверяване.
Тези сертификати също така се съхраняват в root хранилища на различни устройства. Всяко хранилище за root сертификати съдържа множество предварително изтеглени сертификати, които след това се подписват и изпълняват коренни програми на множество устройства и браузъри.
Верижни корени срещу единични корени
Коренните удостоверения могат да бъдат разделени на два вида :
- Верижни корени: коренови сертификати, включени във верига от сертификати
- Единични корени: коренови сертификати, които не са включени във верига от сертификати
Тези доверени корени имат разлики, включително:
- Как се инсталират
- Тяхната сертификационна стабилност
- Кога и как изтича срокът им на валидност
- Какъв тип подпис получават
И двата типа доверени корени могат да подписват и издават други цифрови сертификати, но верижните корени използват междинни сертификати за подписване на крайни обекти.
Верижен сертификат
Инсталация Ръчна инсталация
Стабилност По-малко стабилна
Доверието може да бъде загубено два пъти – когато изтече валидността на верижния или на основния сертификат
Подпис от междинно удостоверение
Единичен сертификат
Инсталация Автоматична инсталация
Стабилност По-стабилна
Доверието може да бъде загубено веднъж – когато изтече валидността на основния сертификат
Подпис от коренното удостоверение на CA
Какво представлява междинният сертификат?
Междинните сертификати са цифрови сертификати, които често действат като посредник между коренните сертификати и сертификатите на крайните субекти. Много удостоверителни центрове започнаха да позволяват на междинните сертификати да проверяват и удостоверяват заявки, преди да ги свържат с коренен сертификат.
Удостоверяващият орган подписва междинното удостоверение с частен ключ, предавайки по този начин своето доверие. След като междинното удостоверение получи доверието на УО, то може да използва собствения си частен ключ, за да подпише удостоверение на краен субект. По време на този процес може да има повече от едно междинно удостоверение, поставено между доверен коренов орган и крайния субект.
Какво представляват веригите от сертификати?
Веригите от удостоверения са връзките между доверено коренно удостоверение и неговата крайна единица. Коренните удостоверения, междинните удостоверения и крайните обекти могат да бъдат част от верига от удостоверения.
Освен това веригата от удостоверения включва:
- данни за издателя на удостоверението
- настоящи и следващи издатели на удостоверения и субекти
- подписи на удостоверенията
- последно удостоверение – известно като котва на доверие
Веригата от сертификати се активира, когато браузърът се опитва да удостовери валидността на сертификата, което се случва, когато потребителите попаднат на уебстраница. След това веригата следва поредица от стъпки:
- Генерира се заявка за подписване на сертификат (CSR).
- Коренният сертификат създава частен ключ.
- CSR се изпраща на CA.
- Удостоверяващият орган използва частния ключ, за да подпише SSL сертификат.
- Браузърът проверява надеждността на сертификата въз основа на подписа на главния подпис.
Ако е необходимо междинно удостоверение, то първо ще бъде подписано от кореновото удостоверение, преди да може да подпише SSL удостоверение. Този модел на доверие е създаден, за да помогне на браузърите да идентифицират безопасни и надеждни сайтове за потребителите, и ако браузърът не може да идентифицира надеждния корен на веригата, той няма да се довери на сертификата.
Коренни и междинни сертификати: Разликата
Както кореновите, така и междинните сертификати помагат на браузърите да постигнат една и съща цел: проверка и доверие в сертификатите. Тези типове сертификати обаче имат няколко основни разлики.
Стойност
Коренните и междинните сертификати имат различни стойности в рамките на веригата от сертификати. Тъй като работят като посредници, междинните сертификати имат по-ниска стойност във веригата на доверие. Коренните сертификати – на които браузърите се доверяват автоматично – са с по-висока стойност.
Издаване
И кореновите, и междинните сертификати могат да издават SSL сертификати. Междинните сертификати обаче трябва да имат подпис на удостоверение на CA, за да подписват крайни субекти, докато кореновите сертификати могат автоматично да издават други цифрови сертификати.
Име
Когато става въпрос за коренни удостоверения, те са самоподписани – полетата “Issued to” (Издадено от) и “Issued by” (Издадено от) са идентични. Междинните удостоверения са кръстосано подписани, което означава, че имат различни издатели и потребители.
Удостоверителен път
Коренните сертификати се появяват в началото на удостоверителния път на модела на доверие. Те могат да подписват и издават удостоверения – не е необходим посредник. Ако удостоверяващите органи подписват междинни сертификати, те се появяват след коренните сертификати в удостоверителния път, като в един път могат да бъдат включени множество междинни сертификати.
Подписване
За подписване на междинните сертификати кореновите сертификати използват частни ключове. Тези ключове са по-сигурни от единичните ключове, които междинните сертификати използват за подписване на други сертификати, включително сертификати на крайни точки.
Увреждания
Ако междинно удостоверение е повредено, то вече не може да се използва и трябва да бъде премахнато, за да се предотврати по-нататъшно увреждане. Повреждането на коренен сертификат обаче е значително по-опасно, тъй като може да предостави на хакери достъп до цялата система – тези сертификати трябва да се съхраняват офлайн, за да се намали тази възможност.
Изтичане на валидността
Както кореновите, така и междинните сертификати имат периоди на валидиране и изтичане на валидността, но всеки от тях е различен. Периодът на валидиране на кореновото удостоверение може да продължи до 10 или 20 години, докато срокът на валидност на междинното удостоверение е ограничен до една или две години.
Често задавани въпроси
По-долу предоставяме отговори на няколко често срещани въпроса за root сертификатите.
Какво прави коренният сертификат?
Коренните сертификати удостоверяват, че потребителите на софтуер и уебсайтове са тези, за които се представят. Достоверните коренни сертификати са от решаващо значение за процеса на цифрово удостоверяване и онлайн сигурността.
Къде мога да намеря коренното удостоверение?
Намирането на коренния сертификат зависи от това кой браузър използвате, но има няколко общи стъпки.
- Щракнете върху иконата на ключалка до URL адреса в браузъра си.
- Изберете Connection is secure (Връзката е защитена).
- Изберете Certificate is valid (Сертификатът е валиден).
- В изскачащия прозорец проверете издателя, срока на валидност и типа на сертификата в раздела с общи данни и в раздела с подробности.
Необходим ли е root сертификат?
Коренният сертификат е необходим, защото се използва за проверка на автентичността на други междинни сертификати и сертификати на крайни обекти. Без коренен сертификат системата остава незащитена или неизползваема.
Като отговорите на въпроса “Какво представлява коренното удостоверение?” и определите разликите между доверените коренови и междинни удостоверения, можете да разберете как браузърите проверяват действията и заявките. Въпреки че тези сертификати могат да запазят сигурността на информацията ви, първокласните услуги за защита предлагат различни допълнителни функции за онлайн безопасност за вас и вашето семейство.