آن گواهینامه SSL کاربر نهایی تنها بخشی از زنجیره گواهینامه است.

بگذارید چند دقیقه در مورد گواهی های CA واسطه ای و ریشه ای صحبت کنیم. SSL (یا دقیق تر TLS) فناوری است که بیشتر کاربران نهایی از آن چیزی کم و بیش می دانند. حتی افرادی که به طور معمول آن را دریافت می کنند چیزی فراتر از این واقعیت ندارند که به گواهینامه SSL احتیاج دارند و باید آن را بر روی سرور خود نصب کنند تا از طریق HTTPS به وب سایت خود سرویس دهند.

به همین دلیل است که وقتی شما شروع به ذکر گواهینامه های میانی و CA می کنید. گواهینامه های ریشه و CA بسیاری از افراد نگاه خود را به لعاب می اندازند ، و این موضوع را به موضوعی تبدیل می کند که احتمالاً باید در اولین روز از آن دور شوید (زنجیره های گواهی بیشتر مربوط به مکالمه تاریخ چهارم یا پنجم است).

اما با توجه به اینکه SSL مهربان است. از چیز ما ، و به دلیل اینکه سوالات زیادی در مورد آنها سؤال می شود ، امروز می خواهیم به زنجیره های گواهی نامه ، واسطه ها و ریشه ها بپردازیم. ممکن است در ابتدا خیلی زیاد به نظر برسد ، اما امیدوارم تا پایان این مقاله خیلی ساده به نظر برسد.

بنابراین بدون آزار بیشتر ، بیایید آنرا بیرون بیاوریم.

برنامه ریشه چیست؟

ریشه گواهی ، که غالباً یک ریشه قابل اعتماد نامیده می شود ، در مرکز مدل اعتماد است که زیرساخت های کلید عمومی را تحت تأثیر قرار می دهد ، و با SSL / TLS. بیایید با بحث درباره برنامه های اصلی شروع کنیم و راه خود را از آنجا شروع کنیم.

هر دستگاه شامل چیزی به نام فروشگاه ریشه است. فروشگاه ریشه مجموعه ای از گواهینامه های ریشه شده از قبل بارگیری شده (و کلیدهای عمومی آنها) است که در خود دستگاه زندگی می کنند. به طور کلی ، دستگاه از هر نوع root root بومی سیستم عامل خود استفاده می کند ، در غیر این صورت ممکن است از طریق برنامه ای مانند مرورگر وب از یک فروشگاه root شخص ثالث استفاده کند. چندین برنامه اصلی یادداشت وجود دارد:

• مایکروسافت
• Apple
• Google
• Mozilla

Mozilla

کاربران اپل ، هم macOS و هم iOS ، به فروشگاه ریشه اپل اعتماد دارند ، به همین ترتیب برای کاربران مایکروسافت و ریشه آن. فروشگاه. Android از Google استفاده می کند. و مجموعه محصولات موزیلا از فروشگاه ریشه اختصاصی خود استفاده می کند.

برنامه های اصلی تحت رهنمودهای بسیار دقیق اجرا می شوند. علاوه بر مقررات و محدودیتهایی که در مورد الزامات اولیه انجمن CA / B ارائه شده است ، برخی از برنامه های اصلی – برای مثال موزیلا – حتی الزامات دقیق تری را نیز در بالا اضافه می کنند.

دلیل این امر ساده است: اعتماد.

یک گواهینامه root بسیار ارزشمند است ، زیرا به هر گواهی که با کلید خصوصی آن امضا شده باشد به طور خودکار توسط مرورگرها قابل اعتماد خواهد بود. ارگو ، شما واقعاً باید اطمینان داشته باشید که می توانید به صدور گواهینامه صادره از آن اعتماد کنید.

به این معنا می توان اعتماد به دو زمینه خاص را مشاهده کرد:

• اعتماد اجتماعی
• اعتماد فنی

دوم کاملاً وابسته به سابق است. الزامات سختگیرانه ای که CA باید به آنها رعایت کند ، ممیزی ها ، نظارت عمومی – این به معنای اطمینان از اینکه CA است اعتماد اجتماعی کافی را برای کسب اعتماد فنی که با داشتن یک ریشه قابل اعتماد همراه است ، حفظ می کند.

به طور کلی ، این چیزها بسیار ساده هستند ، معمولاً یک CA قبلاً یک واسطه امضا شده متقابل را صادر می کند (ما در یک ثانیه به آن خواهیم رسید) و قبل از درخواست ، فعالیت CA خود را برای یک دوره انجام می داد. مورد اعتماد یا به عبارت دیگر ، شما فقط نمی توانید CA را تشکیل دهید و بلافاصله درخواست کنید تا به ریشه خود اعتماد کنید. و بحث و گفتگوها در بعضی مواقع می تواند بسیار سیاسی باشد ، همانطور که چند ماه پیش با بحث در مورد DarkMatter CA دیدیم.

صرف نظر از این ، هنگامی که یک کالیفرنیا درخواست خود را پذیرفته و اعتماد به نفس خود را نشان داده است ، به ریشه های آن افزوده می شود. فروشگاه.

گواهینامه ریشه معتبر چیست؟

همانطور که ما فقط پوشش داده ایم ، گواهی ریشه نوع خاصی از گواهینامه دیجیتال X.509 است که می تواند برای صدور گواهینامه های دیگر استفاده شود.

برای مبتدیان ، در حالی که گواهینامه های کاربر نهایی یا برگ SSL (و به طور کلی هر نوع گواهی PKI قابل اعتماد عمومی) دارای طول عمر دو سال هستند – تاپس – گواهینامه های ریشه بسیار طولانی تر و طولانی تر زندگی می کنند. در اینجا یکی از ریشه های EViCert است ، نگاهی به دوره اعتبار آن بیندازید:

اکنون ، همانطور که احتمالاً در حال حاضر استنباط شده اید ، هر CA بیش از یک ریشه دارد. در حقیقت ، بیشتر CA ها دارای چندین مورد هستند. در اینجا نگاهی گذرا به فروشگاه اصلی در رایانه من است:

به طور کلی ریشه های مختلف دارای ویژگی های مختلفی هستند. این احتمالاً توسط دو ریشه COMODO (اکنون Sectigo) در نزدیکی بالای آن لیست نشان داده شده است. یکی برای ساخت امضاهای RSA و دیگری برای موارد ECDSA.

به هر گواهینامه ای که از هر یک از این ریشه ها صادر شود ، به طور خودکار توسط سیستم رایانه من قابل اعتماد خواهد بود. اکنون ، تاکنون ما به این روش کاملاً ساده نگاه کرده ایم. ارزش این ریشه ها و خطرات ناشی از به خطر افتادن این بدان معنی است که آنها به ندرت در صدور صدور گواهینامه استفاده می شوند. در عوض ، چرخش و صدور واسطه ها ، اما قبل از اولین …

زنجیره گواهینامه چیست؟

قبل از اینکه بتوانیم بیشتر برویم ، باید مفهوم زنجیره گواهی را معرفی کنیم. بگذارید با طرح یک سؤال شروع کنم: چگونه مرورگر شما می داند به گواهی SSL وب سایت اعتماد کند؟ ما این مسئله را پوشیده ایم که به هر فرزانه گواهی یک ریشه قابل اعتماد اعتماد دارد. اما چگونه این کار در سطح فنی انجام می شود؟

وقتی به یک وب سایت می رسید ، مرورگر شما نگاهی به گواهینامه SSL خود می اندازد و یک فرایند سریع را برای تأیید صحت گواهی انجام می دهد. این تاریخ اعتبار خود را بررسی می کند ، اطمینان می دهد که گواهی نامه ابطال نشده و امضای دیجیتال گواهی را تأیید می کند.

آنچه مرورگر شما برای تأیید گواهینامه انجام می دهد ، زیر زنجیره گواهی است. برای دریافت گواهی SSL صادر شده ، با تولید یک درخواست ثبت نام گواهی (CSR) و یک کلید خصوصی شروع می کنید. در ساده ترین تکرار ، CSR را به مرجع صدور گواهینامه می فرستید ، سپس گواهینامه SSL شما را با کلید خصوصی از ریشه آن امضا می کند و آن را ارسال می کند.

اکنون ، هنگامی که یک مرورگر گواهی SSL را می بیند ، می بیند که گواهی توسط یکی از ریشه های مورد اعتماد در فروشگاه ریشه خود صادر شده است (یا دقیق تر ، با کلید خصوصی ریشه امضا شده است). از آنجا که به ریشه اعتماد می کند ، به هر گواهی به علائم اصلی اعتماد می کند.

باز هم ، این ساده شده است تا درک آن ساده تر شود. در این مثال گواهی سرور مستقیماً به ریشه زنجیر می شود. اکنون بیایید واسطه ها را با هم مخلوط کنیم.

چه گواهی واسطه چیست؟

همانطور که گفته شد ، مقامات گواهینامه گواهی های سرور / برگ (گواهی های نهایی کاربر SSL) را مستقیماً از ریشه خود صادر نمی کنند. این ریشه ها بسیار با ارزش هستند و خطر زیادی وجود دارد.

بنابراین ، برای عایق بندی خود ، CA به طور کلی آنچه را که یک ریشه میانی نامیده می شود ، صادر می کنند. CA ریشه میانی را با کلید خصوصی خود امضا می کند ، که باعث می شود به آن اعتماد کنید. سپس CA از کلید خصوصی گواهی میانه برای امضا و صدور گواهینامه SSL کاربر نهایی استفاده می کند. این فرایند می تواند چندین بار پخش شود ، جایی که یک ریشه میانی واسطه دیگری را امضا می کند و سپس یک CA برای امضای گواهی از آن استفاده می کند. این پیوندها ، از ریشه تا متوسط ​​تا برگ – زنجیره گواهینامه هستند.

در اینجا تجسم یک زنجیره گواهینامه آورده شده است. برای مثال ما فقط می خواهیم از یک واسطه برای ساده نگه داشتن آن استفاده کنیم. زنجیره های صدور گواهینامه در دنیای واقعی اغلب بسیار پیچیده تر است.

ممکن است متوجه شده باشید که گاهی اوقات هنگامی که CA شما صدور گواهینامه SSL صادر می کند ، یک گواهی واسطه نیز برای شما ارسال می کند. نصب کنید ، به این ترتیب مرورگرها می توانند زنجیره گواهینامه را تکمیل کرده و گواهی SSL را در سرور شما به یکی از ریشه های آن پیوند دهند.

مرورگرها و سیستم عامل ها در نحوه برخورد با یک زنجیره ناقص متفاوت هستند. بعضی ها فقط وقتی یک واسطه گم می شوند ، خطا می کنند و خطا می کنند ، برخی دیگر واسطه ها را ذخیره می کنند و حافظه را ذخیره می کنند در صورتی که بعداً در دسترس باشند.

امضای دیجیتال چه نقشی ایفا می کند؟

شکل دفتر اسناد رسمی در این زمینه. هنگامی که یک گواهی ریشه به صورت دیجیتالی یک گواهی واسط را امضا می کند ، اساساً بخشی از اعتماد خود را به واسطه منتقل می کند. از آنجا که امضا مستقیماً از کلید خصوصی گواهی ریشه قابل اعتماد گرفته می شود ، به طور خودکار قابل اعتماد می باشد.

این پاراگراف کمی فنی خواهد شد ، بنابراین احساس راحتی کنید. در هر زمان یک مرورگر یا دستگاه با یک گواهی SSL ارائه می شود که خود گواهی را دریافت می کند و همچنین کلید عمومی مرتبط با گواهینامه را نشان می دهد. با استفاده از کلید عمومی ، امضای دیجیتال را تأیید می کند و می بیند توسط چه کسی ساخته شده است – چه گواهی آن را امضا کرده است. احتمالاً اکنون می توانید این کار را با هم شروع کنید. هنگامی که مرورگر شما گواهی SSL کاربر نهایی را در وب سایت تأیید می کند ، از کلید عمومی ارائه شده برای تأیید امضا و انتقال یک پیوند به بالا از زنجیره استفاده می کند. این کار همچنان به تکرار این فرآیند – تأیید صحت امضا و پیگیری زنجیره به گواهی که آن را امضا کرده است – تا اینکه سرانجام به یکی از گواهینامه های ریشه در فروشگاه اعتماد مرورگر برسد.

اگر نتواند گواهی نامه را به یکی بازگرداند. از ریشه های معتبر خود ، به این گواهی اعتماد نخواهد کرد.

خوب ، بنابراین تفاوت بین Root CA و یک Intermediate CA چیست؟

این در واقع بسیار ساده است. Root CA یک مؤسسه گواهی نامه است که دارای یک یا چند ریشه قابل اعتماد است. این بدان معنی است که آنها ریشه در فروشگاه های معتبر مرورگرهای اصلی دارند. CA های متوسط ​​یا زیر CA ها مقامات گواهی نامه ای هستند که ریشه واسطه ای صادر می کنند. آنها ریشه در فروشگاههای معتبر مرورگر ندارند ، در عوض زنجیره ریشه های میانی آنها به یک ریشه شخص ثالث قابل اعتماد باز می گردد. این گاهی اوقات امضایی متقابل نامیده می شود.

اکنون ، اینجاست که می تواند کمی گیج کننده باشد. همانطور که قبلاً بحث کردیم ، CA به طور مستقیم از ریشه آنها بیرون نمی آید. آنها با صدور واسطه ها و سپس امضای گواهینامه ها با آنها ، لایه هایی از امنیت را اضافه می کنند. این امر به حداقل رساندن و جابجایی خسارات در صورت بروز سوء ظن یا یک رویداد امنیتی کمک می کند. شما به جای لغو گواهی root و به معنای واقعی کلمه هر گواهی که آن را با پسوند امضا کرده است ، شما فقط واسطه را لغو می کنید ، و این فقط باعث می شود که گروه گواهینامه هایی که از این واسطه صادر شده اند ، بی اعتماد نشوند.

در اینجا یک مثال عملی ، گوگل و مرورگرهای دیگر وجود دارد. اخیراً به گواهی های SSL با نام تجاری Symantec CA اعتماد نکرده اید. در ابتدا سرخ شدن که ممکن است مانند یک اثر مهم به نظر برسد ، بی اعتماد به میلیونها گواهی SSL کاربر نهایی نیست. در واقعیت ، این بسیار ساده بود. آنها فقط ریشه های Symantec CA را از فروشگاه های اعتماد خود حذف کردند. اکنون هر گواهی که قرار است به این ریشه ها برگردد ، ناکام است و بی اعتماد است. (شایان ذکر است که DigiCert به خوبی Symantec را تمیز کرده است ، اما این به عنوان نمونه خوبی از زندگی واقعی برای این بحث است.)

چه تفاوتی بین یک ریشه زنجیر شده و یک ریشه واحد وجود دارد؟

که در واقع به ما باز می گردد. آخرین سوال. یک ریشه واحد توسط یک CA در اختیار است. این می تواند صدور گواهینامه را بطور مستقیم صادر کند و صدور گواهینامه ها و نصب را ساده تر کند. ریشه زنجیر شده همان چیزی است که Sub CA برای صدور گواهینامه از آن استفاده می کند. این یک گواهینامه واسط است ، اما به دلیل اینکه Sub CA ریشه قابل اعتماد خود را ندارد ، مجبور است به یک شخص ثالث CA متصل شود که دارای گواهینامه باشد.

این نیز تغییر می کند. به همین دلیل است:

• ریشه های زنجیر یافته نصب های پیچیده تری را ایجاد می کنند زیرا ریشه میانی برای هر سرور و برنامه ای که میزبان مجوز باشد باید بارگیری شود.
• ریشه های زنجیر شده به لطف CA هستند که زنجیر شده اند. آنها هیچ گونه کنترلی در مورد ریشه ندارند ، بنابراین اگر Root CA از کار بیفتد ، آنها را از بین ببرید.
• ریشه ها و گواهینامه های میانی نیز منقضی می شوند. البته در بازه زمانی طولانی تر. با این وجود ، یک واسطه قبل از ریشه خود باید منقضی شود ، که پیچیدگی می افزاید.

کلمه نهایی در مورد ریشه ها و واسطه ها

آنچه ما فقط توضیح داده ایم – مدل اعتماد شامل مجوزهای مجوز ، زنجیره های گواهی نامه و امضاهای رمزنگاری – اساساً PKI است. یا زیرساخت کلید عمومی. من تا به حال از استفاده از این اصطلاح بیش از حد اجتناب کرده ام ، زیرا به نظر می رسد بسیار انتزاعی است تا زمانی که کمی به مشخصات آن بپردازید.

اما ، وقتی کسی به PKI مراجعه می کند ، این معنی آنهاست. با توجه به این موضوع ، احتمالاً می توانید چگونگی استقرار كالاهای خصوصی CA و گواهی های خود امضا شده در زمینه Enterprise را بدست آورید. سازمان در كنار یك كالای معتبر ، یك گواهی (ریش) و كلید خصوصی تولید می كند (به این مراسم مهم می گویند). سپس سازمان در تمام سیستم ها و دستگاه های خود ، ریشه را به فروشگاه های ریشه ای خود اضافه می کند. و از آن نقطه ، سازمان می تواند گواهینامه های X.509 خود را با استفاده از کلید خصوصی از ریشه های خود امضا کند و به شبکه آنها اعتماد می شود.

مجوزهای دیجیتالی مانند رئیس را مدیریت کنید [19659063] 14 مجوز مدیریت گواهینامه بهترین راهکارها برای حفظ عملکرد سازمان ، ایمن و کاملاً مطابق با آن.

مانند همیشه ، هر گونه اظهار نظر و یا سؤالی را در زیر بگذارید …