Центры Сертификации.
Центр Сертификации (CA) - сторонняя организация с 3 основными задачами:
- Выпуск сертификатов.
- Подтверждение личности обладателя сертификата.
- Предоставление доказательств того, что сертификат является действительным.
Возможно вы слышали о Symantec, Comodo, или Let's Encrypt среди прочих.
Чтобы стать Центром Сертификации (CA) нужно выполнить ряд требований по безопасности и пройти аудит.
ГЛАВНОЕ ХРАНИЛИЩЕ
Вам должны доверить получение доступа к главному хранилищу.
Главное хранилище в принципе является базой данных доверенных Центров Сертификации (CA).
ГЛАВНОЕ ХРАНИЛИЩЕ
Apple, Windows, и Mozilla запустили свои собственные главные хранилища, которые предустановлены на вашем компьютере или устройстве.
Какой сертификат вы должны купить? У вас есть 3 основных типа.
Домен проверен. Сертификат просто проверяет доменное имя, и больше ничего. Возможно, вам нужен именно он.
Организация проверена. Требуется подтверждение и ручная проверка организации для получения сертификата.
dnsimple.com:
Они фанаты тостов с авокадо и всех видов мороженого. Некоторые из них считают что сборная Италии должна была пройти на ЧМ 2018 по футболу.
Расширенная проверка. Сертификат запрашивает исчерпывающую информацию об организации.
Все подтвержденные сертификаты в результате отображаются в браузере в виде зеленого значка в панели браузера. Расширенные версии (EV) сертификатов, также отображают название организации.
Но каким образом сертификаты проходят проверку?
Когда Центр Сертификации (CA) выпускает сертификат, они подписывают его главным сертификатом предустановленным в главном хранилище.
В основном, это промежуточный сертификат, подписанный главным сертификатом.
Если случается катастрофа и главный сертификат скомпроментирован, гораздо легче аннулировать промежуточные сертификаты, т.к. главные сертификаты установлены на каждом устройстве.
Давайте пройдем через всю проверку сертификата. Этот процесс называется "цепочка доверия".
Ваш браузер соединяется с сайтом через HTTPS и загружает сертификат.
Этот сертификат не является главным сертификатом.
Ваш браузер загружает сертификат, котрый был использован для подписи сертификата на сайте.
Но и этот сертификат не является главным.
Ваш браузер еще раз проверяет сертфикат, которым подписан промежуточный сертификат.
И вот это уже главный сертификат! Йеее!
Вся цепочка сертификата проверена, а значит сертификату на сайте можно доверять.
В случае когда последний сертификат не является главным, и больше не осталось сертификатов для загрузки, цепочка не является доверенной.
Но зачем использовать центр сертификации, если вы можете использовать самоподписные сертификаты?
Самоподписные сертификаты обеспечивают тот же уровень шифрования, что и сгенерированные центром сертификации.
Никакой краб не перехватит ваши данные.
И кроме того, самоподписные сертификаты бесплатны!
Это так, но почти каждый браузер проверяет выпущен ли сертификат доверенным центром.
Как посетителей вас предупредят что сертификату нельзя доверять.
Самоподписные сертификаты могут быть полезны для тестирования и внутренних сетей, но вы должны избегать их использования на публичных сайтах.
Самоподписные сертификаты могут быть подделаны. В основном, они будут говорить: "Доверяй мне, это я, мамой клянусь".
Доверенный сертификат скажет: "Доверяй мне, я проверен центром сертификации".
Кстати о доверии. Спасибо, что доверяете нам, читая весь этот комикс.
К сожалению, он подходит к концу.
Надеемся вам понравилось!
До скорой встречи!
Вы закончили комикс! Спасибо от наших котанов, что провели свой день за чтением об HTTPS.
Мы предлагаем вам 3 задания, чтобы отвлечь вас от того факта, что все эпизоды закончились.
Вы можете проверить свои свежие знания об HTTPS в нашем тесте (на английском). Да все верно. Мы даже отправим вам сертификат о выполнении теста, если вы наберете достаточно баллов.
Все люди это делают. Если вы хотите от нас больше комиксов, вот несколько примеров, которые заставят нас поднапрячься.
Если вам понравился комикс, и вам нужен SSL сертификат для защиты вашего сайта, или надежный и удобный DNS (это не наши слова), или зарегистрировать новый прикольный домен, заходите к нам.
П.С. если вы хотите предложить новый эпизод (пожалуйста не надо, нам придется обновлять эту страницу) или вы хотите оставить отзыв об этих эпизодах, наши котаны готовы вас выслушать.