Cơ quan cấp chứng chỉ [CA] là gì?
A cơ quan cấp chứng chỉ [CA], đôi khi cũng được gọi là một Chứng nhận thẩm quyền, là một công ty hoặc tổ chức hoạt động để xác thực danh tính của các thực thể [như trang web, địa chỉ email, công ty hoặc cá nhân] và ràng buộc họ với các khóa mật mã thông qua việc phát hành các tài liệu điện tử được gọi là chứng chỉ số. Chứng chỉ số cung cấp:
Xác thực, bằng cách phục vụ như một thông tin xác thực để xác thực danh tính của thực thể mà nó được cấp.
Mã hóa, để liên lạc an toàn qua các mạng không an toàn như Internet.
TÍNH TOÀN VẸN tài liệu Ký kết với chứng chỉ để bên thứ ba không thể thay đổi chúng khi đang vận chuyển.
Thông thường, người nộp đơn xin chứng chỉ kỹ thuật số sẽ tạo ra một cặp chìa khóa bao gồm một khóa cá nhân và khóa công khai, cùng với một yêu cầu đăng kí chứng chỉ [CSR]. Một CSR là một tệp văn bản được mã hóa bao gồm khóa chung và các thông tin khác sẽ được bao gồm trong chứng chỉ [ví dụ: tên miền, tổ chức, địa chỉ email, v.v.]. Cặp chìa khóa và CSR việc tạo thường được thực hiện trên máy chủ hoặc máy trạm nơi chứng chỉ sẽ được cài đặt và loại thông tin có trong CSR thay đổi tùy thuộc vào mức độ xác nhận và mục đích sử dụng của chứng chỉ. Không giống như khóa công khai, khóa cá nhân của người đăng ký được giữ an toàn và không bao giờ được hiển thị cho CA [hoặc bất kỳ ai khác].
Sau khi tạo CSR, người nộp đơn gửi nó cho CA, người xác minh độc lập rằng thông tin chứa trong đó là chính xác và, nếu vậy, ký điện tử chứng nhận bằng khóa riêng cấp và gửi cho người nộp đơn.
Khi chứng chỉ đã ký được xuất trình cho bên thứ ba [chẳng hạn như khi người đó truy cập trang web của chủ sở hữu chứng chỉ], người nhận có thể xác nhận bằng mật mã chữ ký số của CA thông qua khóa công khai của CA. Ngoài ra, người nhận có thể sử dụng chứng chỉ để xác nhận rằng nội dung đã ký được gửi bởi ai đó sở hữu khóa cá nhân tương ứng và thông tin đó không bị thay đổi kể từ khi được ký. Một phần quan trọng của khía cạnh này của chứng chỉ là thứ được gọi là chuỗi tin cậy.
Một chuỗi tin cậy là gì?
In SSL /TLS, S/MIME, ký mãvà các ứng dụng khác của Giấy chứng nhận X.509, một hệ thống phân cấp chứng chỉ được sử dụng để xác minh tính hợp lệ của tổ chức phát hành chứng chỉ. Hệ thống phân cấp này được gọi là một chuỗi tín thác. Trong một chuỗi tin cậy, các chứng chỉ được cấp và ký bởi các chứng chỉ sống cao hơn trong hệ thống phân cấp.
A chuỗi tín thác bao gồm một số phần:
1. Các neo tin tưởng, đó là cơ quan cấp chứng chỉ xuất xứ [CA].
2. Ít nhất một chứng chỉ trung cấp, đóng vai trò là "cách ly" giữa CA và chứng chỉ thực thể cuối.
3. Các chứng chỉ cuối thực thể, được sử dụng để xác thực danh tính của một thực thể như trang web, doanh nghiệp hoặc người.
Thật dễ dàng để nhận thấy một chuỗi niềm tin cho chính bạn bằng cách kiểm tra HTTPS chứng chỉ của trang web. Khi bạn kiểm tra một SSL /TLS chứng chỉ trong trình duyệt web, bạn sẽ tìm thấy bảng phân tích chuỗi tin cậy của chứng chỉ kỹ thuật số đó, bao gồm neo tin cậy, bất kỳ chứng chỉ trung gian nào và chứng chỉ tổ chức cuối. Các điểm xác minh khác nhau này được sao lưu bởi tính hợp lệ của lớp trước đó hoặc "liên kết", quay trở lại neo tin cậy.
Ví dụ bên dưới cho thấy chuỗi tin cậy từ trang web của SSL.com, dẫn từ chứng chỉ trang web của tổ chức cuối trở lại CA gốc, thông qua một chứng chỉ trung gian:Một mỏ neo tin cậy là gì?
Gốc cơ quan cấp chứng chỉ [CA] phục vụ như là neo tin tưởng trong một chuỗi tin cậy Tính hợp lệ của neo tin cậy này rất quan trọng đối với tính toàn vẹn của chuỗi nói chung. Nếu CA là công khai [như SSL.com], chứng chỉ CA gốc được các công ty phần mềm lớn đưa vào trình duyệt và phần mềm hệ điều hành của họ. Sự bao gồm này đảm bảo rằng các chứng chỉ trong một chuỗi tin cậy dẫn trở lại bất kỳ chứng chỉ gốc nào của CA sẽ được phần mềm tin cậy.
Dưới đây, bạn có thể thấy neo tin cậy từ trang web của SSL.com [SSL.com EV Root Certification Authority RSA R2]:
Chứng chỉ trung gian là gì?
CA gốc hoặc neo tin cậy có khả năng ký và phát hành chứng chỉ trung cấp. Chứng chỉ trung cấp [còn gọi là trung gian, cấp dưới, hoặc là phát hành CA] cung cấp một cấu trúc linh hoạt để trao hiệu lực của mỏ neo tin cậy cho các chứng chỉ thực thể trung gian và cuối bổ sung trong chuỗi. Theo nghĩa này, các chứng chỉ trung gian phục vụ một chức năng quản trị; mỗi trung gian có thể được sử dụng cho một mục đích cụ thể - chẳng hạn như phát hành SSL /TLS hoặc chứng chỉ ký mã - và thậm chí có thể được sử dụng để trao CA gốc tin tưởng vào các tổ chức khác.
Các chứng chỉ trung gian cũng cung cấp bộ đệm giữa chứng chỉ thực thể cuối và CA gốc, bảo vệ khóa gốc riêng tư khỏi bị xâm phạm. Đối với CA đáng tin cậy công khai [bao gồm SSL.com], diễn đàn CA / Trình duyệt Yêu cầu cơ bản thực sự cấm cấp chứng chỉ thực thể cuối trực tiếp từ CA gốc, chứng chỉ này phải được giữ ngoại tuyến an toàn. Điều này có nghĩa là bất kỳ chuỗi tin cậy nào của chứng chỉ đáng tin cậy công khai sẽ bao gồm ít nhất một chứng chỉ trung gian.
Trong ví dụ hiển thị bên dưới, SSL.com EV SSL Intermediate CA RSA R3 là chứng chỉ trung gian duy nhất trong chuỗi tin cậy của trang web SSL.com. Như tên của chứng chỉ cho thấy, nó chỉ được sử dụng để phát hành EV SSL /TLS Giấy chứng nhận:
Chứng chỉ thực thể cuối là gì?
Mô hình chứng chỉ cuối thực thể là liên kết cuối cùng trong chuỗi tin cậy. Chứng chỉ thực thể cuối [đôi khi được gọi là giấy chứng nhận lá or chứng chỉ thuê bao], phục vụ để trao niềm tin của CA gốc, thông qua bất kỳ trung gian nào trong chuỗi, cho một thực thể như trang web, công ty, chính phủhoặc cá nhânChứng chỉ thực thể cuối khác với chứng chỉ tin cậy hoặc chứng chỉ trung gian ở chỗ nó không thể cấp chứng chỉ bổ sung. Theo một nghĩa nào đó, nó là mắt xích cuối cùng liên quan đến chuỗi. Ví dụ bên dưới cho thấy SSL của tổ chức cuối cùng /TLS chứng chỉ từ trang web của SSL.com:
Tại sao một chuỗi các vấn đề tin tưởng?
Một chuỗi tin cậy đảm bảo an ninh, khả năng mở rộng và tuân thủ các tiêu chuẩn cho CA. Nó cũng đảm bảo quyền riêng tư, tin cậy và bảo mật cho những người dựa vào chứng chỉ thực thể cuối, chẳng hạn như người vận hành trang web và người dùng.
Điều quan trọng là chủ sở hữu trang web và những người dùng chứng chỉ tổ chức cuối khác phải hiểu rằng một chuỗi tin cậy hoàn chỉnh là cần thiết để chứng chỉ của họ có thể trao niềm tin của CA thành công. Để biết thông tin về chẩn đoán và khắc phục lỗi trình duyệt do chuỗi tin cậy không hoàn chỉnh, vui lòng xem bài viết của chúng tôi về cài đặt chứng chỉ trung gian và hướng dẫn thông báo lỗi trình duyệt.