Ауторитети за издавање сертификата су један од најважнијих темељаца за безбедност на Интернету. Ауторитет за издавање сертификата је неко коме сви верују у почетку, када нико никоме не верује. Тада је то посао овог органа за издавање сертификата (а.к.ЦА) како би се осигурало успостављање поверења између сервера и клијената пре него што успоставе комуникацију путем Интернета.ЦА је важан не само за ХТТПС који користе прегледачи и веб апликације, већ и за шифроване е-адресе, потписане исправке софтвера, ВПН-ове и још много тога. Узећемо прототипични пример ХТТПС-а и научити о ЦА у овом конкретном контексту. Иако резултат можете екстраполирати на било који други програмски пакет.

Проблеми са ХТТП-ом и обичним текстом

Интернет је непоуздани канал комуникације. Када шаљете или примате информације са старе ХТТП локације хттп: //ввв.пример.цом у вашем прегледачу се пуно ствари може догодити на пола пута до ваших пакета.

1. Лош глумац може пресрести комуникацију, копирати податке за себе, пре него што их поново пошаље на канал према вама или серверу са којим сте разговарали. Без знања било које стране, информације су угрожене. Морамо осигурати да комуникација јесте приватни.
2. Лош глумац може изменити информације док се шаљу преко канала. Боб је можда послао поруку "Икс" али Алиса би примила „И“ од Боба, јер је лош глумац пресрео поруку и изменио је. Другим речима, интегритет поруке је угрожена.
3. И на крају, и што је најважније, морамо осигурати да особа са којом разговарамо заиста буде онаква за коју се каже. Враћајући се на пример.цом домен. Како можемо бити сигурни да је сервер који нам је одговорио заиста прави власник ввв.пример.цом? У било ком тренутку на мрежи можете бити преусмерени на други сервер. ДНС је негде одговоран за претварање имена домена, као што је ввв.пример.цом, у ИП адресу на јавном Интернету. Али ваш прегледач не може да потврди да је ДНС превео ИП адресу.

Прва два проблема могу се решити шифровањем поруке пре него што се пошаље Интернетом на сервер. То ће рећи, пребацивањем на ХТТПС. Међутим, последњи проблем, проблем идентитета, је место у којем ауторитет за издавање сертификата наступа.

Покретање шифрованих ХТТП сесија

Главни проблем шифроване комуникације преко несигурног канала је „Како да је започнемо?”

Први корак би укључио две стране, ваш прегледач и сервер, да размене кључеве за шифровање који ће се размењивати преко несигурног канала. Ако вам кључеви термина нису познати, схватите их као заиста дугу случајно генерисану лозинку којом ће ваши подаци бити шифровани пре слања преко несигурног канала.

Па, ако се кључеви шаљу преко несигурног канала, свако то може да слуша и угрожава сигурност ваше ХТТПС сесије у будућности. Штавише, како можемо веровати да кључ шаље сервер који тврди да је ввв.пример.цом је заиста стварни власник тог имена домена? Можемо имати шифровану комуникацију са злонамерном странком која се маскира као легитимна локација и не знамо разлику.

Дакле, проблем осигурања идентитета важан је ако желимо осигурати сигурну размјену кључева.

Органи за издавање сертификата

Можда сте чули за ЛетсЕнцрипт, ДигиЦерт, Цомодо и неколико других услуга које нуде ТЛС сертификате за ваше име домена. Можете одабрати ону која одговара вашим потребама. Сада, особа / организација која је власник домена мора на неки начин доказати свом органу за издавање сертификата да заиста има контролу над доменом. То се може урадити тако што ћете створити ДНС запис са јединственом вредношћу у њему, на захтев органа за издавање сертификата, или можете додати датотеку на свој веб сервер, са садржајем наведеним од стране тела за издавање сертификата, а ЦА може затим прочитати ову датотеку и потврдите да сте важећи власник домене.

Затим преговарате о ТЛС сертификату са ЦА, што резултира приватним кључем и јавним ТЛС сертификатом који се издају на ваш домен. Поруке шифроване вашим приватним кључем могу затим дешифровати јавни церт и обрнуто. Ово је познато као асиметрично шифровање

Клијентски прегледачи, попут Фирефок-а и Цхроме-а (понекад чак и оперативни систем) имају знање ауторитета за издавање сертификата. Ове информације се убацују у прегледач / уређај од самог почетка (то јест, када се инсталирају), тако да знају да могу веровати одређеним ЦА. Сада, када покушају да се повежу на ввв.пример.цом преко ХТТПС-а и видите сертификат који је издао, рецимо ДигиЦерт, прегледач заправо може да провери да ли помоћу локално сачуваних кључева. Заправо постоји још неколико посредничких корака, али ово је добар поједностављени преглед онога што се догађа.

Сада када је сертификат који је пружио ввв.пример.цом може се веровати, ово се користи за уговарање јединственог симетричног кључа за шифровање који се користи између клијента и сервера до краја њихове сесије. У симетричном шифровању, један кључ се користи за шифровање као и за дешифровање и обично је много бржи од његовог асиметричног колеге.

Нијансе

Ако вам се идеја о ТЛС-у и безбедности на Интернету допада, можете даље проучити ову тему копајући по ЛетсЕнцрипт и њиховом бесплатном ЦА за ТЛС. Постоји пуно више минута на целој овој ригмаролу него што је горе речено.

Други ресурси које могу да препоручим за сазнавање више о ТЛС-у су Блог Трои Хунт-а и рад ЕФФ-а попут ХТТПС Еверивхере и Цертбот. Сви ресурси су бесплатни за приступ и заиста су јефтини за примену (само морате да платите регистрацију имена домена и ВПС накнаде по сату) и стекнете искуство.