Что такое центр сертификации и как работают центры сертификации?

Последнее обновление by Dionisie Gitlan

Центры сертификации – это основа индустрии SSL и хребет, на котором держатся все процессы шифрования и безопасности. Мы не можем создавать или запрашивать SSL-сертификаты без центра сертификации.

Независимо от того, нужен ли Вам самоподписанный сертификат для Вашей внутренней сети или публичный SSL-сертификат для защиты Вашего сайта, процесс выпуска SSL-сертификатов регулируется центром выдачи сертификатов. Итак, что такое центр сертификации и как он работает? В этом руководстве Вы найдете ответы.

Оглавление

  1. Что такое центр сертификации?
  2. Какова история создания центров сертификации?
  3. Кто регулирует деятельность центров сертификации?
  4. Каковы типы центров сертификации?
  5. Каков список доверенных центров сертификации?
  6. Какой центр сертификации лучше?
  7. Какой самый дешевый центр сертификации?
  8. Каков список недоверенных центров сертификации?
  9. Можете ли Вы создать свой собственный центр сертификации?

Что такое центр сертификации?

Центр сертификации (CA) или сертификационный центр – это доверенная организация, которая выдает цифровые сертификаты, подтверждающие право собственности на домен и личность заявителя. Центры сертификации играют фундаментальную роль в установлении доверия и безопасных коммуникаций между браузерами и серверами, проверяя, что клиент или организация, о которых идет речь, действительно являются теми, за кого себя выдают.

Любой может стать центром сертификации и выдавать самоподписанные сертификаты, но только несколько избранных компаний в итоге подписывают сертификаты SSL/TLS для широкой публики.

Что делают центры сертификации?

По сути, все, что делает центр сертификации, – это подтверждает личность человека или компании, которые запрашивают SSL-сертификат. Процесс похож на то, как работает нотариус. За кулисами публичные ЦС следуют строгим инструкциям и проходят регулярные аудиторские проверки, чтобы соответствовать новейшим отраслевым практикам.

Как работают центры сертификации?

В зависимости от уровня проверки SSL, центры сертификации проводят обширные проверки, чтобы определить принадлежность домена и бизнес-идентификацию. Если Вы запрашиваете сертификат Domain Validation, Ваш центр сертификации использует несколько быстрых методов, чтобы подтвердить, что Вы являетесь владельцем домена. Однако если Вы заказываете сертификат Business Validation или Extended Validation, УЦ проведет тщательную проверку по местным публичным базам данных или воспользуется Вашим номером LEI.

После того, как центр сертификации подтвердит подлинность заявителя, он подпишет цифровой сертификат своими корневым и промежуточным сертификатами ЦС, тем самым завершив цепочку доверия SSL и сделав Ваш SSL-сертификат совместимым со всеми браузерами.

ЦС является конечным владельцем статуса сертификата и организацией, которой доверяют все остальные. Он обеспечивает безопасность всей экосистемы SSL и снижает вероятность утечки данных. Если корни CA будут скомпрометированы, браузеры и приложения перестанут доверять ему, что, скорее всего, приведет к прекращению его существования.

Всеобщее доверие в Сети не является чем-то само собой разумеющимся. Она опирается на директивы по безопасности и эффективное сотрудничество между лицами, принимающими решения в отрасли SSL. Подобно тому, как веб-шифрование прошло долгий путь со времен первого проекта ныне не существующего протокола SSL, центры сертификации прошли свой путь со взлетами и падениями, чтобы достичь сегодняшней надежности.

В следующих разделах Вы узнаете краткую историю центров сертификации и о том, кто в конечном итоге их регулирует.

Какова история центров сертификации?

Это был 1995 год, когда Марк Ричард Шаттлворт, молодой южноафриканско-британский предприниматель, основал компанию Thawte. Управляемая из гаража родителей Шаттлворта, компания Thawte стала первым центром сертификации, выпустившим публичные SSL-сертификаты за пределами США.

В том же году по другую сторону Атлантики была основана компания Verisign как побочный продукт бизнеса сертификационных услуг RSA Security. Новая компания выступала в качестве центра сертификации и в последующие годы завоевала около 50% доли рынка. Другая половина принадлежала Тоуту. И Verisign, и Thawte имели сертификаты в первых браузерах Netscape.

В 1999 году компания Verisign приобрела Thawte у Шаттлворта за 575 миллионов долларов и закрепила за собой место лидера рынка в начале нового тысячелетия.

Примерно в это же время, в 2002 году, в центре внимания появился новый центр сертификации. Известный ныне бренд GeoTrust был первым центром сертификации, выпускавшим SSL-сертификаты с подтверждением принадлежности к публичному домену.

В 2007 году компания Comodo CA (теперь Sectigo) организовала первую встречу CA/Browser Forum. Добровольный консорциум УЦ, интернет-браузеров и поставщиков операционных систем внес свой вклад в принятие первых рекомендаций по расширенной проверке.

В 2010 году компания Verisign продала компании Symantec все свое подразделение по аутентификации, которое включало в себя службы аутентификации SSL-сертификатов, инфраструктуры открытых ключей, Verisign Trust и Verisign Identity Protection.

После серии инцидентов, связанных с безопасностью, компания Symantec продала в 2017 году компании DigiCert свой бизнес цифровых сертификатов, включая бренды Verisign, Thawte, GeoTrust и RapidSSL. Вся сделка стоила $950 миллионов.

Кто регулирует деятельность центров сертификации?

Если центры сертификации отвечают за проверку и отзыв SSL, кто их регулирует? Чтобы ответить на этот вопрос, давайте рассмотрим все стороны, вовлеченные в этот сложный процесс.

Браузеры и приложения

Браузеры и приложения определяют правила, по которым работают центры сертификации. Все браузеры содержат информацию о доверенных центрах сертификации в своем установочном пакете, также известном как корневое хранилище. Браузеры будут принимать SSL-сертификаты, выданные публичными ЦС, только если корни ЦС уже отмечены как доверенные в хранилище корней.

Не все браузеры хранят свои собственные доверенные корневые хранилища. Они также полагаются на корневое хранилище операционной системы клиента. Если корневой центр сертификации выдает цифровой сертификат, который не входит в корневое хранилище браузера или операционной системы, браузер предупредит пользователей о том, что не следует доверять сертификату SSL.

Но как браузеры определяют, каким корням ЦС доверять? Ну, у них всегда были заранее установленные правила того, как должны функционировать CA. Кроме того, они постоянно совершенствуют их, чтобы установить высочайшие стандарты безопасности.

Со временем они успешно избавились от более слабых алгоритмов, таких как MD5 и SHA-1. Они также убрали устаревшие размеры ключей, такие как 512-бит и 1024-бит. Если центры сертификации не соответствуют исчерпывающему списку требований браузера, они удаляются из хранилища доверенных корневых систем браузеров.

Браузеры и центры сертификации

Браузеры имеют значительный вес в вопросе о том, как должны работать центры сертификации. Однако браузер – не единственная организация, которая регулирует работу доверенных центров сертификации. Сами центры сертификации, с одобрения браузеров, приняли несколько важных рекомендаций, которые произвели революцию в области SSL.

УЦ и браузеры объединили свои усилия и создали Форум УЦ/Браузеров– добровольную организацию, состоящую из более чем 50 членов УЦ и девяти членов браузеров, которая устанавливает отраслевые стандарты SSL.

Режимы аудита Webtrust/ETSI

После того, как члены Форума CAB утверждают каждый набор рекомендаций и обновлений, они направляют их либо в Канадский институт дипломированных бухгалтеров/Американский институт CPA (сертифицированных общественных бухгалтеров), либо в Европейский институт телекоммуникационных стандартов (ETSI).

Затем новые правила становятся новым руководством по аудиту WebTrust или стандартами ETSI. Наконец, браузеры могут добавить их в свои требования к доверенному корневому хранилищу, и ЦС должны их соблюдать.

В заключение хочу сказать, что браузеры и центры сертификации совместно контролируют все аспекты веб-безопасности. Их совместные усилия по совершенствованию отраслевых стандартов SSL сделали SSL-шифрование надежным и недоступным для хакеров.

Какие бывают типы центров сертификации?

Обсуждая различные типы центров сертификации, мы должны классифицировать их в соответствии с их иерархией, продуктами и уровнем доверия. Мы начнем с иерархического порядка, который состоит из корневого ЦС, промежуточного ЦС и выпускающего ЦС.

Что такое корневой центр сертификации?

Корневой центр сертификации – это центр сертификации, который самостоятельно подписывает корневые сертификаты, которым браузеры и операционные системы доверяют по умолчанию. Поскольку такие сертификаты действительны без дополнительной проверки, они хранятся на физических устройствах и находятся в тщательно охраняемых хранилищах.

Что такое промежуточный центр сертификации?

Промежуточный центр сертификации – это ЦС, которому не доверяют браузеры и операционные системы, но чьи сертификаты подписаны корневым ЦС. Если приложение может проверить, что сертификаты, выданные промежуточным ЦС, ведут к корневому ЦС, они считаются действительными.

Роль промежуточных ЦС заключается в том, чтобы выступать в качестве дополнительного уровня безопасности между корневыми ЦС и ЦС, выдающими сертификаты. В случае нарушения безопасности промежуточный ЦС смягчит потенциальное воздействие на безопасность.

Что такое центр выдачи сертификатов?

Центр выдачи сертификатов – это ЦС, который предоставляет SSL-сертификаты конечным пользователям. Он подчиняется промежуточному ЦС, который использует свой открытый ключ для подписи выдающего ЦС. Сертификаты, подписанные выдающим центром сертификации, имеют годичный срок действия и вызывают доверие у браузеров только в том случае, если они соединены цепочкой с соответствующими промежуточными и корневыми сертификатами.

Когда речь заходит о доверии, центры сертификации делятся на две основные ветви: публичные центры сертификации и частные центры сертификации.

В чем разница между публичным и частным центром сертификации?

Публичный центр сертификации – это доверенный ЦС, контролируемый сторонней организацией, обычно для выпуска SSL-сертификатов для широкой публики. Все коммерческие и открытые центры сертификации, чьим SSL-сертификатам доверяют браузеры и операционные системы, являются публичными центрами сертификации. В свою очередь, публичные УЦ можно разделить на коммерческие УЦ и УЦ с открытым исходным кодом.

Коммерческие центры сертификации предлагают платные цифровые сертификаты с самым высоким уровнем доверия и безопасности. Они являются единственными центрами сертификации, предоставляющими сертификаты Business Validation, Extended Validation и мультидоменные SSL-сертификаты.

Центры сертификации с открытым исходным кодом выпускают бесплатные SSL-сертификаты, которым доверяют браузеры и операционные системы. Эти центры сертификации могут подтверждать только владение доменом и подходят для личных веб-сайтов, блогов или онлайн-портфолио, которые не связаны с онлайн-транзакциями.

Частный центр сертификации – это ЦС, управляемый одной организацией, как правило, для выдачи цифровых сертификатов своим устройствам и сотрудникам. Частные SSL-сертификаты используются исключительно на внутренних серверах и машинах.

Что такое список доверенных центров сертификации?

Все публичные ЦС являются доверенными ЦС, поскольку их корневые сертификаты уже включены в предустановочные пакеты браузеров или хранилища корневых сертификатов. Ниже приведен список коммерческих ЦС и ЦС с открытым исходным кодом, которым Вы можете полностью доверять.

Коммерческие центры сертификации, которым можно доверять

Digicert – центр сертификации премиум-класса, работающий на рынке SSL с высокой степенью гарантии. Компании из списка Fortune 500 и 97 из 100 крупнейших мировых банков используют услуги DigiCert для шифрования своих веб-сайтов и устройств.

Sectigo (ранее Comodo) – одно из самых узнаваемых имен в SSL-индустрии, предлагающее доступные сертификаты для любых нужд. Более трех миллионов клиентов используют продукты Sectigo по всему миру.

Thawte – старейший центр сертификации с отличной репутацией и решениями в области безопасности в сегменте SSL премиум-класса. SSL-сертификаты Thawte – это сильный показатель доверия и надежности.

GeoTrust – еще один высококлассный центр сертификации, обслуживающий более 100 000 международных клиентов в 150 странах. Сертификаты GeoTrust отличаются высокой гарантией SSL и динамическими печатями сайта, что повышает доверие пользователей.

RapidSSL – ЦС, который проверяет только владение доменом. Это идеальный выбор для небольших сайтов и предприятий. В RapidSSL используется полностью автоматизированный процесс выдачи, который позволяет получить первоклассные цифровые сертификаты всего за пять минут.

УЦ с открытым исходным кодом, которым можно доверять

Let’s Encrypt – крупнейший ЦС с открытым исходным кодом, предлагающий бесплатные SSL-сертификаты Domain Validation, подходящие для персональных сайтов, блогов и информационных платформ. Сертификаты Let’s Encrypt имеют ограничения и могут быть несовместимы с некоторыми серверами или почтовыми клиентами.

Какой центр сертификации лучше?

Лучший центр сертификации – это тот, который лучше всего подходит для Вашего конкретного бюджета и проекта. И дешевый, и дорогой автомобиль доставят Вас из пункта А в пункт Б. Тот же принцип применим и к ЦА.

Все SSL-сертификаты следуют одному и тому же криптографическому протоколу и обеспечивают одинаковую стойкость шифрования. Поэтому, используете ли Вы семидолларовый сертификат или сертификат премиум-класса, браузеры будут доверять ему одинаково. УЦ отличает имидж бренда, уровень проверки, дополнительные функции и сегмент рынка.

В 2023 году доля рынка SSL, согласно исследованиям W3 Techs, будет выглядеть следующим образом:

  • IdenTrust – 54,3%
  • Digicert Group – 15.7%
  • Сектиго – 14,3%
  • Let’s Encrypt – 6,3%
  • GoDaddy Group – 5.7%
  • GlobalSign – 3.7%
  • Certum – 0,7%.

Теперь Вы можете задаться вопросом, кто такой IdenTrust, и почему мы до сих пор не упомянули о нем? Сама по себе компания IdenTrust является центром сертификации, который предоставляет цифровые сертификаты финансовым учреждениям, медицинским учреждениям, правительственным организациям и предприятиям.

В 2015 году IdenTrust подписал промежуточные сертификаты Let’s Encrypt перекрестной подписью, что позволило доверять ЦС Let’s Encrypt во всех основных браузерах.

Если исключить ЦС с открытым исходным кодом и сосредоточиться только на доле рынка коммерческих ЦС, то Digicert и Sectigo являются самыми популярными центрами сертификации во всем мире.

Какой самый дешевый центр сертификации?

Sectigo (ранее Comodo) – самый дешевый центр сертификации на рынке: цены начинаются всего от $7 в год за сертификат начального уровня Domain Validation. Sectigo – это синоним доступного SSL.

У них даже есть эксклюзивная линейка под названием Positive SSL, в которой представлены бюджетные сертификаты для любых нужд. Если Вам нужно обеспечить безопасность веб-сайта для малого бизнеса или многосайтовой сети премиум-класса, Sectigo – это то, что Вам нужно.

Что такое список недоверенных центров сертификации?

Вы можете найти множество списков с доверенными центрами сертификации для различных браузеров и операционных систем, но как насчет недоверенных центров сертификации? Недоверенные центры сертификации больше не существуют и актуальны только для тематических исследований и образовательных целей.

Практически невозможно, чтобы ЦС был взломан и вернулся после значительной бреши в системе безопасности. Ниже мы приводим несколько примеров того, что происходит, когда ЦС сталкиваются с серьезными инцидентами, связанными с безопасностью.

Инцидент с DigiNotar

Спустя 15 лет после появления на рынке первых центров сертификации в системе безопасности и процедурах выдачи сертификатов все еще оставались критические лазейки, которые безжалостно раскрывались кибер-злоумышленниками. Самым серьезным сигналом к пробуждению для индустрии стал 2011 год, когда неизвестный злоумышленник получил полный административный доступ к основным системам CA компании DigiNotar.

Голландский центр сертификации выпустил неавторизованный сертификат wildcard для Google.com, скомпрометировав более 300 000 иранских пользователей Gmail, которые стали жертвами атак типа “человек посередине”. Все основные браузеры быстро прониклись недоверием к DigiNotar, и компания подала заявление о добровольном банкротстве.

Конец Symantec CA

Хотя DigiNotar был относительно мелкой рыбешкой на рынке, то, что произошло с Symantec несколько лет спустя, поставило индустрию CA под повышенное давление и пристальное внимание. В 2015 году Google обнаружил, что компания Symantec специально выпустила более 100 тестовых сертификатов для 76 различных доменов без разрешения владельцев доменов.

Сначала Google потребовал от Symantec принять новые профилактические меры и пройти сторонний аудит безопасности, но позже все основные браузеры выразили недоверие Symantec из-за постоянных нарушений.

Неудача с Symantec могла привести к остановке экосистемы SSL, поскольку крупнейший на тот момент ЦС выдавал треть всех цифровых сертификатов в Сети. Поскольку миллионы сертификатов были затронуты, а срок недоверия Google в 2018 году стремительно приближался, компания Symantec согласилась продать весь свой бизнес цифровых сертификатов своему главному конкуренту DigiCert.

К октябрю 2018 года компания DigiCert провела ревалидацию более 500 000 бизнес-идентификаторов и заменила более 5 миллионов пострадавших сертификатов.

Можете ли Вы создать свой собственный центр сертификации?

Любой человек может создать ЦС и выпускать самоподписанные сертификаты для своей организации или пользовательских серверов. С помощью таких инструментов, как Microsoft CA или утилита OpenSSL, Вы можете сравнительно быстро создать частный центр сертификации. Вот общие шаги по созданию собственного центра сертификации:

  • Создайте каталоги и файлы конфигурации для ЦС.
  • Сгенерируйте закрытый ключ и корневой сертификат.
  • Добавьте корневой сертификат в качестве доверенного сертификата в Вашей сети.
  • Настройте Microsoft CA или OpenSSL на использование закрытого ключа и сертификата сервера для подписи запросов на сертификаты.
  • Сгенерируйте запрос на подписание SSL-сертификата (CSR).
  • Создайте самоподписанные сертификаты для своих нужд.

Конечно, браузеры и приложения не будут доверять Вашему частному ЦС, но он может быть полезен для защиты сетей интрасети и тестирования.

Заключительные мысли

Центры сертификации – это хранители веб-шифрования. С помощью передовых технологий и строгих рекомендаций они управляют процессом выдачи SSL и обеспечивают его безопасность, чтобы мы, пользователи, могли безопасно просматривать сайты и обмениваться конфиденциальными данными с интернет-магазинами, банками и службами подписки.

В этом обширном руководстве мы не только объяснили, что такое центр сертификации, но и углубились в различные типы центров сертификации и их назначение. Надеюсь, теперь Вы лучше разбираетесь в том, как отличить государственный ЦС от частного и выбрать тот, который лучше всего соответствует Вашим потребностям.

Часто задаваемые вопросы

Являются ли центры сертификации бесплатными?

Частные центры сертификации бесплатны, но их сертификаты являются самоподписанными и не подходят для Интернета. С другой стороны, публичные УЦ могут быть как бесплатными, так и коммерческими. Браузеры и операционные системы будут доверять бесплатному или коммерческому цифровому сертификату, если он подписан публичным центром сертификации.

Копировать ссылку

Как центр сертификации проверяет личность?

В зависимости от уровня проверки SSL, ЦС проведет ряд проверок, чтобы установить личность. Для сертификатов Domain Validation проверка владения доменом – это автоматизированный процесс, который требует от заявителя выполнения заранее установленных шагов.

Если Вы запрашиваете SSL Business или Extended Validation, ЦС будет использовать публичные базы данных для подтверждения личности Вашей компании. Если это не удастся сделать, CA попросит Вас представить дополнительные документы.

Копировать ссылку

Как выбрать центр сертификации?

Убедитесь, что ЦС заслуживает доверия и является действительным. Все коммерческие центры сертификации предлагают надежные цифровые сертификаты с SSL-гарантиями на маловероятный случай утечки данных или мошенничества при выдаче. Затем определите потребности и бюджет Вашего сайта, прежде чем приобретать цифровой сертификат. Такой инструмент, как SSL Wizard, поможет Вам выбрать идеальный сертификат для Вашего проекта.

Копировать ссылку

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Сэкономьте 10% сейчас!
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.

Похожие посты
Что такое CA Bundle в SSL и как его создать?
Корневые и промежуточные сертификаты – в чем разница?
Что такое запись CAA и как она работает?
Что такое гарантия на SSL-сертификат и как она работает?
Безопасны ли самоподписанные сертификаты? What Are the Risks?