На первый взгляд, сертификат SSL кажется простым. Вы устанавливаете его на свой сервер, чтобы защитить конфиденциальные данные своих посетителей, и он безупречно работает до истечения срока действия. Большинство владельцев веб-сайтов редко углубляются в технические аспекты SSL/TLS.
Они предоставляют профессионалам заниматься настройкой и обновлением сертификатов. Многих даже не заинтересует разница между корневыми и промежуточными сертификатами, но если Вы хотите установить свой сертификат самостоятельно, Вы должны знать, какой механизм за этим стоит.
Оглавление
- Корневые, промежуточные и серверные сертификаты
- Корневые программы и корневые магазины
- Инфраструктура открытых ключей
- Цифровые подписи
- Что такое цепочка доверия SSL?
- Что такое корневой SSL-сертификат?
- Что такое промежуточный SSL-сертификат?
- Что такое серверный SSL-сертификат?
- В чем разница между корневым и промежуточным сертификатом?
- Как определить, является ли сертификат корневым или промежуточным?
Корневые, промежуточные и серверные сертификаты
Пользователей без опыта, которые предпочитают устанавливать SSL-сертификат самостоятельно, ждет сюрприз. Как только они открывают папку с ZIP-архивом, которую ЦС (центр сертификации) прислал по электронной почте, они обнаруживают не один, а несколько SSL-файлов.
Один из них – это сертификат сервера, выданный для Вашего домена; второй – промежуточный сертификат, и, наконец, есть еще и корневой сертификат. Промежуточный сертификат связывает сертификат Вашего сервера с корневым сертификатом. Все вместе они образуют цепочку доверия SSL. Если один из компонентов в цепочке отсутствует, браузеры не будут доверять SSL-сертификату сервера и выдадут предупреждение HTTPS.
Подождите, что? Сертификаты сервера, промежуточные сертификаты, корневые сертификаты, цепочка доверия – все это слишком сложно для новичков. Если Вы один из них, не волнуйтесь, в этой статье мы объясним разницу между корневыми и промежуточными сертификатами и то, почему они имеют решающее значение для работы SSL/TLS. Но сначала несколько слов о структуре, которая держит их всех вместе.
Корневые программы и корневые магазины
Корневой сертификат – важнейший элемент всей архитектуры SSL/TLS, поскольку он проверяет сертификат конечного пользователя и поддерживает все в рабочем состоянии. Взлом корневого сертификата – это наихудший сценарий, поскольку он ставит под угрозу все промежуточные и серверные сертификаты.
Чтобы управлять корневыми сертификатами и их открытыми ключами более эффективно и безопасно, ведущие технологические компании разработали корневые программы, которые, помимо соблюдения строгих рекомендаций и правил, включают в себя корневое хранилище.
Корневое хранилище включает в себя предварительно загруженные корневые сертификаты (и их открытые ключи), которые находятся в операционной системе устройства или в программном обеспечении сторонних разработчиков, например, в веб-браузерах. Вот несколько примеров популярных корневых программ.
- Apple
- Mozilla
- Microsoft
Хотя не все корневые программы требуют идентичного соответствия, они строго придерживаются базовых требований форума CA/B.
Инфраструктура открытых ключей
Инфраструктура открытых ключей, или PKI, – это основа индустрии SSL, поскольку она выполняет сложные процессы, связанные с выпуском сертификатов и проверкой пользователей. Открытый и закрытый ключи работают вместе для шифрования и расшифровки конфиденциальных данных в сети.
SSL-сертификаты содержат открытый ключ, а закрытый ключ находится у сервера происхождения. Когда браузеры пытаются подключиться к серверам, в процессе рукопожатия SSL используется криптография с открытым ключом для идентификации исходного сервера и обмена данными. Если SSL-сертификат сайта недействителен, соединение не будет безопасным. Узнайте больше о сертификатах SSL и о том, как они работают.
Цифровые подписи
Цифровые подписи – это усовершенствованные электронные подписи, которые требуют проверки личности с помощью ключа или сертификата, связанного с ними. В контексте SSL думайте о них как о цифровой сертификации.
Как Вы видите на схеме цепочки доверия SSL, корневой сертификат подписывает промежуточный сертификат цифровой подписью и передает часть своего доверия промежуточному SSL. Последнему автоматически доверяют, поскольку подпись исходит непосредственно от корня.
Браузер использует открытый ключ для проверки цифровых подписей и аутентификации сертификата сервера (конечного пользователя). Он проверяет каждый сертификат в цепочке доверия SSL вплоть до последнего корневого сертификата, который предварительно устанавливается в корневое хранилище браузера. Если браузер может определить все сертификаты цепочки, он не будет доверять Вашему SSL-сертификату.
Что такое цепочка доверия SSL?
Давайте вернемся к цепочке доверия и посмотрим на всю картину в целом. Цепочка доверия SSL – это упорядоченный список сертификатов, который позволяет получателю (веб-браузеру) убедиться в надежности отправителя (Вашего защищенного сервера) и ЦС.
На изображении ниже показано, как функционирует цепочка доверия:
Кредит на изображение: Yanpas – CC BY-SA 4.0
Вы также можете проверить доверие к цепочке SSL, нажав на замок любого сайта и выбрав вкладку Путь сертификации. Если Вы посмотрите на путь сертификации SSL Dragon, то увидите сверху вниз корневой сертификат, промежуточный сертификат и сертификат сервера (SSL Dragon использует SSL-сертификат Cloudflare как часть службы CDN).
Теперь, когда Вы знаете о цепочке доверия, давайте рассмотрим каждый элемент под микроскопом.
Что такое корневой SSL-сертификат?
Корневой SSL-сертификат находится на вершине иерархии доверия и является основой инфраструктуры открытых ключей. Корневые SSL-сертификаты подписываются доверенными центрами сертификации. Кто решает, какой ЦС заслуживает доверия? В двух словах, браузеры и приложения, поскольку они включают корневое хранилище в свой установочный пакет.
Корневое хранилище – это список предварительно загруженных доверенных корневых сертификатов из различных центров сертификации. Например, если корневой сертификат ЦС не включен в корневое хранилище Google, Chrome отметит сайт, использующий этот ЦС, как небезопасный. Вы можете прочитать больше о центрах сертификации и о том, кто их регулирует.
Корневой сертификат используется для выдачи других сертификатов. Если приватные корневые ключи будут украдены, киберпреступники смогут подделать собственные доверенные сертификаты. В результате все существующие сертификаты, подписанные взломанным ЦС, должны быть отозваны. Если с корневым сертификатом что-то пойдет не так, ЦС быстро удаляется из всех корневых хранилищ и прекращает свое существование.
Чтобы избежать немыслимого, центры сертификации используют строгие процедуры безопасности. Они хранят ключ CA в уникальном аппаратном модуле безопасности. Более того, физическое вычислительное устройство хранится в запертом хранилище со стальными дверями и охраной.
В отличие от коммерческих сертификатов, корневые сертификаты имеют гораздо больший срок службы. Вот срок действия ECC от Sectigo (ранее Comodo CA). Как Вы можете видеть, срок действия истекает в далеком 2038 году.
Что такое промежуточный SSL-сертификат?
Выдача SSL-сертификата конечному пользователю непосредственно из корневого сертификата слишком опасна. Чтобы еще больше обезопасить себя, центры сертификации придумали еще один уровень безопасности – промежуточный сертификат.
Корневой ЦС подписывает промежуточный корень своим закрытым ключом, а промежуточный ЦС, в свою очередь, использует свой закрытый ключ для выдачи SSL-сертификатов широкой публике. Промежуточный сертификат или сертификаты (некоторые центры сертификации используют несколько промежуточных сертификатов между корневым сертификатом и сертификатом конечного пользователя) выступают в качестве звена доверия.
Они нужны браузерам, чтобы определить корневой ЦС и принять сертификат сервера. Вот почему папка установки SSL может содержать промежуточный сертификат, наряду с основным сертификатом. Промежуточные сертификаты также имеют больший срок действия, чем SSL-сертификаты конечных пользователей, хотя он и короче, чем срок действия корневого сертификата.
Что такое серверный SSL-сертификат?
Серверный SSL-сертификат, также называемый первичным SSL-сертификатом или сертификатом конечного пользователя, выдается центром сертификации на Ваше доменное имя. Он проверяет принадлежность домена и, в зависимости от уровня проверки, юридический статус компании.
Серверные сертификаты подписываются промежуточными сертификатами, которые создаются на основе корневых сертификатов. Серверные SSL-сертификаты имеют годовой срок действия и являются сертификатами, которые получают все, кто заказывает SSL.
Чтобы зашифровать свой сайт и активировать HTTPS, Вы должны установить SSL-сертификат на свой сервер. Отсюда и название – серверные SSL-сертификаты.
В чем разница между корневым и промежуточным сертификатом?
Сравнение корневого и промежуточного сертификата сводится к их иерархическому положению в цепочке доверия. Без корневых сертификатов или корневых центров сертификации не будет ни промежуточных сертификатов, ни сертификатов сервера.
Вот что отличает корневые и промежуточные сертификаты:
1. Их общая ценность
Корневые сертификаты – это основа всего процесса выдачи SSL. Если корневой сертификат будет скомпрометирован, взлом может привести к банкротству выпустившего его центра сертификации. С другой стороны, промежуточные сертификаты, хотя они также важны, в конечном счете, являются лишь промежуточными звеньями и имеют меньший вес в цепочке доверия.
2. Последовательность цифровой подписи
Корневой сертификат использует закрытый ключ для подписи промежуточного сертификата, а последний использует тот же ключ для подписи других промежуточных сертификатов и сертификата сервера.
3. Процедура выдачи
Центр сертификации подписывает корневой сертификат, который затем включается в корневые хранилища различных приложений и программ. Чтобы лучше защитить свои корневые сертификаты, центры сертификации используют промежуточные сертификаты, которые выступают в роли “посредников” между корневыми сертификатами и сертификатами серверов.
4. Продолжительность жизни
Срок действия корневых сертификатов составляет от 10 до 20 лет, в то время как промежуточные сертификаты имеют более короткий срок действия по соображениям безопасности. По мере продвижения по цепочке доверия срок действия SSL уменьшается, а срок действия сертификатов для конечных пользователей составляет всего один год.
5. Протокол хранения
Корневые сертификаты хранятся в пуленепробиваемом аппаратном модуле безопасности, за неподвижными дверями и под круглосуточным наблюдением охраны. Что касается промежуточных сертификатов, то они хранятся на Вашем сервере в директории установки.
Как определить, является ли сертификат корневым или промежуточным?
Вы можете отличить корневой сертификат от промежуточного, изучив сам сертификат. Если поля Issued to и Issued by идентичны, то это корневой сертификат, поскольку только действующий центр сертификации может выдавать доверенные корневые сертификаты; в противном случае это промежуточный сертификат.
Еще один способ отличить их – проверить путь сертификации. Сертификация, которая появляется в верхней части списка, – это корневой сертификат, за ним следуют промежуточный и серверный сертификаты. Как мы уже говорили, корневые сертификаты имеют самый длительный срок действия, поэтому при сравнении корневых и промежуточных сертификатов Вы также можете обратить внимание на даты
Заключительные слова
Надеюсь, теперь у Вас есть полное представление о том, что именно делает цифровой сертификат таким безопасным. Поняв, в чем разница между корневыми и промежуточными сертификатами, Вы решили головоломку SSL/TLS. Цепочка доверия SSL – одна из причин повсеместного распространения и эффективности SSL-сертификатов. Другое дело – высококлассное шифрование, которое не сможет взломать даже самый умный хакер.
Часто задаваемые вопросы
Когда Вы заказываете SSL-сертификат, ЦС поставляет установочные файлы в заархивированной папке ZIP. Внутри него Вы найдете сертификат сервера, выданный для Вашего домена, и файл CA Bundle, содержащий корневой и промежуточный сертификаты. Некоторые ЦС могут присылать корневой и промежуточный сертификаты в отдельных текстовых файлах.
Копировать ссылку
Вам не нужно определять корневой и промежуточный сертификаты при настройке SSL-сертификата, если Вы получили их в файле CA Bundle. Откройте этот файл в любом текстовом редакторе, и Вы заметите, что все сертификаты находятся внутри в правильном порядке. Если Вы получили корневой и промежуточный сертификаты в отдельных файлах, проверьте имя файла, поскольку оно должно содержать слово “корневой” или “промежуточный” для облегчения идентификации.
Копировать ссылку
Чтобы объединить корневой и промежуточный сертификаты, Вам необходимо соединить их все (за исключением сертификата сервера) в цепочку в порядке проверки. Самый быстрый способ – скопировать содержимое Вашего корневого сертификата и вставить его под промежуточными сертификатами. Объединенный файл будет иметь следующий порядок:
- Промежуточный сертификат 1
- Промежуточный сертификат 2
- Корневой сертификат для завершения цепочки доверия.
Копировать ссылку
Если корневой сертификат отсутствует, решение состоит в том, чтобы сначала загрузить доверенный корневой ЦС, а затем попытаться установить сертификат снова. Чтобы исправить ошибку отсутствия промежуточного сертификата, убедитесь, что Вы выполнили все шаги по установке SSL, необходимые для Вашего сервера, включая загрузку промежуточных сертификатов в правильном порядке и формате файлов.
Копировать ссылку
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10