Что такое центр сертификации?

Центры сертификации, независимо от того, открытые они или закрытые, являются важнейшим элементом более широкой экосистемы кибербезопасности. Не знакомы с тем, что они собой представляют или как работают? Это не проблема.

Здесь мы расскажем все, что вам нужно знать о центрах сертификации, в том числе и о том, как выбрать наиболее подходящий для нужд вашего бизнеса.

Центр сертификации (Certificate Authority, CA) — это организация, которая проверяет цифровые идентификационные данные веб-сайтов, адресов электронной почты, компаний или отдельных лиц. Для этого она использует криптографические активы, называемые цифровыми сертификатами, которые позволяют доказать подлинность.

Например, веб-браузеры работают с CA для аутентификации веб-сайтов, чтобы убедиться, что ими не управляют хакеры или злоумышленники. Без центров сертификации было бы небезопасно совершать покупки, осуществлять банковские операции или передавать конфиденциальную информацию через интернет. Буква «s» в префиксе «https» означает secure, т. е. «безопасный», и указывает на то, что владелец веб-сайта проверен доверенным CA.

Открытые и закрытые CA: в чем разница?

Центры сертификации могут быть открытыми или закрытыми. Хотя они выполняют схожие функции, между этими двумя категориями существуют важные различия.

• Открытые CA. В эту группу входят организации, предоставляющие услуги широкой общественности. Их сертификаты принимаются во всем мире, что делает их пригодными для защиты веб-сайтов, онлайн-транзакций и других сценариев использования цифровых технологий. Существует ограниченное количество открытых центров CA, но они имеют глубокие корни доверия со стороны основных поставщиков веб-браузеров.
• Закрытые CA. Эта категория включает специфичные центры сертификации, используемые внутри предприятия. Другими словами, они выдают сертификаты исключительно для внутренних целей и сценариев использования, таких как частные сети и сети VPN, аутентификация пользователей и подпись кода. Соответственно, закрытый CA является «доверенным» только для пользователей внутри этой организации и редко выдает сертификаты сторонним лицам. По этой причине его также часто называют «локальным CA».

Почему центры сертификации считаются надежными?

Открытый CA — это тщательно проверенная организация, которая должна соответствовать базовым требованиям, установленным CA/Browser Forum. Центры сертификации и создатели интернет-браузеров совместно разрабатывают более строгие и единообразные стандарты для выдачи различных цифровых сертификатов и управления ими.

Благодаря этим базовым требованиям открытые центры CA являются признанными во всем мире и принимаются в большинстве областей применения. Однако они не могут поддерживать внутренние сценарии использования, и здесь в игру вступают закрытые центры CA. Каждый закрытый CA имеет политику, определяющую, для чего он предназначен, а также какие процессы и средства контроля он использует для выдачи сертификатов. Соответственно, они считаются доверенными и высоконадежными.

Простыми словами, цифровые сертификаты — это способ подтверждения подлинности устройства, веб-сервера, пользователя или объекта. Они служат той же цели, что и водительские права или паспорт, позволяя выполнить идентификацию и проверить определенные разрешения. Но вместо разрешения на вождение или въезд в страну цифровые сертификаты выполняют три главные функции, указанные ниже.

1. Аутентификация. Сертификаты служат удостоверением, которое подтверждает идентификационные данные любого объекта, которому они выданы, например веб-домена или организации.
2. Шифрование. Они обеспечивают защищенный обмен данными через интернет, шифруя информацию, передаваемую онлайн, такую как имена пользователей и пароли или электронная почта.
3. Подпись. Сертификаты гарантируют, что документы с цифровой подписью не будут изменены третьими лицами, тем самым поддерживая их целостность.

Все это стало возможным благодаря инфраструктуре открытых ключей (PKI). Если кратко, PKI охватывает все аппаратное и программное обеспечение, а также все процедуры и политики, необходимые для создания и хранения криптографических ключей — активов, которые делают возможными шифрование, расшифровку и верификацию.

Как работает инфраструктура открытых ключей?

В рамках PKI все цифровые сертификаты привязываются к определенной паре ключей: открытый ключ и закрытый ключ. Каждый из этих криптографических активов представляет собой длинную строку битов, используемую для шифрования и расшифровки данных. Каждый сертификат уникален для конкретного человека или объекта, во многом напоминая паспорт, используемый для идентификации.

Открытый ключ находится в свободном доступе для всех, кто его запрашивает, что позволяет зашифровать конфиденциальную информацию перед ее отправкой связанному объекту. Однако такое сообщение может быть расшифровано только с помощью закрытого ключа, который известен лишь владельцу открытого ключа.

Но откуда вам знать, что отправитель открытого ключа — действительно тот, за кого он себя выдает? Если кратко, именно здесь в игру вступают сертификаты. Они содержат не только открытый ключ, но и информацию, касающуюся его владельца, центра CA, который его выдал, данных, на основе которых он был создан, а также срока его действия. Это позволяет убедиться в том, что ключ действительно принадлежит заявленному объекту, а не злоумышленнику.

Что такое управление сертификатами?

Управление сертификатами — это процесс управления цифровыми сертификатами на протяжении всего их жизненного цикла: от инициализации до продления и отзыва. Однако управление сертификатами может быть непростой задачей для организаций, в которых количество сертификатов непрерывно растет.

С ростом использования цифровых сертификатов процессы ручного управления (например, посредством электронных таблиц) больше не являются жизнеспособными. Многие предприятия обращаются к инструментам управления жизненным циклом, которые обеспечивают не только полную видимость их криптографических ресурсов и базы сертификатов, но и столь необходимый уровень автоматизации.

Цифровые сертификаты как основа конфиденциальности и защиты крайне важны для обеспечения безопасности онлайн-взаимодействий. Большинство центров сертификации предлагают широкий выбор типов сертификатов для различных сценариев использования, уровней надежности, нормативно-правовых требований и других областей применения. К ним относятся перечисленные ниже.

Сертификаты подписи документов

Как следует из названия, сертификат подписи документов используется для подписания электронных записей. Что еще более важно, он обеспечивает целостность документа, позволяя убедиться, что его содержимое не было подделано, и проверяет личность подписавшего. Эти сертификаты особенно полезны для юридических договоров, поскольку помогают организациям поддерживать неопровержимость.

Сертификаты подписи кода

Подобным образом сертификат подписи кода позволяет разработчикам ПО подписывать приложения и программы с помощью цифровой подписи. Благодаря этому конечные пользователи могут убедиться, что код, который они получают, не был изменен или подделан, что защищает обе стороны от мошенничества, вредоносного ПО и краж.

Сертификаты TLS/SSL

Пожалуй, двумя наиболее распространенными типами цифровых сертификатов являются сертификаты TLS и SSL. TLS означает Transport Layer Security (безопасность на транспортном уровне), тогда как SSL означает Secure Sockets Layer (уровень защищенных сокетов). Оба они являются протоколами интернет-безопасности, которые аутентифицируют идентификационные данные и устанавливают шифрованное соединение с браузером.

Строго говоря, SSL-сертификат устарел, и его место заняло TLS-шифрование. Тем не менее название SSL по-прежнему широко используется в отношении безопасности на транспортном уровне (TLS). Именно поэтому вы нередко увидите комбинацию этих двух аббревиатур: TLS/SSL.

Этот тип сертификата обычно используется для аутентификации веб-сайта, клиента и сервера. В эту широкую категорию входят несколько специфичных типов сертификатов TLS/SSL, включая перечисленные ниже.

• Сертификаты расширенной проверки (EV). Сертификаты EV SSL обеспечивают самый высокий уровень надежности и самый строгий процесс верификации. При развертывании на веб-сайте посетителям становятся видны значок замка, название организации и обозначение «S» после HTTP. Этот тип сертификата обычно используется для веб-приложений, которые требуют подтверждения личности для сбора данных, обработки входов или осуществления онлайн-платежей.
• Сертификаты проверки организации (OV). Сертификаты OV SSL обеспечивают подтверждение личности и шифрование и лучше всего подходят для шифрования информации пользователя во время транзакций. Большинство веб-сайтов, ориентированных на потребителей, по закону обязаны разворачивать сертификаты SSL OV, чтобы гарантировать конфиденциальность информации, передаваемой во время сеанса.
• Сертификаты проверки домена (DV). Сертификаты DV SSL содержат меньше требований к проверке подлинности, чем сертификаты EV или OV, и подтверждают только контроль над доменом. Они часто используются для приложений с низким уровнем риска, например для блогов, сообществ пользователей или информационных сайтов. Это делает сертификаты DV менее дорогими и упрощает их получение.
• Сертификаты Wildcard SSL. Сертификат Wildcard SSL верифицируется на уровне проверки организации и является экономически эффективным решением для защиты базового домена и любого количества аффилированных субдоменов. Помимо того, что эти сертификаты дешевле (по сравнению с покупкой нескольких отдельных сертификатов), они отличаются простотой, поскольку пользователям не нужно подавать более одного запроса на подпись сертификата или следить за датами истечения срока действия нескольких сертификатов TLS/SSL для многочисленных URL-адресов.
• SSL-сертификаты объединенных коммуникаций (UC). Эти сертификаты верифицируются либо на уровне расширенной проверки, либо на уровне проверки организации. Эффективным способом консолидации нескольких сертификатов является использование альтернативных имен субъектов (SAN) для экономии затрат. Сертификаты UC SSL устанавливают доверенные личности и устраняют необходимость в уведомлениях браузера, предупреждающих посетителей об опасностях при посещении вашего сайта.

Иметь доверенные сертификаты TLS/SSL от признанного центра сертификации чрезвычайно важно по целому ряду причин.

• Соблюдение высоких нормативно-правовых требований. Общий регламент по защите персональных данных (GDPR), принятый в Европе, вводится и в других странах мира. Организации, нарушающие стандарты GDPR, сталкиваются с серьезными штрафами или потерей доходов.
• Потеря видимости в поисковой системе. Поисковые системы ведут борьбу с сайтами, представляющими угрозу безопасности, внедряя негативные показатели безопасности и удаляя сайты из результатов поиска.
• Повышенная безопасность данных. Крайне важно защищать пароли, номера кредитных карт, финансовые операции и другие ценные данные.
• Надежные идентификационные данные. Центр сертификации проверяет идентификационные данные организаций, подтверждает, что компания имеет контроль над своими доменами, и гарантирует, что лицо, запрашивающее сертификат, работает в соответствующей организации.

Процесс начинается тогда, когда заявитель генерирует пару криптографических активов — открытый ключ и закрытый ключ — вместе с запросом на подпись сертификата (CSR). Если кратко, CSR — это закодированный файл, содержащий открытый ключ и другую соответствующую информацию, которая должна быть включена в сертификат.

Это может быть соответствующее имя домена, организация и ее контактная информация, но в конечном итоге эти сведения будут варьироваться в зависимости от уровня проверки и предполагаемого сценария использования. Однако закрытый ключ всегда держится в секрете и никогда не должен показываться никому, включая CA.

Далее заявитель отправляет запрос на подпись сертификата в CA, который его выдал. Организация CA, выдавшая сертификат, затем самостоятельно проверяет правильность информации, содержащейся в CSR. Если информация верна, они подписывают сертификат с помощью собственного закрытого ключа и отправляют его обратно, добавляя еще один уровень доверия в процессе.

Наконец, цифровой сертификат может быть аутентифицирован с помощью открытого ключа, например, когда кто-то посещает веб-сайт заявителя через веб-браузер. Кроме того, браузеры подтверждают, что содержимое сертификата не было изменено или подделано с момента его подписания центром CA, выдавшим сертификат.

Цепочка доверия — это иерархия, используемая сертификатами для проверки действительности центра CA, выдавшего сертификат. В рамках этой модели сертификаты выдаются и подписываются другими сертификатами, которые расположены выше по цепочке. Это позволяет любому человеку, желающему проверить подлинность сертификата, проследить его до оригинала, выданного центром сертификации и известного как «корневой сертификат».

В целом этот процесс представляет собой сумму трех составляющих.

1. Якорь доверия — это исходный CA. Его корневой сертификат обычно предварительно скачивается в большинстве браузеров в «хранилище доверия».
2. По крайней мере один промежуточный сертификат, который ответвляется от корневых сертификатов, как ветви дерева. Он обеспечивает буфер между доверенным центром сертификации и конечной сущностью.
3. Сертификат конечной сущности подтверждает идентификационные данные веб-сайта, компании или физического лица. Цепочка доверия гарантирует, что центры CA придерживаются стандартов соблюдения нормативно-правовых требований, особенно тех, которые относятся к безопасности, конфиденциальности и масштабируемости.

Не все центры CA способны обеспечить защиту в конкретном сценарии использования вашей организацией, и не все они предназначены для этого. Некоторые из них не будут работать с вашей ИТ-инфраструктурой, а другие могут не предоставлять нужных услуг. Вот некоторые ключевые соображения, которые следует принимать во внимание при выборе центра сертификации.

• В достаточной ли мере CA защищает ваш бренд?
• Придерживается ли CA практических рекомендаций форума Certificate Authority Browser Forum?
• Предлагает ли CA гибкие политики лицензирования и ценообразования?
• Способен ли CA расти вместе с вашей организацией для удовлетворения ее текущих и будущих потребностей?
• Принимает ли CA активное участие в Совете безопасности центров сертификации?

Доверьте свои цифровые сертификаты нам

Бесчисленные организации обращаются к компании Entrust для удовлетворения их потребностей в общедоступных и личных сертификатах, и это не случайно. Будучи всемирно признанным центром сертификации, мы имеем многолетний опыт в деле выдачи сертификатов и управления ими. Кроме того, мы предлагаем единое «окно» для управления общедоступными и личными сертификатами, в том числе теми, которые выданы другими центрами CA. 

Как член-учредитель Совета безопасности центров сертификации и форума CA/Browser Forum, мы всегда находимся в авангарде отраслевых стандартов. Благодаря обширному портфолио цифровых сертификатов и решений у вас есть доступ к постоянно растущему списку инновационных продуктов и услуг.

С отмеченной наградами платформой сертификатов Entrust вы получаете определенные преимущества.

• Беспрецедентная поддержка.
• Универсальная совместимость с браузерами.
• Неограниченное количество перевыпусков.
• Неограниченное количество лицензий сервера, 128- или 256-битное шифрование.