Сертификат защищённого веб-сайта

Firefox Firefox Последнее обновление: 5 дней, 19 часов ago

Сертификаты безопасности транспортного уровня (Transport Layer Security, TLS) для защищенных веб-сайтов проверяют права собственности и целостность информации на веб-сайтах, которые вы посещаете. В этой статье объясняется, как это работает.

Какие веб-сайты используют сертификаты?

Веб-сайты, адреса которых начинаются с https, используют сертификаты сервера TLS. Веб-сайты, использующие сертификаты сервера TLS, гарантируют две вещи:

  • Администратор веб-сайта владеет доменным именем или контролирует его, гарантируя, что пользователи подключаются к законному сайту, а не к поддельной или вредоносной копии веб-сайта.
  • Зашифрованный обмен данными по протоколу TLS между браузером и веб-сайтом защищен от прослушивания или вмешательства посторонних лиц.

Цепочка доверия

Браузеры, такие как Firefox, проверяют сертификаты с помощью иерархии, называемой 'цепочкой доверия, в которую обычно входят по меньшей мере три сертификата:

  • Корневой сертификат (привязка доверия)
  • Один или больше промежуточных сертификатов
  • Сертификат TLS-сервера (конечная сущность)
chain-of-trust

Корневой сертификат принадлежит Центру сертификации (CA), которому браузер доверяет выдавать другие сертификаты. Как правило, корневой сертификат выдает один или несколько промежуточных сертификатов, которые затем используются для выдачи сертификатов сервера TLS организациям, которые могут продемонстрировать контроль над доменами веб-сайтов, указанными этими сертификатами.

Сертификаты основаны на криптографии с открытым ключом, в которой асимметричная пара ключей содержит два математически связанных ключа:

  • Закрытый ключ: Этот ключ хранится в секрете его владельцем и используется для криптографических операций, таких как подписание данных (включая сертификаты) или расшифровка информации, зашифрованной с помощью открытого ключа
  • Открытый ключ: Этот ключ является общедоступным и используется для проверки подписей, созданных с помощью закрытого ключа, или для шифрования информации, которую может расшифровать только закрытый ключ

Сертификаты открытых ключей содержат следующую информацию:

  • Сведения о центре сертификации (CA), выдавшем сертификат
  • Открытый ключ, принадлежащий организации, получившей сертификат.
  • Указание сведений об организации, у которой хранится закрытый ключ (прочитайте Содержимое сертификата ниже. Для сертификатов сервера TLS это, прежде всего, доменное имя веб-сайта).

Теперь мы можем описать, как Firefox определяет, является ли веб-сайт безопасным.

Как Firefox проверяет целостность сертификата?

Вот как Firefox использует цепочку доверия для проверки сертификатов TLS-серверов:

  1. Firefox загружает сертификат веб-сайта, который вы посетили.
  2. Firefox проверяет сертификат по своей внутренней базе данных доверенных центров сертификации (CAs).
    • Он использует открытый ключ сертификата корневого центра сертификации, чтобы убедиться, что корневой сертификат и промежуточные сертификаты были должным образом подписаны по цепочке с сертификатом сервера TLS, предоставленным веб-сайтом.
  3. Firefox проверяет информацию в сертификате, чтобы убедиться, что веб-сайт, к которому вы подключены, соответствует веб-сайту, указанному в сертификате.
  4. Firefox генерирует симметричный (одиночный) ключ для шифрования HTTP-трафика для соединения.
  5. Firefox шифрует симметричный ключ открытым ключом сервера, который содержится в сертификате сервера.
  6. Закрытый ключ, который находится на веб-сервере, расшифровывает необходимые данные подключения для завершения так называемого TLS-рукопожатия.

После этого между Firefox и веб-сайтом может осуществляться защищенная связь.

Просмотр сертификата

Чтобы просмотреть сертификат, выполните следующие действия:

  1. Нажмите значок замка Fx89Padlock в адресной строке.
  2. На открывшейся панели Информация о сайте нажмите Защищённое соединение.
    Fx134SiteInfo-ConnectionSecure
  3. На следующей панели нажмите Подробнее
    Fx134SiteInfo-MoreInfo
  4. В открывшемся окне Информация о странице нажмите Просмотреть сертификат
    Fx134SiteInfo-ViewCert

Теперь Firefox откроет страницу about:certificate, чтобы отобразить информацию о сертификате для веб-сайта, на котором вы находитесь:

Fx134SiteInfo-AboutCert

На трёх вкладках слева направо показаны сертификат TLS-сервера, промежуточный сертификат и корневой сертификат.

Содержимое сертификата

Сертификаты TLS-серверов содержат следующую информацию:

  • Субъект: Содержит необязательные атрибуты, такие как название веб-сайта и другую информацию об организации, владеющей сертификатом.
  • Издатель: Идентифицирует организацию CA, выдавшую сертификат.
  • Срок действия: Показывает, как долго действителен сертификат.
  • Расширение альтернативного имени субъекта: Содержит список адресов веб-сайтов, для которых действителен сертификат.
  • Информация об открытом ключе: Перечисляет атрибуты открытого ключа сертификата.
  • Серийный номер: Однозначно идентифицирует сертификат.
  • Алгоритм подписи: Алгоритм, используемый для создания подписи.
  • Отпечатки: Хэш файла сертификата в двоичном формате DER.
  • Использование ключа и Расширенное использование ключа: Указывают, как пользователи могут использовать сертификат, например, для проверки подлинности на веб-сервере по протоколу TLS.
  • Идентификатор ключа субъекта: Идентификатор, сгенерированный из открытого ключа сертификата TLS для идентификации сертификата.
  • Идентификатор ключа центра сертификатов: Идентификатор, сгенерированный из открытого ключа CA как способ идентификации открытого ключа, соответствующего закрытому ключу, используемому для подписи сертификата.
  • Точки распределения списков отзыва (CRL): Местоположения Списка отзыва сертификатов (CRL) центра сертификации-эмитента.
  • Доступ к информации о центрах сертификации: Содержит метод проверки для центра сертификации и промежуточный файл сертификата.
  • Политики сертификата: Содержит указатели на тип сертификата TLS, которым он является (например, информация, подтвержденная при выдаче сертификата).
  • Список SCT: Перечисляет Временные метки подписанного сертификата (SCTS).

Проблемные сертификаты

Когда вы посещаете веб-сайт, адрес которого начинается с https, и обнаруживается проблема с сертификатом TLS, браузер отобразит страницу с ошибкой. В статье Что означают коды предупреждения о безопасности? описаны распространенные ошибки сертификатов.

Чтобы просмотреть проблемный сертификат, выполните следующие действия:

  1. На странице предупреждения нажмите Дополнительно….
    Fx134SecurityWarning
  2. Нажмите Просмотреть сертификат.
    Fx134SecurityWarning-ViewCert

Теперь отобразится неверный сертификат.

Эти прекрасные люди помогли написать эту статью:

Unghost, Harry, Anticisco Freeman, Valery Ledovskoy
Illustration of hands

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Подробнее