Сертификаты Безопасности траспортного уровня (TLS) проверяют целостность как прав владения, так и информации о посещаемых вами веб-сайтах. В этой статье объясняется, как это работает.
Оглавление
Какие веб-сайты используют сертификаты?
Веб-сайты, адреса которых начинаются с https, используют сертификаты TLS. Веб-сайты, использующие сертификаты TLS, безопасны только в том случае, если они проверяют две вещи:
- Администратор веб-сайта владеет именем веб-сайта или знает, кто это делает
- Веб-сайт шифрует соединение между вашим браузером и самим собой, чтобы предотвратить прослушивание
Цепочка доверия
Браузеры, такие как Firefox, проверяют сертификаты с помощью иерархии, называемой 'цепочка доверия. Она определяет структуру для браузеров и других программ для проверки целостности сертификата. Эта диаграмма иллюстрирует цепочку доверия:
Это список из трех сертификатов:
- Корневой сертификат (привязка доверия)
- Промежуточный сертификат
- Сертификат сервера (конечная сущность)
Давайте определим их: корневой сертификат принадлежит Центру сертификации (CA), который выдает сертификаты TLS и которому браузер по своей сути доверяет; промежуточный сертификат действует как посредник между корневым центром сертификации и веб-сайтом; сертификат сервера принадлежит администратору веб-сайта.
Эти сертификаты содержат следующую информацию:
- Подробные сведения об центре сертификации (CA)
- Асимметричная пара ключей
- Закрытый ключ, который криптографически подписывает следующий сертификат в цепочке; сертификат сервера имеет такой для других задач
- Открытый ключ для расшифровки подписи следующего сертификата в цепочке для проверки личности; сертификат сервера использует его для других задач
Теперь мы можем описать, как Firefox определяет, является ли веб-сайт безопасным.
Как Firefox проверяет целостность сертификата?
Вот как Firefox использует цепочку доверия для проверки сертификатов TLS:
- Firefox загружает сертификат веб-сайта, который вы посетили
- Firefox проверяет сертификат по своей внутренней базе данных центров сертификации (CAs)
- Он использует открытый ключ сертификата корневого центра сертификации, чтобы гарантировать, что корневой сертификат и промежуточный сертификат надлежащим образом подписаны по цепочке
- Firefox производит проверку в центре сертификации, чтобы убедиться, что веб-сайт, к которому вы подключены, соответствует веб-сайту в сертификате сервера
- Firefox генерирует симметричный (одиночный) ключ для шифрования HTTP-трафика для соединения
- Firefox шифрует симметричный ключ с помощью открытого ключа сертификата сервера
- Закрытый ключ, который находится на веб-сервере, расшифровывает данные подключения
Просмотр сертификата
Чтобы просмотреть сертификат, выполните следующие действия:
- Нажмите на значок замка
- Нажмите на
- Нажмите на
- В сплывающем окне нажмите
Теперь Firefox откроет страницу about:certificate с сертификатом для веб-сайта, на котором вы находитесь:
На трёх вкладках слева направо показаны сертификат сервера, промежуточный сертификат и корневой сертификат.
Содержимое сертификата
Сертификаты TLS содержат следующую информацию:
- Субъект: Содержит название веб-сайта и необязательные атрибуты, такие как информация об организации, владеющей сертификатом.
- Издатель: Идентифицирует организацию, выдавшую сертификат
- Срок действия: Показывает, как долго действителен сертификат
- Расширение альтернативного имени субъекта: Содержит список адресов веб-сайтов, для которых действителен сертификат
- Информация об открытом ключе: Перечисляет атрибуты открытого ключа сертификата
- Серийный номер: Однозначно идентифицирует сертификат
- Алгоритм подписи: Алгоритм, используемый для создания подписи
- Отпечатки: Хэш файла сертификата в двоичном формате DER
- Использование ключа и Расширенное использование ключа: Указывает, как пользователи могут использовать сертификат, например, для подтверждения права собственности на веб-сайт (аутентификация веб-сервера).
- Идентификатор ключа субъекта: Идентификатор, сгенерированный из открытого ключа сертификата TLS для идентификации сертификата
- Идентификатор ключа центра сертификатов: Идентификатор, сгенерированный из открытого ключа сертификата TLS как способ идентификации открытого ключа, соответствующего закрытому ключу, используемому для подписи сертификата
- Точки распределения списков отзыва (CRL): Местоположения Списка отзыва сертификатов (CRL) центра сертификации-эмитента
- Доступ к информации о центрах сертификации: Содержит метод проверки для центра сертификации и промежуточный файл сертификата
- Проверка сертификата: Содержит тип проверки сертификата и ссылку на Заявление центра сертификации о практике сертификации (CPS)
- Список SCT: Перечисляет Временные метки подписанного сертификата (SCTS)
Проблемные сертификаты
Когда вы посещаете веб-сайт, адрес которого начинается с https, и возникает проблема с сертификатом TLS, отображается страница с ошибкой. В статье Что означают коды предупреждения о безопасности? описаны распространенные ошибки сертификатов.
Чтобы просмотреть проблемный сертификат, выполните следующие действия:
- На странице предупреждения Ваше соединение не защищено нажмите
- Нажмите Просмотреть сертификат.
Теперь отобразится неверный сертификат.