Τα πιστοποιητικά Transport Layer Security (TLS) επαληθεύουν την ακεραιότητα τόσο της ιδιοκτησίας όσο και των πληροφοριών των ιστοτόπων που επισκέπτεστε. Αυτό το άρθρο εξηγεί πώς λειτουργεί αυτή η διαδικασία.
Πίνακας περιεχομένων
Ποιοι ιστότοποι χρησιμοποιούν πιστοποιητικά;
Οι ιστότοποι των οποίων οι διευθύνσεις ξεκινούν με https χρησιμοποιούν πιστοποιητικά TLS. Οι ιστότοποι που χρησιμοποιούν πιστοποιητικά είναι ασφαλείς μόνο εφόσον επαληθεύουν τα εξής:
- Ο διαχειριστής του ιστοτόπου είναι ο ιδιοκτήτης του ονόματος του ιστοτόπου ή γνωρίζει ποιος είναι
- Ο ιστότοπος κρυπτογραφεί τη σύνδεση μεταξύ του εαυτού του και του προγράμματος περιήγησής σας για να αποτρέπεται η υποκλοπή από τρίτους
Αλυσίδα εμπιστοσύνης
Τα προγράμματα περιήγησης, όπως το Firefox, επαληθεύουν τα πιστοποιητικά μέσω μιας ιεραρχίας που ονομάζεται αλυσίδα εμπιστοσύνης. Καθορίζει μια δομή που ακολουθούν τα προγράμματα περιήγησης και άλλα προγράμματα για τον έλεγχο της ακεραιότητας ενός πιστοποιητικού. Αυτό το διάγραμμα απεικονίζει την αλυσίδα εμπιστοσύνης:
Πρόκειται για μια λίστα τριών πιστοποιητικών:
- Το πιστοποιητικό ρίζας (άγκυρα εμπιστοσύνης)
- Το ενδιάμεσο πιστοποιητικό
- Το πιστοποιητικό διακομιστή (τελική οντότητα)
Ας τα ορίσουμε: το πιστοποιητικό ρίζας ανήκει στην Αρχή πιστοποιητικών (CA), που εκδίδει πιστοποιητικά TLS και την οποία εμπιστεύεται το πρόγραμμα περιήγησης από προεπιλογή. Το ενδιάμεσο πιστοποιητικό λειτουργεί ως μεσολαβητής μεταξύ της ριζικής αρχής πιστοποιητικού και του ιστότοπου. Το πιστοποιητικό διακομιστή ανήκει στον διαχειριστή του ιστότοπου.
Αυτά τα πιστοποιητικά περιέχουν τις παρακάτω πληροφορίες:
- Λεπτομέρειες σχετικά με την αρχή πιστοποιητικού (CA)
- Ένα ζεύγος κλειδιών ασύμμετρης κρυπτογράφησης
- Ένα ιδιωτικό κλειδί που υπογράφει κρυπτογραφικά το επόμενο πιστοποιητικό στην αλυσίδα· το πιστοποιητικό του διακομιστή διαθέτει ένα κλειδί για άλλες εργασίες
- Ένα δημόσιο κλειδί για την αποκρυπτογράφηση της υπογραφής του επόμενου πιστοποιητικού στην αλυσίδα για τον έλεγχο ταυτότητας· το πιστοποιητικό του διακομιστή το χρησιμοποιεί για άλλες εργασίες
Τώρα, μπορούμε να περιγράψουμε τον τρόπο με τον οποίο το Firefox προσδιορίζει εάν ένας ιστότοπος είναι ασφαλής.
Πώς επαληθεύει το Firefox την ακεραιότητα ενός πιστοποιητικού;
Το Firefox χρησιμοποιεί με τον παρακάτω τρόπο την αλυσίδα εμπιστοσύνης για να επαληθεύει τα πιστοποιητικά TLS:
- Το Firefox κάνει λήψη του πιστοποιητικό του ιστότοπου που επισκεφτήκατε.
- Το Firefox ελέγχει το πιστοποιητικό με βάση την εσωτερική του βάση δεδομένων αρχών πιστοποιητικών (CA).
- Χρησιμοποιεί το δημόσιο κλειδί του πιστοποιητικού ρίζας της αρχής πιστοποιητικών για να εξασφαλίσει ότι το πιστοποιητικό ρίζας και το ενδιάμεσο πιστοποιητικό υπογράφονται σωστά κατά μήκος της αλυσίδας.
- Το Firefox επικοινωνεί με την αρχή πιστοποιητικών για να εξασφαλίσει ότι ο ιστότοπος με τον οποίο συνδέεστε ταιριάζει με τον ιστότοπο στο πιστοποιητικό διακομιστή.
- Το Firefox δημιουργεί ένα συμμετρικό (μοναδικό) κλειδί για την κρυπτογράφηση της κίνησης HTTP για τη σύνδεση.
- Το Firefox κρυπτογραφεί το συμμετρικό κλειδί με το δημόσιο κλειδί του πιστοποιητικού του διακομιστή.
- Το ιδιωτικό κλειδί, που βρίσκεται στον διακομιστή ιστού, αποκρυπτογραφεί τα δεδομένα της σύνδεσης.
Προβολή πιστοποιητικού
Για να δείτε ένα πιστοποιητικό, ακολουθήστε αυτά τα βήματα:
- Κάντε κλικ στο εικονίδιο-λουκέτο.
- Επιλέξτε .
- Κάντε κλικ στο .
- Στο αναδυόμενο παράθυρο, επιλέξτε .
Το Firefox θα ανοίξει τη σελίδα about:certificate με το πιστοποιητικό για τον ιστότοπο στον οποίο βρίσκεστε:
Οι τρεις καρτέλες δείχνουν, από τα αριστερά προς τα δεξιά, το πιστοποιητικό του διακομιστή, το ενδιάμεσο πιστοποιητικό και το πιστοποιητικό ρίζας.
Περιεχόμενο πιστοποιητικού
Τα πιστοποιητικά TLS περιέχουν τις εξής πληροφορίες:
- Θέμα: Περιλαμβάνει το όνομα του ιστοτόπου και προαιρετικά χαρακτηριστικά, όπως πληροφορίες για τον οργανισμό που είναι κάτοχος του πιστοποιητικού.
- Εκδότης: Αναγνωρίζει την οντότητα που εξέδωσε το πιστοποιητικό.
- Εγκυρότητα: Δείχνει πόσο καιρό είναι έγκυρο το πιστοποιητικό.
- Επέκταση εναλλακτικού ονόματος θέματος: Παραθέτει τις διευθύνσεις ιστοτόπων για τις οποίες είναι έγκυρο το πιστοποιητικό.
- Πληροφορίες δημόσιου κλειδιού: Παραθέτει τα χαρακτηριστικά του δημόσιου κλειδιού του πιστοποιητικού.
- Σειριακός αριθμός: Προσδιορίζει μοναδικά το πιστοποιητικό.
- Αλγόριθμος υπογραφής: Ο αλγόριθμος που χρησιμοποιήθηκε για τη δημιουργία της υπογραφής.
- Αποτυπώματα: Το hash του αρχείου του πιστοποιητικού σε δυαδική μορφή DER.
- Χρήση κλειδιού και εκτεταμένη χρήση κλειδιού: Καθορίζει πώς μπορούν οι άνθρωποι να χρησιμοποιήσουν το πιστοποιητικό, όπως για την επιβεβαίωση της ιδιοκτησίας ενός ιστοτόπου (Πιστοποίηση διακομιστή ιστού).
- ID κλειδιού θέματος: Ένα αναγνωριστικό που δημιουργείται από το δημόσιο κλειδί του πιστοποιητικού TLS ως ένας τρόπος για την ταυτοποίηση του πιστοποιητικού.
- ID κλειδιού αρχής: Ένα αναγνωριστικό που δημιουργείται από το δημόσιο κλειδί του πιστοποιητικού TLS ως ένας τρόπος για την ταυτοποίηση του δημόσιου κλειδιού που αντιστοιχεί στο ιδιωτικό κλειδί που χρησιμοποιήθηκε για την υπογραφή του πιστοποιητικού.
- Τελικά σημεία CRL: Οι τοποθεσίες της Λίστας ανάκλησης πιστοποιητικού (CRL) της αρχής πιστοποιητικού.
- Πληροφορίες αρχής: Περιέχει τη μέθοδο επικύρωσης για την αρχή πιστοποιητικών και το αρχείο του ενδιάμεσου πιστοποιητικού.
- Επικύρωση πιστοποιητικού: Περιέχει τον τύπο επικύρωσης του πιστοποιητικού και έναν σύνδεσμο προς τη δήλωση πρακτικών πιστοποίησης (CPS) της αρχής πιστοποιητικών.
- Ενσωματωμένα SCT: Παραθέτει τις υπογεγραμμένες χρονοσημάνσεις πιστοποιητικού (SCT).
Προβληματικά πιστοποιητικά
Όταν επισκεφτείτε έναν ιστότοπο του οποίου η διεύθυνση ξεκινά με https και προκύψει πρόβλημα με το πιστοποιητικό TLS του, θα εμφανιστεί σελίδα σφάλματος. Το άρθρο Τι σημαίνουν οι κωδικοί προειδοποιήσεων ασφαλείας; περιγράφει μερικά συνήθη σφάλματα πιστοποιητικών.
Για να δείτε το προβληματικό πιστοποιητικό, ακολουθήστε αυτά τα βήματα:
- Στην προειδοποιητική σελίδα Η σύνδεσή σας δεν είναι ασφαλής, κάντε κλικ στο .
- Κάντε κλικ στο Προβολή πιστοποιητικού.
Θα εμφανιστεί το προβληματικό πιστοποιητικό.
