Porównywanie wersji
Certyfikat bezpieczeństwa strony
Wersja 275733:
Wersja 275733 wykonana przez TyDraniu w dniu
Wersja 275746:
Wersja 275746 wykonana przez teo951 w dniu
Słowa kluczowe:
PKI certyfikat bezpieczeństwa
PKI certyfikat bezpieczeństwa
Wyniki wyszukiwania:
Certyfikat bezpieczeństwa strony pomaga Firefoksowi określić bezpieczeństwo odwiedzanej strony. Dowiedz się, czym są certyfikaty bezpieczeństwa strony.
Certyfikat bezpieczeństwa strony pomaga Firefoksowi określić bezpieczeństwo odwiedzanej strony. Dowiedz się, czym są certyfikaty bezpieczeństwa strony.
Treść:
Certyfikaty [https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ Transport Layer Security] (TLS) weryfikują integralność zarówno własności, jak i informacji odwiedzanych stron internetowych. Ten artykuł wyjaśnia, jak to działa.
__TOC__
= Jakie witryny używają certyfikatów? =
Witryny, których adresy zaczynają się od '''https''', używają certyfikatów TLS. Witryny korzystające z certyfikatów TLS są bezpieczne tylko w zakresie, w jakim weryfikują dwie rzeczy:
* Administrator witryny jest jej właścicielem lub wie, kto nim jest.
* Witryna szyfruje połączenie między przeglądarką a sobą, aby zapobiec podsłuchiwaniu.
= Łańcuch zaufania =
Przeglądarki, takie jak Firefox, weryfikują certyfikaty poprzez hierarchię zwaną '''łańcuchem zaufania'''. Definiuje on strukturę dla przeglądarek i innych programów w celu weryfikacji integralności certyfikatu. Ten diagram ilustruje łańcuch zaufania:
;[[Image:chain-of-trust]]
Jest to lista trzech certyfikatów:
* Certyfikat główny '''(kotwica zaufania)'''
* Certyfikat pośredni
* Certyfikat serwera '''(podmiotu końcowego)'''
Zdefiniujmy je: certyfikat główny należy do [https://en.wikipedia.org/wiki/Certificate_authority urzędu certyfikacji] (CA), który wydaje certyfikaty TLS, a przeglądarka z natury mu ufa; certyfikat pośredni działa jako pośrednik między głównym urzędem certyfikacji a witryną; certyfikat serwera należy do administratora witryny.
Certyfikaty te zawierają następujące informacje:
* Szczegóły dotyczące urzędu certyfikacji (CA)
* Para kluczy asymetrycznych
** Klucz prywatny, który kryptograficznie podpisuje następny certyfikat w łańcuchu; certyfikat serwera ma jeden do różnych zadań
** Klucz publiczny do odszyfrowania podpisu następnego certyfikatu w łańcuchu w celu weryfikacji tożsamości; certyfikat serwera używa go do różnych zadań
Teraz możemy opisać, w jaki sposób Firefox określa, czy witryna jest bezpieczna.
== Jak Firefox weryfikuje integralność certyfikatu? ==
Oto jak Firefox używa łańcucha zaufania do weryfikacji certyfikatów TLS:
# Firefox pobiera certyfikat odwiedzanej witryny.
# Firefox sprawdza certyfikat w swojej wewnętrznej bazie danych urzędów certyfikacji (CA).
#* Używa klucza publicznego certyfikatu głównego urzędu certyfikacji, aby upewnić się, że certyfikat główny i pośredni są prawidłowo podpisane w łańcuchu.
# Firefox sprawdza w urzędzie certyfikacji, czy witryna, z którą się łączysz, jest zgodna z witryną w certyfikacie serwera.
# Firefox generuje symetryczny (pojedynczy) klucz do szyfrowania ruchu HTTP dla połączenia.
# Firefox szyfruje klucz symetryczny kluczem publicznym certyfikatu serwera.
# Klucz prywatny, który znajduje się na serwerze WWW, odszyfrowuje dane połączenia.
= Wyświetlenie certyfikatu =
Aby wyświetlić certyfikat, wykonaj następujące kroki:
# Kliknij ikonę kłódki w pasku adresu witryny.
#; [[Image:padlock-icon]]
# Kliknij {button Zabezpieczone połączenie}.
#; [[Image:connection-secure]]
# Kliknij {button Więcej informacji}.
#; [[Image:more-information]]
# W wyświetlonym okienku kliknij {button Wyświetl certyfikat}.
#; [[Image:view-certificate]]
Firefox otworzy stronę '''about:certificate''' zawierającą certyfikat strony, na której jesteś:
;[[Image:about-certificate-page]]
Trzy zakładki pokazują, od lewej do prawej, certyfikat serwera, certyfikat pośredni i certyfikat główny.
= Zawartość certyfikatu =
Certyfikaty TLS zawierają następujące informacje:
* '''Nazwa podmiotu''': Zawiera nazwę strony internetowej i opcjonalne atrybuty, takie jak informacje o organizacji będącej właścicielem certyfikatu
* '''Nazwa wystawcy''': Identyfikuje podmiot, który wystawił certyfikat
* '''Ważność''': Pokazuje, kiedy certyfikat jest ważny
* '''Alternatywne nazwy podmiotu''': Lista adresów stron internetowych, dla których certyfikat jest ważny
* '''Informacje o kluczu publicznym''': Wyświetla atrybuty klucza publicznego certyfikatu
* '''Numer seryjny''': Jednoznacznie identyfikuje certyfikat
* '''Algorytm podpisu''': Algorytm użyty do utworzenia podpisu
* '''Odciski''': Hash pliku certyfikatu w formacie binarnym [https://wiki.openssl.org/index.php/DER DER]
* '''Zastosowania klucza i Rozszerzone zastosowania klucza''': Określa, w jaki sposób można używać certyfikatu, na przykład do potwierdzania własności strony internetowej (uwierzytelnianie serwera WWW)
* '''Identyfikator klucza podmiotu''': Identyfikator wygenerowany z klucza publicznego certyfikatu TLS jako sposób identyfikacji certyfikatu
* '''Identyfikator klucza organu''': Identyfikator wygenerowany na podstawie klucza publicznego certyfikatu TLS jako sposób identyfikacji klucza publicznego odpowiadającego kluczowi prywatnemu użytemu do podpisania certyfikatu
* '''Punkty końcowe CRL''': Lokalizacje [https://csrc.nist.gov/glossary/term/certificate_revocation_list listy unieważnień certyfikatów] (CRL) wystawiającego urzędu certyfikacji
* '''Informacje o organie (AIA)''': Zawiera metodę walidacji dla urzędu certyfikacji i pliku certyfikatu pośredniego
* '''Zasady certyfikatu''': Zawiera typ walidacji certyfikatu i odnośnik do [https://csrc.nist.gov/glossary/term/certification_practice_statement Oświadczenia o praktykach certyfikacyjnych] (CPS) urzędu certyfikacji
* '''Osadzone SCT''': Zawiera listę [https://www.globalsign.com/en/blog/what-is-certificate-transparency Podpisanych znaczników czasu certyfikatu] (SCT)
= Problematyczne certyfikaty =
Jeśli odwiedzasz stronę, której adres zaczyna się od '''https''', a z jej certyfikatem jest jakiś problem, zobaczysz stronę z informacją o błędzie. Często spotykane błędy certyfikatów opisano na stronie [[What do the security warning codes mean?]].
Aby wyświetlić problematyczny certyfikat:
# Na stronie ostrzeżenia '''Połączenie nie gwarantuje bezpieczeństwa''' kliknij {button Zaawansowane…}.
#; [[Image:bad-cert-advanced]]
# Kliknij ''Wyświetl certyfikat''.
#; [[Image:view-bad-certificate]]
Certyfikat zostanie wyświetlony.
Certyfikaty [https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ Transport Layer Security] (TLS) weryfikują integralność zarówno własności, jak i informacji o odwiedzanych witrynach internetowych. W tym artykule wyjaśniono, jak to działa.
__TOC__
=Jakie witryny internetowe korzystają z certyfikatów?=
Witryny internetowe, których adresy zaczynają się od „https”, korzystają z certyfikatów TLS. Witryny korzystające z tych certyfikatów są bezpieczne tylko wtedy, o ile weryfikują dwie rzeczy:
* Administrator witryny jest właścicielem nazwy witryny lub wie, kto jest jej posiadaczem
* Witryna szyfruje połączenie między przeglądarką użytkownika a nią samą, aby zapobiec podsłuchiwaniu
=Łańcuch certyfikatów=
Przeglądarki, takie jak Firefox weryfikują certyfikaty poprzez hierarchię zwaną '''łańcuchem certyfikatów''' (ang. ''chain of trust'') lub '''łańcuchem zaufania'''. Definiuje to strukturę dla przeglądarek i innych programów w celu weryfikacji integralności certyfikatu. Poniższy diagram ilustruje łańcuch certyfikatów:
;[[Image:chain-of-trust]]
Oto wykaz trzech certyfikatów:
* Certyfikat główny '''(trust anchor)'''
* Certyfikat pośredni
* Certyfikat serwera '''(end entity)'''
Zdefiniujmy je:
#Certyfikat główny należy do [https://pl.wikipedia.org/wiki/Urz%C4%85d_certyfikacji głównego urzędu certyfikacji] (CA), który wystawia certyfikaty TLS i przeglądarka z natury mu ufa.
#Certyfikat pośredni pełni rolę pośrednika pomiędzy głównym urzędem certyfikacji (CA) a witryną internetową.
#Certyfikat serwera należy do administratora serwisu.
Certyfikaty te zawierają następujące informacje:
* Informacje o urzędzie certyfikacji (CA),
* Parę kluczy asymetrycznych,
** Klucz prywatny kryptograficznie podpisuje kolejny certyfikat w łańcuchu, jest chroniony przez właściciela klucza i tylko on może się nim posłużyć.
** Klucz publiczny służy do odszyfrowania podpisu kolejnego certyfikatu w łańcuchu w celu weryfikacji tożsamości, jest częścią certyfikatu cyfrowego jego właściciela i mogą go używać wszyscy zainteresowani.
Teraz możemy opisać, w jaki sposób Firefox określa, czy witryna jest bezpieczna.
==Jak Firefox sprawdza integralność certyfikatu?==
Oto jak Firefox wykorzystuje łańcuch certyfikatów do weryfikacji certyfikatów TLS:
# Firefox pobiera certyfikat odwiedzanej witryny.
# Sprawdza certyfikat w swojej wewnętrznej bazie danych głównych urzędów certyfikacji (CA).
#* Używa klucza publicznego certyfikatu głównego urzędu certyfikacji, aby upewnić się, że certyfikat główny i certyfikat pośredni są prawidłowo podpisane w łańcuchu.
# Sprawdza w głównym urzędzie certyfikacji, czy witryna, z którą użytkownik się łączy, jest zgodna z witryną w certyfikacie serwera.
# Generuje symetryczny (pojedynczy) klucz do szyfrowania ruchu HTTP dla połączenia.
# Szyfruje klucz symetryczny kluczem publicznym certyfikatu serwera.
# Klucz prywatny, który znajduje się na serwerze WWW, odszyfrowuje dane połączenia.
=Wyświetlanie certyfikatu=
Aby zobaczyć certyfikat należy:
# Kliknąć ikonę kłódki znajdującą się w pasku adresu
#; [[Image:padlock-icon]]
# Kliknąć {button Zabezpieczone połączenie}
#; [[Image:connection-secure]]
# Kliknąć {button Więcej informacji}
#; [[Image:more-information]]
# W wyświetlonym oknie, kliknąć {button Wyświetl certyfikat}
#; [[Image:view-certificate]]
Zostanie wyświetlony certyfikat aktualnie przeglądanej strony:
;[[Image:about-certificate-page]]
Widoczne są trzy zakładki, w których kolejno wyświetlane są: certyfikat serwera, certyfikat pośredni i certyfikat główny.
=Zawartość certyfikatu=
Certyfikaty TLS zawierają następujące informacje:
* '''Nazwa podmiotu''' – zawiera nazwę witryny internetowej i opcjonalne atrybuty, takie jak informacje o organizacji będącej właścicielem certyfikatu.
* '''Wystawca''' – identyfikuje podmiot, który wydał certyfikat
* '''Ważność''' – pokazuje jak długo certyfikat jest ważny
* '''Alternatywne nazwy podmiotu''' – wyświetla adresy witryn internetowych, dla których certyfikat jest ważny
* '''Informacje o kluczu publicznym''' – wyświetla listę atrybutów klucza publicznego certyfikatu
* '''Numer seryjny''' – unikalny identyfikator certyfikatu
* '''Algorytm sygnatury certyfikatu''' – Algorytm używany do stworzenia sygnatury
* '''Odciski''' – hash (cyfrowy „odcisk palca” pliku komputerowego) pliku certyfikatu w [https://wiki.openssl.org/index.php/DER DER] formacie binarnym
* '''Rozszerzone zastosowania klucza''' – określa, w jaki sposób użytkownicy mogą korzystać z certyfikatu, na przykład w celu potwierdzenia własności witryny internetowej (uwierzytelnianie serwera sieci Web)
* '''Identyfikator klucza podmiotu''' – identyfikator wygenerowany na podstawie klucza publicznego certyfikatu TLS w celu identyfikacji certyfikatu
* '''Identyfikator klucza organu''' – identyfikator generowany z klucza publicznego certyfikatu TLS, służący do identyfikacji klucza publicznego odpowiadającego kluczowi prywatnemu użytemu do podpisania certyfikatu
* '''Punkty końcowe CRL''' – lokalizacje [https://csrc.nist.gov/glossary/term/certificate_revocation_list Certificate Revocation List] (CRL) wystawiającego urzędu certyfikacji
* '''Informacje o organie (AIA)''' – zawiera metodę sprawdzania poprawności dla urzędu certyfikacji i pośredniego pliku certyfikatu
* '''Ważność certyfikatu''' – zawiera typ sprawdzania poprawności certyfikatu i łącze do pliku CA [https://csrc.nist.gov/glossary/term/certification_practice_statement Certification Practices Statement] (CPS)
* '''Osadzone SCT''' – zawiera listę [https://www.globalsign.com/en/blog/what-is-certificate-transparency Signed Certificate Timestamps] (SCT)
=Problematyczne certyfikaty=
Jeśli użytkownik odwiedza witrynę, której adres zaczyna się od '''https''', a z jej certyfikatem jest jakiś problem, zobaczy informację o błędzie. Często spotykane błędy certyfikatów opisano w artykule: [[What do the security warning codes mean?]].
Aby wyświetlić problematyczny certyfikat:
# Na stronie z komunikatem '''Połączenie nie jest bezpieczne''', kliknij przycisk {button Zaawansowane…}
#; [[Image:bad-cert-advanced]]
# Kliknij ''Wyświetl certyfikat''
Zostanie wyświetlony zły certyfikat.
<!-- This feature appears to be deprecated
=Zgłaszanie nieprawidłowych certyfikatów=
Strony z informacją o błędzie certyfikatu zawierają opcję zgłoszenia tego błędu do Mozilli. Udostępnienie adresu i identyfikatora strony (certyfikat bezpiecznej witryny) niezaufanej witryny pomoże Mozilli identyfikować i blokować niebezpieczne witryny, zapewniając lepszą ochronę.
-->
<!-- see discussion
=Usuwanie certyfikatów=
Aby usunąć certyfikat:
# [[Template:optionspreferences]]
# W panelu po lewej stronie kliknij {menu Prywatność i Bezpieczeństwo}.
# Przewiń do sekcji '''Certyfikaty'''.
# Kliknij przycisk {button Wyświetl certyfikaty…}.
#;Zostanie wyświetlone wyskakujące okienko '''Menedżer certyfikatów''' z kartą {menu Twoje certyfikaty} zawierającą listę powiązanych certyfikatów.
# Na liście kliknij certyfikat.
# Na dole wyskakującego okienka kliknij przycisk {button Usuń…}.
#; Zostanie wyświetlone wyskakujące okienko z potwierdzeniem.
# Kliknij przycisk {button OK}.
#;Certyfikat zostanie usunięty nie będzie już wyświetlany na karcie {menu Twoje certyfikaty}.
-->