Что такое сертификат ЦС и зачем он нам?

Я только что прочитал эту статью о том, что такое служба HTTPS, и понял основы https.

При запросе содержимого https сервер отправляет браузеру открытый ключ, так что каждый раз, когда браузер получает данные, они будут расшифровываться с помощью открытого ключа.

У меня вопрос: для чего нужен сертификат CA? Зачем нам это нужно?


ssl x509 pki
person Nicolas S.Xu    schedule 15.10.2016    source источник
comment
Вы этого не сделаете. Ознакомьтесь с Let's Encrypt.   -  person erickson    schedule 15.10.2016
comment
@erickson Почему существует Власть? Насколько я понимаю, https - это точка-точка, строго между двумя сторонами.   -  person Nicolas S.Xu    schedule 15.10.2016
comment
Stack Overflow - это сайт для вопросов по программированию и разработке. Этот вопрос кажется не по теме, потому что он не о программировании или разработке. См. Какие темы можно задать здесь в Справочном центре. Возможно, Суперпользователь или Обмен стеками информационной безопасности будут лучшее место, чтобы спросить. Также Где я могу задать вопросы о Dev Ops?.   -  person jww    schedule 15.10.2016
comment
У @erickson Lets Encrypt все еще есть CA - «разница» в LE заключается в том, что а) он бесплатный и б) автоматически обновляется (или, если вы не можете автоматически, то, вероятно, не стоит беспокоиться) - так что двойной выигрыш!   -  person barny    schedule 09.10.2019

Ответы (3)


arrow_upward
8
arrow_downward

Сертификат ЦС - это цифровой сертификат, выпущенный центром сертификации (ЦС), поэтому клиенты SSL (например, веб-браузеры) могут использовать его для проверки подписи сертификатов SSL этим ЦС.

Например, stackoverflow.com использует Let's encrypt для подписи своих серверов, а SSL-сертификаты, отправленные stackoverflow.com, упоминают, что они подписаны Let's encrypt. Ваш браузер содержит сертификат CA от Let's encrypt, поэтому браузер может использовать этот сертификат CA для проверки SSL-сертификата stackoverflow и убедиться, что вы действительно разговариваете с реальным сервером, а не с посредником.

https://security.stackexchange.com/a/20833/233126 предоставляет более подробное объяснение того, как TLS / SSL сертификаты работают.

person Ding-Yi Chen    schedule 25.04.2020

arrow_upward
5
arrow_downward

Большинство сертификатов не стоят 800 долларов, а центры сертификации, такие как Let's Encrypt, бесплатны (за счет дополнительных неудобств, связанных с периодическим и частым продлением).

Вопрос в том, почему клиент доверяет правильному серверу? Ответ заключается в том, что центр сертификации выдает сертификат сервера и ручается за него. Каким-то образом CA проверяет инициатора запроса сертификата. Затем ЦС предоставляет открытый интерфейс для проверки подлинности сертификата. ЦС должен знать клиенту, что это достигается операционной системой и / или в случае, если браузер также может иметь встроенные ЦС.

person zaph    schedule 15.10.2016

arrow_upward
3
arrow_downward

Сертификат CA гарантирует, что вы такой, какой вы есть. Это сторонняя служба, которую используют системы.

введите описание изображения здесь

Certificate - файл, содержащий информацию о владельце и его открытый ключ. Этот файл подписан CA с digital signature

Digital signature - ограничен данными (сообщение, документ, файл ...) и владельцем

//Create a signature by owner
1. generate public and private keys
2. calculate a check sum of data
3. encode calculated check sum by private key

//Check a signature
1. calculate a check sum of data
2. decode the calculated check sum by public key
3. compare check sums from step 1 and 2

[контрольная сумма]

person yoAlex5    schedule 12.12.2019
comment
Части этой диаграммы, посвященные асимметричному шифрованию, не имеют отношения к делу или неверны, если они относятся к TLS. - person user207421; 25.04.2020
comment
@MarquisofLorne, не могли бы вы предоставить ресурсы, где я могу рассказать об этом? - person yoAlex5; 03.12.2020