Хто видає SSL та CodeSign сертифікати. Як працює Центр сертифікації ЦС, вимоги до Certification authority CA

Що таке Certification authority, CA

В сфері SSL та CodeSign сертифікатів завжди зустрічається поняття Certification authority (CA)- це, так званий, центр сертифікації (ЦС) або центр посвідчення, який надає кінцевому користувачу сертифікат безпеки, що буде встановлено на сервері. Чесність так авторитетність цих центрів є непохитними, адже стати CA, якому довіряє весь світ дуже непросто.

CA піддаються різним перевіркам, включаючи сторонні кваліфіковані аудити через WebTrust або ETSI та перевірку на відповідність суворим критеріям, встановленим провідними браузерами, перш ніж вони будуть прийняті в кореневих сховищах браузера. Аналогічним чином, Базові вимоги CA / Browser Forum і Рекомендації з безпеки мережі встановлюють глобальні стандарти для видачі сертифікатів і коштів управління CA, які незабаром будуть включені в стандарти аудиту сторонніх виробників. Браузери можуть використовувати ці вимоги для виключення несумісних ЦС з кореневого сховища.

Протягом більше 20 років центри сертифікації грають ключову роль на варті довіри в Інтернеті, використовуючи суворі методи для перевірки запитів від організацій перед випуском цифрових сертифікатів. Методи перевірки можуть включати в себе підтвердження права власності на домен, реєстрацію бізнесу, дозвіл заявникам запитувати сертифікати від імені своєї організації та інші юридичні документи. Центри сертифікації витрачають великі кошти на роботу по захисту своїх центрів обробки даних і внутрішніх операцій, навчають своїх співробітників провідним методам перевірки і видачі сертифікатів, а також застосовують засоби контролю в галузі, використовуючи періодичні тести на вразливість і проникнення поряд з щорічними сторонніми аудитами. Самозаверені SSL сертифікати, видані без будь-якої аутентифікації ЦС забезпечують шифрування на веб-сайті, але не гарантують справжність веб-сайту.

ЦС випускають сертифікати для різних цілей. Різні типи сертифікатів включають в себе сертифікати SSL, що захищають транзакції веб-сайту, сертифікати підпису коду, що захищають додатки від злому і шкідливих програм, сертифікати S / MIME, які аутентифицируют обміни електронною поштою, і сертифікати, аутентифіковані клієнтом, використовувані в налаштуваннях PKI підприємства.

Центри сертифікації також пропонують сертифікати SSL з різними рівнями перевірки. Залежно від сертифіката, CA може перевірити наступне:

  1. Реєстрація домену (DV) для суб'єкта, що запитує сертифікат.
  2. Що організація є зареєстрованим юридичною особою, і особа, що запрошує сертифікат, уповноважена діяти від імені організації (OV).
  3. Що у організації є підтверджений номер телефону, законний службову адресу та підтверджений адміністратор сертифіката для EV.
  4. Сертифікати EV і OV включають ідентифікаційну інформацію про власника сертифіката в поле організації сертифіката.

Члени CASC беруть участь в десятках галузевих стандартів, освітніх груп і дослідницьких організацій, і вони регулярно допомагають в розробці пропозицій і прийнятті стандартів. Члени CASC активно працюють з браузерами, перевіряючими сторонами та іншими зацікавленими сторонами для підвищення безпеки в Інтернеті за допомогою практичних, продуманих заходів і спільних досліджень. Більша частина цього діалогу відбувається в загальнодоступних умовах, таких як обговорення CA / Browser Forum.

Протокол SSL довів свою надійність, а сертифікати SSL залишаються найнадійнішою і масштабованої криптографічного системою в світі. Повідомлення про гучні інциденти безпеки пояснюються відсутністю належних внутрішніх заходів безпеки на рівні об'єкта, а не загальносистемних відмовою. Члени CASC зосереджені на посиленні глобальних стандартів для пом'якшення таких випадків в майбутньому. Хоча жодне з рішень по забезпеченню безпеки не є надійним на 100% через виникаючих загроз, кращий шлях вперед полягає в тому, щоб зосередитися на практичних масштабованих вдосконалення існуючої системи замість того, щоб намагатися замінити загальнодоступні довірені центри сертифікації недоведеними і обмеженими технологіями.

Сформувавши фундамент безпеки в Інтернеті, сертифікати довірених ЦС залишаються найбільш перевіреним, надійним і масштабованим способом захисту інтернет-транзакцій. Центри сертифікації продовжують співпрацювати з браузерами та іншими сторонами над поліпшенням протоколу SSL і включенням додаткових функцій, які будуть відповідати загрозам і захищати всіх користувачів.

У світі існують сотні проміжних сертифікатів, проте в кореневому сховищі Mozilla міститься всього 65 пропрієтарних власників або довірених кореневих сертифікатів, і більше 99 відсотків всіх випущених сертифікатів SSL відбуваються з кореневих сертифікатів семи найбільших світових провайдерів. Кожна з цих провідних компаній проходить перевірку WebTrust акредитованої сторонньої бухгалтерської фірмою і підпорядковується стандартам, прийнятим CA / Browser Forum і іншими організаціями. Кожен ЦС підзвітний як своїм клієнтам, так і операторам кореневого сховища браузера. Завдяки лідерству відповідальних центрів сертифікації індустрія SSL завжди залишалася попереду розвиваються загроз. Недавні приклади еволюції CA включають старіння внутрішніх імен хостів, розгортання SHA-2 і 2048-бітових сертифікатів, а також рекомендації по посиленої безпеки. Здатність ЦС розвиватися - це те, що створює безпечний інтернет на довгі роки.

Скасування (відкликання) сертифіката грає ключову роль в екосистемі SSL, як провідний засіб аутентифікації при визначенні того, чи слід довіряти конкретному сертифікату. Кожен день відбувається мільярди запитів про стан сертифікатів, які відправляються на сервери відповідей на відкликання по всьому світу. Ці сервери інформують браузер про те, чи повинен сертифікат бути недійсним. Це захищає користувачів, забезпечуючи браузерам найсвіжішу інформацію про погрози і проблеми по всьому світу. Члени CASC співпрацюють з браузерами та іншими сторонами над подальшим вдосконаленням існуючих методів і розробкою нових систем відкликання сертифікатів, які ефективно балансують продуктивність і безпеку, забезпечують надійний досвід для всіх користувачів Інтернету.

У CA є стимул для прийняття необхідних змін і вони працюють разом, щоб поліпшити систему SSL. Репутація СА важлива для його виживання. Тому члени CASC дуже старанно працюють над розвитком галузі та підтримують агресивну і ефективну позицію безпеки по відношенню до своїх систем і клієнтам, яких вони обслуговують.

Ми пропонуємо SSL сертифікати від довірених центрів групи Digicert inc яка віднедавна включає в себе Symantec Thawte Geotrust.