- Что такое корневой сертификат
- Что такое цепочка сертификатов
- Зачем нужен корневой сертификат
- Как работает проверка цепочки сертификатов
- Как получить корневой сертификат
- Можно ли создать корневой сертификат самостоятельно
Каждый раз, когда вы заходите на защищенный сайт, где ваши данные шифруются и защищены от перехвата, задействован механизм, который гарантирует подлинность и надежность этого соединения. Но как он работает?
Далее мы расскажем, зачем нужен корневой сертификат и как он помогает выстроить систему доверия, обеспечивая безопасное взаимодействие в сети.
Что такое корневой сертификат
Корневой сертификат удостоверяющего центра — это самый верхний уровень доверия в системе безопасности интернета. Он выдается специальной организацией — центром сертификации (ЦС), которому доверяют операционные системы и браузеры. ЦС прошли сложные проверки и внесены в так называемые списки доверенных — своего рода «белые списки» цифрового мира.
Когда вы заходите на сайт с защищенным соединением (https//: в адресной строке), ваш браузер проверяет, кто выдал сертификат этому сайту. И тут запускается «цепочка доверия»: если сертификат сайта выдан другим центром сертификации, то проверяется, кто выдал сертификат ему, и так далее — пока в конце не окажется тот самый корневой сертификат. Только если он есть в списке доверенных, соединение считается безопасным.
Отличительная особенность корневого сертификата в том, что он обычно самоподписан. Это значит, что доверие к нему основывается на репутации и статусе самого центра сертификации, который его выпустил. Например, операционные системы и веб-браузеры изначально содержат списки таких авторитетных корневых сертификатов. Благодаря этому при входе на защищенный сайт ваш браузер или устройство может быстро сопоставить выданный сайту сертификат с уже известным «корневым» и проверить, нет ли в цепочке неизвестных сертификатов.
Если устройство не находит подтверждения в заранее одобренных корневых сертификатах, доступ к ресурсу помечается как небезопасный. Именно поэтому корневой сертификат часто называют «якорем доверия»: от него зависит, будет ли каждый промежуточный сертификат признан действительным или нет. Без базового доверия невозможно обеспечить безопасное соединение между пользователем и сайтом.
Что такое цепочка сертификатов
Цепочка сертификатов, или «цепочка доверия» — это последовательность сертификатов, каждый из которых подтверждает подлинность предыдущего. Она помогает браузеру понять, что SSL-сертификат, установленный на сайте, – настоящий, потому что его происхождение можно отследить до надежного источника.
Цепочка начинается с корневого сертификата, затем идут промежуточные (или intermediate) сертификаты, а завершается она конечным сертификатом, выданным конкретному сайту. Каждый сертификат в цепочке подписывает следующий, подтверждая его надежность. Благодаря этому ваш браузер может убедиться, что вы находитесь именно на том сайте, на который хотели попасть, и что соединение безопасно.
Зачем нужен корневой сертификат
Корневой сертификат нужен, чтобы обеспечить надежность и безопасность работы в интернете. Без него ваш браузер не сможет убедиться, что соединение защищенное, и вы получите предупреждение о возможной опасности.
Главные задачи корневого сертификата:
- Проверка подлинности сайтов. Когда вы заходите на сайт с HTTPS, ваш браузер сверяет цепочку сертификатов вплоть до корневого, чтобы удостовериться, что сайт настоящий, а не поддельный.
- Безопасное обновление ПО. Благодаря корневым сертификатам операционные системы проверяют подлинность загружаемых обновлений и программ, что защищает компьютер от вредоносного ПО.
- Защита переписки и данных. Корневые сертификаты позволяют отправлять и принимать зашифрованные письма и сообщения. Без них вы не могли бы быть уверены в безопасности личных и рабочих данных.
Как работает проверка цепочки сертификатов
Когда вы заходите на защищенный сайт, ваш браузер автоматически запускает процесс проверки цепочки сертификатов, чтобы удостовериться в безопасности соединения.
Как выглядит этот процесс:
- Когда сайт хочет защитить соединение, он создает запрос на получение сертификата (это называется CSR, или Certificate Signing Request).
- Удостоверяющий центр проверяет запрос и подписывает конечный сертификат своим закрытым ключом.
- Когда пользователь открывает сайт, браузер проверяет полученный SSL-сертификат. Он прослеживает путь доверия от сертификата сайта через промежуточные сертификаты до самого верха — корневого сертификата. Если браузер находит его в своем списке доверенных, соединение считается безопасным.
Как получить корневой сертификат
Корневые сертификаты не нужно специально покупать или заказывать отдельно. Обычно они уже встроены в операционные системы и браузеры. Компании-разработчики программного обеспечения (например, Microsoft, Apple, Google или Mozilla) заранее включают доверенные корневые сертификаты от крупных удостоверяющих центров в свои продукты. Поэтому, когда вы заходите на защищенный сайт, ваше устройство автоматически проверяет его сертификат по уже установленному списку доверенных корневых сертификатов.
Однако в некоторых ситуациях вам может потребоваться вручную установить корневой сертификат. Его можно приобрести в одном из признанных удостоверяющих центров (Let’s Encrypt, Comodo, Symantec, Digicert, GeoTrust и других).
Самый простой способ — заказать сертификат через хостинг-провайдера. Например, в SpaceWeb вы можете приобрести сертификат прямо из панели управления:
- Зайдите в панель управления.
- Откройте раздел SSL.
- Выберите пункт «Купить».
Важно! Убедитесь, что у вас есть средства на балансе, и при необходимости пополните его. Если средств недостаточно, то вместо «Купить» вы увидите «Пополнить баланс».
- Выберите нужный сертификат. В SpaceWeb доступны:
- GlobalSign AlphaSSL;
- GlobalSign DomainSSL;
- GlobalSign OrganizationSSL;
- GlobalSign DomainSSL WildCard;
- GlobalSign OrganizationSSL WildCard;
- GlobalSign ExtendedSSL.
Подробнее о каждом из них:
- Выберите домен или поддомен, на который хотите установить сертификат.
- Укажите или создайте доменную персону — это информация, на основе которой будет формироваться сертификат.
- При желании активируйте автопродление.
- Нажмите «Далее», проверьте данные, и, если все верно, подтвердите заказ.
Также при заказе хостинга SpaceWeb предлагает бесплатный GlobalSign AlphaSSL-сертификат на 1 год. Подробнее на странице акции.
Можно ли создать корневой сертификат самостоятельно
Технически — да, создать корневой сертификат можно. Это не так уж сложно, если у вас есть базовые знания о криптографии и доступ к инструментам вроде OpenSSL. Вы можете сгенерировать собственный корневой сертификат, подписать им другие сертификаты и даже выстроить свою цепочку доверия. Но есть один нюанс: браузеры и операционные системы не будут доверять этому сертификату по умолчанию.
Чтобы сертификат стал «доверенным», он должен быть включен в список доверенных корневых центров сертификации. Эти списки формируют разработчики операционных систем и браузеров — Apple, Microsoft, Mozilla, Google и другие. Чтобы попасть туда, нужно пройти длинную и непростую проверку, которая включает аудит, соблюдение строгих стандартов и постоянный контроль.
Если вы создадите корневой сертификат для личных нужд — например, для локальной разработки или внутренней корпоративной сети — вы сможете вручную добавить его в доверенные на своем устройстве или в своей организации. Но в интернете такой сертификат будет бесполезен: обычные пользователи увидят предупреждение, что сайт небезопасен.