Задать вопрос
Все статьи / Полезная информация / Корневой сертификат (CA): зачем он нужен и как работает
Найти результаты:
Период:
с:
 
по:
Помощь в поиске

Помощь в поиске

apple banana
Найти записи, которые содержат хотя бы одно из двух слов.

+apple +juice
Найти записи, которые содержат оба слова.

+apple macintosh
Найти записи, которые содержат слово 'apple', но положение записей выше, если они также содержат 'macintosh'.

+apple -macintosh
Найти записи, которые содержат слово 'apple', но не 'macintosh'.

+apple ~macintosh
Найти записи, которые содержат слово 'apple', но если запись также содержит слово 'macintosh', rate it lower than if row does not. Это более "мягкий" чем поиск '+apple -macintosh', для которого наличие 'macintosh' вызывает что записи не будут возвращены вовсе.

+apple +(>turnover <strudel)
Найти записи, которые содержат слова 'apple' и 'turnover', или 'apple' и 'strudel' (в любом порядке), но ранг 'apple turnover' выше чем 'apple strudel'.

apple*
Найти записи, которые содержат такие слова как 'apple', 'apples', 'applesauce', или 'applet'.

"some words"
Найти записи, которые содержат точную фразу 'some words' (например записи содержащие 'some words of wisdom', но не "some noise words").

Корневой сертификат (CA): зачем он нужен и как работает


Каждый раз, когда вы заходите на защищенный сайт, где ваши данные шифруются и защищены от перехвата, задействован механизм, который гарантирует подлинность и надежность этого соединения. Но как он работает?

Далее мы расскажем, зачем нужен корневой сертификат и как он помогает выстроить систему доверия, обеспечивая безопасное взаимодействие в сети.

Что такое корневой сертификат 

Корневой сертификат удостоверяющего центра — это самый верхний уровень доверия в системе безопасности интернета. Он выдается специальной организацией — центром сертификации (ЦС), которому доверяют операционные системы и браузеры. ЦС прошли сложные проверки и внесены в так называемые списки доверенных — своего рода «белые списки» цифрового мира.

Когда вы заходите на сайт с защищенным соединением (https//: в адресной строке), ваш браузер проверяет, кто выдал сертификат этому сайту. И тут запускается «цепочка доверия»: если сертификат сайта выдан другим центром сертификации, то проверяется, кто выдал сертификат ему, и так далее — пока в конце не окажется тот самый корневой сертификат. Только если он есть в списке доверенных, соединение считается безопасным.

Отличительная особенность корневого сертификата в том, что он обычно самоподписан. Это значит, что доверие к нему основывается на репутации и статусе самого центра сертификации, который его выпустил. Например, операционные системы и веб-браузеры изначально содержат списки таких авторитетных корневых сертификатов. Благодаря этому при входе на защищенный сайт ваш браузер или устройство может быстро сопоставить выданный сайту сертификат с уже известным «корневым» и проверить, нет ли в цепочке неизвестных сертификатов.

Если устройство не находит подтверждения в заранее одобренных корневых сертификатах, доступ к ресурсу помечается как небезопасный. Именно поэтому корневой сертификат часто называют «якорем доверия»: от него зависит, будет ли каждый промежуточный сертификат признан действительным или нет. Без базового доверия невозможно обеспечить безопасное соединение между пользователем и сайтом.

Что такое цепочка сертификатов

Цепочка сертификатов, или «цепочка доверия» — это последовательность сертификатов, каждый из которых подтверждает подлинность предыдущего. Она помогает браузеру понять, что SSL-сертификат, установленный на сайте, – настоящий, потому что его происхождение можно отследить до надежного источника.

Цепочка начинается с корневого сертификата, затем идут промежуточные (или intermediate) сертификаты, а завершается она конечным сертификатом, выданным конкретному сайту. Каждый сертификат в цепочке подписывает следующий, подтверждая его надежность. Благодаря этому ваш браузер может убедиться, что вы находитесь именно на том сайте, на который хотели попасть, и что соединение безопасно.

Зачем нужен корневой сертификат 

Корневой сертификат нужен, чтобы обеспечить надежность и безопасность работы в интернете. Без него ваш браузер не сможет убедиться, что соединение защищенное, и вы получите предупреждение о возможной опасности.

Главные задачи корневого сертификата:

  • Проверка подлинности сайтов. Когда вы заходите на сайт с HTTPS, ваш браузер сверяет цепочку сертификатов вплоть до корневого, чтобы удостовериться, что сайт настоящий, а не поддельный.
  • Безопасное обновление ПО. Благодаря корневым сертификатам операционные системы проверяют подлинность загружаемых обновлений и программ, что защищает компьютер от вредоносного ПО.
  • Защита переписки и данных. Корневые сертификаты позволяют отправлять и принимать зашифрованные письма и сообщения. Без них вы не могли бы быть уверены в безопасности личных и рабочих данных.

Как работает проверка цепочки сертификатов

Когда вы заходите на защищенный сайт, ваш браузер автоматически запускает процесс проверки цепочки сертификатов, чтобы удостовериться в безопасности соединения. 

Как выглядит этот процесс:

  1. Когда сайт хочет защитить соединение, он создает запрос на получение сертификата (это называется CSR, или Certificate Signing Request).
  2. Удостоверяющий центр проверяет запрос и подписывает конечный сертификат своим закрытым ключом. 
  3. Когда пользователь открывает сайт, браузер проверяет полученный SSL-сертификат. Он прослеживает путь доверия от сертификата сайта через промежуточные сертификаты до самого верха — корневого сертификата. Если браузер находит его в своем списке доверенных, соединение считается безопасным.

Как получить корневой сертификат

Корневые сертификаты не нужно специально покупать или заказывать отдельно. Обычно они уже встроены в операционные системы и браузеры. Компании-разработчики программного обеспечения (например, Microsoft, Apple, Google или Mozilla) заранее включают доверенные корневые сертификаты от крупных удостоверяющих центров в свои продукты. Поэтому, когда вы заходите на защищенный сайт, ваше устройство автоматически проверяет его сертификат по уже установленному списку доверенных корневых сертификатов.

Однако в некоторых ситуациях вам может потребоваться вручную установить корневой сертификат. Его можно приобрести в одном из признанных удостоверяющих центров (Let’s Encrypt, Comodo, Symantec, Digicert, GeoTrust и других).

Самый простой способ — заказать сертификат через хостинг-провайдера. Например, в SpaceWeb вы можете приобрести сертификат прямо из панели управления:

  1. Зайдите в панель управления.
  2. Откройте раздел SSL.

  3. Выберите пункт «Купить».

    Важно! Убедитесь, что у вас есть средства на балансе, и при необходимости пополните его. Если средств недостаточно, то вместо «Купить» вы увидите «Пополнить баланс». 
     
  4. Выберите нужный сертификат. В SpaceWeb доступны:
    • GlobalSign AlphaSSL;
    • GlobalSign DomainSSL;
    • GlobalSign OrganizationSSL;
    • GlobalSign DomainSSL WildCard;
    • GlobalSign OrganizationSSL WildCard;
    • GlobalSign ExtendedSSL.



      Подробнее о каждом из них:

  5. Выберите домен или поддомен, на который хотите установить сертификат.
  6. Укажите или создайте доменную персону — это информация, на основе которой будет формироваться сертификат.
  7. При желании активируйте автопродление.
  8. Нажмите «Далее», проверьте данные, и, если все верно, подтвердите заказ.

Также при заказе хостинга SpaceWeb предлагает бесплатный GlobalSign AlphaSSL-сертификат на 1 год. Подробнее на странице акции.

Можно ли создать корневой сертификат самостоятельно

Технически — да, создать корневой сертификат можно. Это не так уж сложно, если у вас есть базовые знания о криптографии и доступ к инструментам вроде OpenSSL. Вы можете сгенерировать собственный корневой сертификат, подписать им другие сертификаты и даже выстроить свою цепочку доверия. Но есть один нюанс: браузеры и операционные системы не будут доверять этому сертификату по умолчанию.

Чтобы сертификат стал «доверенным», он должен быть включен в список доверенных корневых центров сертификации. Эти списки формируют разработчики операционных систем и браузеров — Apple, Microsoft, Mozilla, Google и другие. Чтобы попасть туда, нужно пройти длинную и непростую проверку, которая включает аудит, соблюдение строгих стандартов и постоянный контроль.

Если вы создадите корневой сертификат для личных нужд — например, для локальной разработки или внутренней корпоративной сети — вы сможете вручную добавить его в доверенные на своем устройстве или в своей организации. Но в интернете такой сертификат будет бесполезен: обычные пользователи увидят предупреждение, что сайт небезопасен.

Предыдущая статья
Как установить статический IP-адрес вручную на Windows
Следующая статья
Маска подсети: что такое и как узнать по IP