Ce este o autoritate de certificare și cum funcționează autoritățile de certificare?

Ultima actualizare pe de Dionisie Gitlan
Certificate Authority

Autoritățile de certificare reprezintă coloana vertebrală a industriei SSL și coloana vertebrală care ține împreună toate procesele de criptare și securitate. Nu putem crea sau solicita certificate SSL fără o autoritate de certificare.

Indiferent dacă aveți nevoie de un certificat auto-semnat pentru organizația dvs. de intranet sau de un certificat SSL public pentru a vă securiza site-ul web, o autoritate emitentă de certificate guvernează procesul de emitere SSL. Deci, ce este o autoritate de certificare și cum funcționează aceasta? Acest ghid oferă răspunsuri.

Cuprins

  1. Ce este o autoritate de certificare?
  2. Care este istoria autorităților de certificare?
  3. Cine reglementează autoritățile de certificare?
  4. Care sunt tipurile de autorități de certificare?
  5. Care este lista de autorități de certificare de încredere?
  6. Care este cea mai bună autoritate de certificare?
  7. Care este cea mai ieftină autoritate de certificare?
  8. Care este lista autorităților de certificare care nu sunt de încredere?
  9. Vă puteți crea propria autoritate de certificare?

Ce este o autoritate de certificare?

O autoritate de certificare ( CA) sau este o entitate de încredere care emite certificate digitale care confirmă proprietatea domeniului și identitatea solicitantului. Autoritățile de certificare joacă un rol fundamental în stabilirea încrederii și a comunicațiilor sigure între browsere și servere, verificând dacă clientul sau organizația în cauză este într-adevăr cine pretinde că este.

Oricine poate deveni o CA și poate emite certificate autofirmate, dar numai câteva companii selecte ajung să semneze certificate SSL/TLS pentru publicul larg.

Ce fac autoritățile de certificare?

În esență, tot ceea ce face o autoritate de certificare este să valideze identitatea persoanei sau a companiei care solicită certificatul SSL. Procesul este similar cu cel al unui notar. În spatele scenei, autoritățile publice de certificare respectă orientări stricte și trec prin verificări de audit regulate pentru a se conforma celor mai recente practici din industrie.

Cum funcționează autoritățile de certificare?

În funcție de nivelul de validare SSL, autoritățile de certificare efectuează verificări amănunțite pentru a determina proprietatea domeniului și identitatea întreprinderii. Dacă solicitați un certificat de validare a domeniului, autoritatea de certificare va utiliza mai multe metode rapide pentru a confirma că sunteți proprietarul domeniului. However, if you order a Business Validation or an Extended Validation certificate, the CA will run a thorough vetting process via local public databases or use your LEI number.

After the certificate authority authenticates the applicant, it will sign the digital certificate with its root and intermediate CA certificates, thus completing the SSL chain of trust and making your SSL cert compatible with all browsers.

AC este proprietarul final al statutului certificatului și este entitatea în care toți ceilalți au încredere. Acesta menține întregul ecosistem SSL în siguranță și reduce potențialele încălcări ale datelor. În cazul în care rădăcinile CA-urilor sunt compromise, browserele și aplicațiile nu vor mai avea încredere în ele, ceea ce ar putea pune capăt existenței lor.

Încrederea universală pe web nu este ceva de la sine înțeles. Acesta se bazează pe directive de siguranță și pe o cooperare eficientă între factorii de decizie din industria SSL. La fel cum criptarea web a parcurs un drum lung de la primul proiect al protocolului SSL, acum dispărut, și autoritățile de certificare și-au croit drumul cu suișuri și coborâșuri pentru a ajunge la fiabilitatea de astăzi.

În următoarele secțiuni, veți descoperi un scurt istoric al autorităților de certificare și cine le reglementează în cele din urmă.

Care este istoria autorităților de certificare?

În 1995, Mark Richard Shuttleworth, un tânăr antreprenor britanic de origine sud-africană, a fondat Thawte. Condusă din garajul părinților Shuttleworth, Thawte a devenit prima autoritate de certificare care a emis certificate SSL publice în afara Statelor Unite.

În același an, peste Atlantic, Verisign a fost înființată ca o divizie a activității de servicii de certificare RSA Security. Noua companie a servit ca autoritate de certificare și, în anii următori, a câștigat aproximativ 50% din cota de piață. Cealaltă jumătate aparținea lui Thawte. Atât Verisign, cât și Thawte aveau certificate în primele browsere Netscape.

În 1999, Verisign a achiziționat Thawte de la Shuttleworth pentru 575 de milioane de dolari și și-a consolidat poziția de lider de piață la începutul noului mileniu.

În acea perioadă, în 2002, o nouă autoritate de certificare a intrat în centrul atenției. Marca GeoTrust, renumită în prezent, a fost prima autoritate de certificare care a emis certificate SSL validate în domeniul public.

În 2007, Comodo CA (acum Sectigo) a organizat prima reuniune a Forumului CA/Browser. Consorțiul voluntar al autorităților de certificare, al browserelor de internet și al furnizorilor de sisteme de operare a contribuit la adoptarea primelor orientări privind validarea extinsă.

În 2010, Verisign a vândut către Symantec întreaga sa unitate de afaceri de autentificare, care includea serviciile de autentificare SSL Certificate, Public Key Infrastructure, Verisign Trust și Verisign Identity Protection.

După o serie de incidente de securitate, Symantec a vândut în 2017 către DigiCert afacerea sa de certificate digitale, inclusiv mărcile Verisign, Thawte, GeoTrust și RapidSSL. Întreaga afacere a fost în valoare de 950 de milioane de dolari.

Cine reglementează autoritățile de certificare?

Dacă autoritățile de certificare sunt responsabile pentru validarea și revocarea SSL, cine le reglementează? Pentru a răspunde la această întrebare, trebuie să analizăm toate părțile implicate în acest proces complex.

Browsere și aplicații

Browserele și aplicațiile definesc regulile care guvernează AC. Toate browserele conțin informații despre autoritățile de certificare de încredere în pachetul de instalare, cunoscut și sub numele de “root store”. Browserele vor accepta certificatele SSL emise de CA publice numai dacă rădăcinile CA sunt deja marcate ca fiind de încredere în magazinul de rădăcini.

Nu toate browserele își păstrează propriul depozit de rădăcini de încredere. De asemenea, acestea se bazează pe stocul rădăcină al sistemului de operare al clientului. În cazul în care rădăcina unei CA emite un certificat digital care nu face parte din stocul rădăcină al browserului sau al sistemului de operare, browserul va avertiza utilizatorii să nu aibă încredere în certificatul SSL.

Dar cum determină browserele în ce rădăcini CA să aibă încredere? Ei bine, întotdeauna au avut reguli prestabilite cu privire la modul în care ar trebui să funcționeze AC. În plus, acestea sunt îmbunătățite în mod continuu pentru a stabili standarde de securitate de înaltă calitate.

De-a lungul timpului, aceștia au reușit să elimine algoritmi mai slabi, cum ar fi MD5 și SHA-1. De asemenea, au fost eliminate dimensiunile depășite ale cheilor, cum ar fi cele de 512 și 1024 de biți. În cazul în care autoritățile de certificare nu îndeplinesc lista exhaustivă de cerințe ale browserului, acestea sunt eliminate din stocul de rădăcini de încredere al browserului.

Browsere și CA-uri

Browserele au un cuvânt important de spus în ceea ce privește modul în care ar trebui să funcționeze AC. Cu toate acestea, un browser nu este singura entitate care reglementează autoritățile de certificare de încredere. Autoritățile de certificare, cu aprobarea browserelor, au adoptat câteva orientări esențiale care au revoluționat peisajul SSL.

Autoritățile de certificare și browserele și-au unit forțele și au înființat Forumul CA/Browser, o organizație voluntară formată din peste 50 de membri ai autorităților de certificare și nouă membri ai browserelor, care stabilește standardele industriale SSL.

Regimuri de audit WebTrust/ETSI

După ce membrii forumului CAB aprobă fiecare set de orientări și actualizări, aceștia le prezintă fie Institutului canadian al contabililor autorizați/Institutului american al contabililor publici autorizați (Certified Public Accountants ), fie Institutului european pentru standarde de telecomunicații (ETSI).

Noile reguli devin apoi noile orientări de audit WebTrust sau standardele ETSI. În cele din urmă, browserele le pot adăuga la cerințele lor privind depozitul rădăcină de încredere, iar autoritățile de certificare trebuie să le respecte.

În concluzie, browserele și AC supraveghează împreună toate aspectele legate de securitatea web. Efortul lor combinat de îmbunătățire a standardelor industriale SSL a făcut ca criptarea SSL să fie sigură și să nu fie la îndemâna hackerilor.

Care sunt tipurile de autorități de certificare?

Atunci când discutăm despre diferite tipuri de autorități de certificare, trebuie să le clasificăm în funcție de ierarhie, produse și nivel de încredere. Vom începe cu ordinea ierarhică, care constă într-o AC rădăcină, o AC intermediară și o AC emitentă.

Ce este o autoritate de certificare rădăcină?

O autoritate de certificare rădăcină este autoritatea de certificare care semnează singură certificatele rădăcină, în care browserele și sistemele de operare au încredere în mod implicit. Deoarece astfel de certificate sunt valabile fără verificări suplimentare, acestea sunt stocate pe dispozitive fizice și păstrate în spatele unor seifuri foarte bine păzite.

Ce este o autoritate de certificare intermediară?

O autoritate de certificare intermediară este o AC în care browserele și sistemele de operare nu au încredere, dar ale cărei certificate sunt semnate de o AC rădăcină. În cazul în care o aplicație poate verifica dacă certificatele emise de o AC intermediară se referă la AC rădăcină, acestea sunt considerate valide.

Rolul autorităților de certificare intermediare este de a acționa ca un strat suplimentar de securitate între autoritățile de certificare rădăcină și autoritățile de certificare emitente. În cazul unei breșe de securitate, AC intermediară va atenua potențialul impact asupra securității.

Ce este o autoritate de certificare emitentă?

O autoritate emitentă de certificate este o autoritate de certificare care furnizează certificate SSL utilizatorilor finali. Aceasta se subordonează unei CA intermediare care utilizează cheia publică a acesteia pentru a semna CA emitentă. Certificatele semnate de o autoritate de certificare emitentă au o valabilitate de un an și sunt acceptate de browsere numai dacă sunt legate în lanț cu intermediarii și rădăcinile lor respective.

În ceea ce privește încrederea, autoritățile de certificare sunt împărțite în două ramuri principale: autorități de certificare publice și autorități de certificare private.

Care este diferența dintre o autoritate de certificare publică și o autoritate de certificare privată?

O autoritate de certificare publică este o autoritate de certificare de încredere controlată de o organizație terță, de obicei pentru a emite certificate SSL pentru publicul larg. Toate autoritățile de certificare comerciale și open-source ale căror certificate SSL sunt de încredere pentru browsere și sisteme de operare sunt autorități de certificare publice. La rândul lor, AC publice pot fi clasificate în AC comerciale și AC cu sursă deschisă.

Autoritățile de certificare comerciale oferă certificate digitale plătite cu cel mai înalt nivel de încredere și securitate. Acestea sunt singurele autorități de certificare care oferă certificate SSL Business Validation, Extended Validation și certificate SSL multidomeniu.

CA-urile open-source emit certificate SSL gratuite, în care browserele și sistemele de operare au încredere. Aceste AC pot valida doar proprietatea domeniului și sunt potrivite pentru site-uri web personale, bloguri sau portofolii online care nu se ocupă de tranzacții online.

O autoritate de certificare privată este o AC operată de o singură organizație, în general pentru a emite certificate digitale pentru dispozitivele și angajații săi. Certificatele SSL private sunt utilizate exclusiv pe serverele și mașinile interne.

Care este lista de autorități de certificare de încredere?

Toate autoritățile de certificare publice sunt autorități de certificare de încredere, deoarece certificatele lor rădăcină sunt deja incluse în pachetele de preinstalare sau în magazinele de rădăcini ale browserelor. Mai jos este o listă de autorități de certificare comerciale și open-source în care puteți avea încredere deplină.

CA-uri comerciale în care puteți avea încredere

Digicert – o autoritate de certificare premium care activează pe piața SSL de înaltă asigurare. Companiile din Fortune 500 și 97 dintre cele 100 de bănci de top la nivel mondial folosesc serviciile DigiCert pentru a-și cripta site-urile web și dispozitivele.

Sectigo (fostul Comodo) – unul dintre cele mai cunoscute nume din industria SSL, care oferă certificate accesibile pentru orice nevoie. Peste trei milioane de clienți folosesc produsele Sectigo în întreaga lume.

Thawte – cea mai veche autoritate de certificare, cu o reputație excelentă și soluții de securitate în segmentul SSL premium. Certificatele Thawte SSL sunt un indicator puternic de încredere și fiabilitate.

GeoTrust – o altă autoritate de certificare de top care deservește peste 100.000 de clienți internaționali din 150 de țări. Certificatele GeoTrust oferă garanții SSL ridicate și sigilii dinamice ale site-ului pentru a spori încrederea utilizatorilor.

RapidSSL – o CA care validează doar proprietatea domeniului. Este alegerea perfectă pentru site-urile web și întreprinderile mai mici. RapidSSL utilizează un proces de emitere complet automatizat care oferă certificate digitale de primă clasă în doar cinci minute.

CA-uri open-source în care puteți avea încredere

Let’s Encrypt – cea mai mare CA open-source care oferă certificate SSL gratuite cu validare de domeniu, potrivite pentru site-uri personale, bloguri și platforme informaționale. Certificatele Let’s Encrypt au limitări și este posibil să nu fie compatibile cu unele servere sau clienți de e-mail.

Care este cea mai bună autoritate de certificare?

Cea mai bună autoritate de certificare este cea care se potrivește cel mai bine bugetului și proiectului dumneavoastră. Atât o mașină ieftină, cât și una scumpă vă va duce de la A la B. Același principiu se aplică și în cazul AC-urilor.

Toate certificatele SSL urmează același protocol criptografic și oferă o putere de criptare identică. Deci, indiferent dacă folosiți un certificat de șapte dolari sau unul premium, browserele vor avea aceeași încredere în el. Ceea ce diferențiază AC este imaginea de marcă, nivelul de validare, caracteristicile suplimentare și segmentul de piață.

În 2023, cota de piață SSL, conform sondajelor W3 Techs, prezintă următoarea imagine:

  • IdenTrust – 54,3%.
  • Digicert Group – 15,7%
  • Sectigo – 14,3%
  • Let’s Encrypt – 6.3%
  • Grupul GoDaddy – 5,7%.
  • GlobalSign – 3,7%
  • Certum – 0,7%.

Poate vă întrebați acum cine este IdenTrust și de ce nu i-am menționat până acum? În sine, IdenTrust este un CA care furnizează certificate digitale instituțiilor financiare, furnizorilor de servicii medicale, agențiilor guvernamentale și întreprinderilor.

În 2015, IdenTrust a semnat în mod încrucișat certificatele intermediare ale Let’s Encrypt, ceea ce a permis CA Let’s Encrypt să fie de încredere în toate browserele importante.

Dacă excludem autoritățile de certificare open-source și ne concentrăm doar asupra cotei de piață a autorităților de certificare comerciale, Digicert și Sectigo sunt cele mai populare autorități de certificare la nivel mondial.

Care este cea mai ieftină autoritate de certificare?

Sectigo (fostul Comodo) este cea mai ieftină autoritate de certificare de pe piață, cu prețuri începând de la doar 7 dolari pe an pentru un certificat de validare a domeniului de nivel de bază. Sectigo este sinonim cu SSL la prețuri accesibile.

Au chiar și o gamă exclusivă numită Positive SSL, care oferă certificate cu buget redus pentru orice nevoie. Fie că aveți nevoie să securizați un site web pentru o mică afacere sau o rețea multi-site premium, Sectigo este răspunsul.

Care este lista autorităților de certificare care nu sunt de încredere?

Puteți găsi multe liste cu autorități de certificare de încredere pentru diferite browsere și sisteme de operare, dar cum rămâne cu autoritățile de certificare care nu sunt de încredere? Autoritățile de certificare de neîncredere nu mai există și sunt relevante doar pentru studii de caz și în scopuri educaționale.

Este aproape imposibil ca o AC să fie compromisă și să revină după o încălcare semnificativă a securității. Mai jos prezentăm câteva exemple de ceea ce se întâmplă atunci când AC se confruntă cu incidente grave de securitate.

Incidentul DigiNotar

La cincisprezece ani de la intrarea pe piață a primelor autorități de certificare, procedurile de securitate și de emitere a certificatelor aveau încă lacune critice, expuse fără milă de atacatorii cibernetici. Cel mai mare semnal de alarmă pentru industrie a venit în 2011, când un atacator necunoscut a obținut acces administrativ complet la sistemele CA esențiale ale DigiNotar.

Autoritatea de certificare olandeză a emis un certificat wildcard necinstit pentru Google.com, compromițând peste 300.000 de utilizatori Gmail iranieni care au fost victime ale unor atacuri de tip man-in-the-middle. Toate marile browsere au avut rapid neîncredere în DigiNotar, care a depus o cerere de faliment voluntar.

Sfârșitul Symantec CA

În timp ce DigiNotar era un pește relativ mic pe piață, ceea ce s-a întâmplat cu Symantec câțiva ani mai târziu a pus industria CA sub o presiune și un control sporit. În 2015, Google a descoperit că Symantec a emis în mod intenționat peste 100 de certificate de test pentru 76 de domenii diferite, fără autorizația proprietarilor de domenii.

La început, Google a cerut companiei Symantec să aplice noi măsuri preventive și să se supună unui audit de securitate efectuat de o terță parte, dar ulterior toate browserele importante au început să nu aibă încredere în Symantec din cauza neregulilor continue.

Dezastrul Symantec ar fi putut închide ecosistemul SSL, deoarece cea mai mare autoritate de certificare de la acea vreme emitea o treime din toate certificatele digitale de pe internet. Cu milioane de certificate afectate și cu termenul limită de neîncredere din 2018 impus de Google, Symantec a fost de acord să își vândă întreaga activitate de certificate digitale principalului său concurent, DigiCert.

Până în octombrie 2018, DigiCert a revalidat peste 500.000 de identități de afaceri și a înlocuit peste 5 milioane de certificate afectate.

Vă puteți crea propria autoritate de certificare?

Oricine poate crea o CA și poate emite certificate autofirmate pentru organizația sa sau pentru serverele personalizate. Cu ajutorul unor instrumente precum Microsoft CA sau OpenSSL, puteți configura o autoritate de certificare privată relativ rapid. Iată care sunt pașii generali pentru a vă înființa propria AC:

  • Creați directoarele și fișierele de configurare pentru AC.
  • Generarea cheii private și a certificatului rădăcină.
  • Adăugați certificatul rădăcină ca certificat de încredere în rețeaua dumneavoastră.
  • Configurați Microsoft CA sau OpenSSL pentru a utiliza cheia privată și certificatul serverului pentru a semna cererile de certificate.
  • Generați o cerere de semnare a certificatului SSL (CSR).
  • Creați certificate autofirmate pentru nevoile dumneavoastră.

Desigur, browserele și aplicațiile nu vor avea încredere în CA-ul dvs. privat, dar ar putea fi util pentru securizarea rețelelor de intranet și în scop de testare.

Concluzie

Autoritățile de certificare sunt gardienii criptării web. Prin intermediul unei tehnologii avansate și al unor orientări stricte, aceștia operează și protejează procesul de emitere SSL, astfel încât noi, utilizatorii, să putem naviga în siguranță și să împărtășim date sensibile cu magazinele online, băncile și serviciile de abonament.

Acest ghid amplu nu numai că a explicat ce este o autoritate de certificare, dar a aprofundat și diferitele tipuri de autorități de certificare și scopul acestora. Sperăm că acum sunteți mai bine pregătiți pentru a discerne un CA public de unul privat și pentru a alege cel mai bun care se potrivește nevoilor dumneavoastră.

Întrebări frecvente

Autoritățile de certificare sunt gratuite?

CA-urile private sunt gratuite, dar certificatele lor sunt autofirmate și nu sunt potrivite pentru internet. Pe de altă parte, AC publice pot fi atât gratuite, cât și comerciale. Browserele și sistemele de operare vor avea încredere într-un certificat digital gratuit sau comercial dacă acesta este semnat de o autoritate de certificare publică.

Copiați link-ul

Cum verifică o autoritate de certificare identitatea?

În funcție de nivelul de validare SSL, CA va efectua o serie de verificări pentru a stabili identitatea. În cazul certificatelor de validare a domeniului, verificarea proprietății domeniului este un proces automatizat care necesită ca solicitantul să urmeze pașii prestabiliți.

Dacă solicitați un SSL Business sau Extended Validation, autoritatea de certificare va utiliza baze de date publice pentru a confirma identitatea companiei dumneavoastră. Dacă nu reușește să facă acest lucru, AC vă va cere să depuneți documente suplimentare.

Copiați link-ul

Cum se alege o autoritate de certificare?

Asigurați-vă că AC este de încredere și validă. Toate autoritățile de certificare comerciale oferă certificate digitale fiabile cu garanții SSL în cazul improbabil al unei încălcări a securității datelor sau al unei eliberări frauduloase. În continuare, determinați nevoile și bugetul site-ului dvs. web înainte de a obține un certificat digital. Un instrument precum SSL Wizard vă poate ajuta să alegeți certificatul perfect pentru proiectul dumneavoastră.

Copiați link-ul

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

Economisește 10% acum!
Scris de

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.

Postări similare
Root and Intermediate Certificates
Certificatele rădăcină și intermediare – Care este diferența?
What Is a CA Bundle
Ce este un CA Bundle în SSL și cum se creează?
What Is a CAA Record
Ce este un dosar CAA și cum funcționează?
SSL Warranty
Ce este garanția unui certificat SSL și cum funcționează?
Dangers of Self-Signed Certificates
Sunt sigure certificatele autofirmate? Care sunt riscurile?