Certificatele rădăcină și intermediare – Care este diferența?

Ultima actualizare pe de Dionisie Gitlan
Root and Intermediate Certificates

La prima vedere, un certificat SSL pare simplu. Îl instalați pe serverul dvs. pentru a securiza datele sensibile ale vizitatorilor dvs. și funcționează fără probleme până la expirare. Majoritatea proprietarilor de site-uri web rareori aprofundează aspectele tehnice ale SSL/TLS.

Aceștia lasă profesioniștii să se ocupe de configurarea și reînnoirea certificatelor. Multora nici măcar nu le va păsa de diferența dintre certificatele rădăcină și certificatele intermediare, dar dacă doriți să vă instalați singur certificatul, ar trebui să cunoașteți mecanismul din spatele acestuia.

Cuprins

  1. Certificate rădăcină, intermediare și de server
  2. Programe rădăcină și magazine rădăcină
  3. Infrastructură cu cheie publică
  4. Semnături digitale
  5. Ce este lanțul de încredere SSL?
  6. Ce este un certificat SSL rădăcină?
  7. Ce este un certificat SSL intermediar?
  8. Ce este un certificat SSL pentru server?
  9. Care este diferența dintre un certificat rădăcină și un certificat intermediar?
  10. Cum să vă dați seama dacă un certificat este rădăcină sau intermediar?
  11. Concluzie

Certificate rădăcină, intermediare și de server

Utilizatorii fără experiență prealabilă care preferă să instaleze singuri un certificat SSL vor avea o surpriză. În momentul în care deschid dosarul de arhivă ZIP pe care CA (Certificate Authority) l-a trimis prin e-mail, descoperă nu unul, ci câteva fișiere SSL.

Unul este certificatul de server emis pentru domeniul dvs.; celălalt este certificatul intermediar și, în cele din urmă, există și certificatul rădăcină. Certificatul intermediar face legătura între certificatul serverului dumneavoastră și certificatul rădăcină. Împreună, acestea formează lanțul de încredere SSL. Dacă lipsește o componentă din lanț, browserele nu vor avea încredere în certificatul SSL al serverului și vor emite un avertisment HTTPS.

Stai, ce? Certificatele serverului, certificatele intermediare, certificatele rădăcină, lanțul de încredere, totul este un pic prea mult pentru începători. Dacă sunteți unul dintre ei, nu vă faceți griji, în acest articol vă vom explica diferența dintre certificatele root și certificatele intermediare și de ce sunt esențiale pentru modul în care funcționează SSL/TLS. Dar mai întâi, câteva cuvinte despre structura care le ține pe toate împreună.

Programe rădăcină și magazine rădăcină

Certificatul rădăcină este un element crucial al întregii arhitecturi SSL/TLS, deoarece validează certificatul utilizatorului final și menține totul la locul lui. Piratarea unui certificat rădăcină este cel mai rău scenariu, deoarece compromite toate certificatele intermediare și de server.

Pentru a gestiona mai eficient și mai sigur certificatele rădăcină și cheile publice ale acestora, cele mai importante companii de tehnologie au dezvoltat programe rădăcină care, pe lângă faptul că respectă linii directoare și reglementări stricte, includ un magazin rădăcină.

Magazinul rădăcină include certificate rădăcină predescărcate (și cheile publice ale acestora) care rămân în sistemul de operare al dispozitivului sau în software-ul terților, cum ar fi browserele web. Iată câteva exemple de programe rădăcină populare.

  • Apple
  • Google
  • Mozilla
  • Microsoft

Deși nu toate programele root necesită o conformitate identică, acestea respectă cu strictețe cerințele de bază ale forumului CA/B.

Infrastructură cu cheie publică

Infrastructura de chei publice sau PKI (Public Key Infrastructure) reprezintă fundamentul industriei SSL, deoarece execută procesele complexe din spatele emiterii certificatelor și validării utilizatorilor. Cheile publice și private lucrează împreună pentru a cripta și decripta date sensibile într-o rețea.

Certificatele SSL conțin cheia publică, în timp ce serverul de origine are cheia privată. Atunci când browserele încearcă să se conecteze la servere, handshake-ul SSL utilizează criptografia cu cheie publică pentru a identifica serverul de origine și pentru a face schimb de date. Dacă certificatul SSL al site-ului nu este valabil, conexiunea nu va fi sigură. Aflați mai multe despre certificatele SSL și despre modul în care acestea funcționează.

Semnături digitale

Semnăturile digitale sunt semnături electronice avansate care necesită verificarea identității prin intermediul unei chei sau al unui certificat asociat acestora. În contextul SSL, gândiți-vă la ele ca la o certificare digitală.

După cum veți vedea în diagrama lanțului de încredere SSL, un certificat rădăcină semnează digital un certificat intermediar și transmite o parte din încrederea sa către SSL intermediar. Acesta din urmă este automat de încredere, deoarece semnătura provine direct de la rădăcină.

Un browser utilizează cheia publică pentru a verifica semnăturile digitale și pentru a autentifica certificatul serverului (utilizatorului final). Acesta verifică fiecare certificat din cadrul lanțului de încredere SSL până la certificatul rădăcină final care este preinstalat în magazinul rădăcină al browserului. Dacă browserul poate identifica toate certificatele din lanț, nu va avea încredere în certificatul dvs. SSL.

Ce este lanțul de încredere SSL?

Să ne întoarcem la lanțul de încredere și să privim imaginea de ansamblu. Lanțul de încredere SSL este o listă ordonată de certificate care permite destinatarului (un browser web) să verifice dacă expeditorul (serverul dvs. securizat) și CA sunt de încredere.

Imaginea de mai jos ilustrează modul în care funcționează lanțul de încredere:

Credit imagine: Yanpas – CC BY-SA 4.0

De asemenea, puteți inspecta lanțul de încredere SSL făcând clic pe lacătul oricărui site web și selectând fila Certification Path (Calea de certificare). Dacă vă uitați la calea de certificare a SSL Dragon, veți vedea, de sus în jos, certificatul rădăcină, certificatul intermediar și certificatul serverului (SSL Dragon utilizează un certificat Cloudflare SSL ca parte a serviciului CDN).

Acum că știți despre lanțul de încredere, să luăm fiecare element și să îl analizăm la microscop.

Ce este un certificat SSL rădăcină?

Un certificat SSL rădăcină se află în vârful ierarhiei de încredere și reprezintă coloana vertebrală a infrastructurii cu cheie publică. Certificatele SSL rădăcină sunt semnate de autorități de certificare de încredere. Cine decide care AC este de încredere? Pe scurt, browserele și aplicațiile, deoarece includ un magazin rădăcină în pachetul de instalare.

Un depozit rădăcină este o listă de certificate rădăcină de încredere, descărcate în prealabil, de la diferite autorități de certificare. De exemplu, dacă certificatul rădăcină al AC nu este inclus în magazinul rădăcină al Google, Chrome va marca site-ul web care utilizează respectiva AC ca fiind nesigur. Puteți citi mai multe despre autoritățile de certificare și despre cine le reglementează.

Un certificat rădăcină este utilizat pentru a emite alte certificate. În cazul în care cheile rădăcină private ar fi furate, infractorii cibernetici și-ar falsifica propriile certificate de încredere. Ca urmare, toate certificatele existente semnate de către autoritatea de certificare piratată ar trebui să fie revocate. Dacă ceva nu merge bine cu certificatul rădăcină, AC este rapid eliminată din toate magazinele rădăcină și încetează să mai existe.

Pentru a evita situațiile de neconceput, autoritățile de certificare utilizează proceduri de securitate riguroase. Acestea stochează cheia CA într-un modul de securitate hardware unic. În plus, dispozitivul fizic de calcul se află într-un seif încuiat, cu uși de oțel și paznici.

Spre deosebire de certificatele comerciale, certificatele root au o durată de viață mult mai lungă. Iată care este perioada de valabilitate a Sectigo (fostul Comodo CA) ECC. După cum puteți vedea, acesta expiră în anul 2038.

Ce este un certificat SSL intermediar?

Emiterea unui certificat SSL către utilizatorul final direct din certificatul rădăcină este prea periculoasă. Pentru a se proteja și mai mult, autoritățile de certificare au creat un alt nivel de securitate – certificatul intermediar.

CA rădăcină semnează rădăcina intermediară cu cheia sa privată și, la rândul său, CA intermediară utilizează cheia sa privată pentru a emite certificate SSL pentru publicul larg. Certificatul sau certificatele intermediare (unele autorități de certificare utilizează mai multe certificate intermediare între certificatul rădăcină și cel al utilizatorului final) acționează ca o legătură de încredere.

Browserele au nevoie de acestea pentru a identifica CA-ul rădăcină și pentru a accepta certificatul serverului. De aceea, dosarul de instalare SSL poate conține un certificat intermediar, alături de certificatul principal. Certificatele intermediare au, de asemenea, o valabilitate mai lungă decât certificatele SSL pentru utilizatorii finali, deși este mai scurtă decât cea a unui certificat rădăcină.

Ce este un certificat SSL pentru server?

Un certificat SSL pentru server, denumit și certificat SSL primar sau certificat de utilizator final, este emis de o autoritate de certificare pentru numele dumneavoastră de domeniu. Acesta verifică proprietatea domeniului și, în funcție de nivelul de validare, statutul juridic al unei companii.

Certificatele serverului sunt semnate de certificatele intermediare, care provin din certificatele rădăcină. Certificatele SSL pentru servere au o valabilitate de un an și sunt certificatele pe care toată lumea le primește atunci când comandă SSL.

Pentru a vă cripta site-ul web și a activa HTTPS, trebuie să instalați un certificat SSL pe serverul dvs. De aici și denumirea – certificate SSL pentru server.

Care este diferența dintre un certificat rădăcină și un certificat intermediar?

Comparația dintre certificatul rădăcină și certificatul intermediar se reduce la poziția lor ierarhică în lanțul de încredere. Fără certificate rădăcină sau CA rădăcină, nu vor exista certificate intermediare sau certificate de server.

Iată ce diferențiază certificatele rădăcină și certificatele intermediare:

1. Valoarea lor globală

Certificatele rădăcină reprezintă nucleul întregului proces de emitere SSL. În cazul în care un certificat rădăcină este compromis, încălcarea ar putea duce la falimentul AC care l-a emis. Pe de altă parte, certificatele intermediare, deși importante, sunt, în cele din urmă, doar intermediari și au o pondere mai mică în lanțul de încredere.

2. Secvența de semnătură digitală

Certificatul rădăcină utilizează cheia privată pentru a semna certificatul intermediar, în timp ce acesta din urmă utilizează aceeași cheie pentru a semna alți intermediari și certificatul serverului.

3. Procedura de eliberare

Autoritatea de certificare semnează certificatul rădăcină, care este apoi inclus în magazinele rădăcină ale diferitelor aplicații și programe. Pentru a-și proteja mai bine certificatele rădăcină, autoritățile de certificare utilizează certificate intermediare pentru a acționa ca “intermediari” între certificatele rădăcină și cele ale serverului.

4. Durata de viață

Certificatele rădăcină au o valabilitate de până la 10-20 de ani, în timp ce certificatele intermediare au o valabilitate mai scurtă din motive de securitate. Pe măsură ce vă deplasați în lanțul de încredere, valabilitatea SSL scade, iar certificatele utilizatorilor finali au o durată de viață de doar un an.

5. Protocolul de stocare

Certificatele rădăcină se află într-un modul de securitate hardware blindat, în spatele unor uși închise și sub supravegherea unui paznic 24/7. În ceea ce privește certificatele intermediare, acestea sunt stocate pe serverul dumneavoastră în directorul de instalare.

Cum să vă dați seama dacă un certificat este rădăcină sau intermediar?

Puteți deosebi un certificat rădăcină de unul intermediar prin inspectarea certificatului în sine. Dacă câmpurile Issued to și Issued by sunt identice, atunci este un certificat rădăcină, deoarece numai o autoritate de certificare validă poate emite rădăcini de încredere; în caz contrar, este un certificat intermediar.

O altă modalitate de a le diferenția ar fi să verificați calea de certificare. Certificatul care apare în partea de sus a listei este certificatul rădăcină, urmat de certificatele intermediare și de cele ale serverului. După cum am menționat deja, certificatele rădăcină au cea mai lungă valabilitate, așa că vă puteți uita și la date atunci când comparați certificatele rădăcină și intermediare

Concluzie

Sperăm că acum ați înțeles pe deplin ce anume face ca un certificat digital să fie atât de sigur. Înțelegând care este diferența dintre certificatele rădăcină și certificatele intermediare, ați rezolvat puzzle-ul SSL/TLS. Lanțul de încredere SSL este unul dintre motivele pentru care certificatele SSL sunt omniprezente și eficiente. Cealaltă este criptarea de înaltă performanță, imposibil de spart chiar și de cel mai inteligent hacker.

Întrebări frecvente

Cum se obțin certificatele rădăcină și intermediar?

Atunci când comandați un certificat SSL, CA livrează fișierele de instalare într-un dosar ZIP arhivat. În interiorul acestuia, veți găsi certificatul de server emis pentru domeniul dumneavoastră și un fișier CA Bundle care conține certificatele root și intermediare. Unele autorități de certificare pot trimite certificatele rădăcină și intermediare în fișiere text separate.

Copiați link-ul

Cum se identifică certificatele rădăcină și intermediare?

Nu este necesar să identificați certificatele rădăcină și intermediar atunci când configurați certificatul SSL dacă le-ați primit în cadrul unui fișier CA Bundle. Deschideți fișierul cu orice editor de text și veți observa că toate certificatele se află în interiorul acestuia în ordinea corectă. Dacă ați primit certificatele rădăcină și intermediar în fișiere separate, verificați numele fișierului, deoarece acesta trebuie să includă cuvântul “root” sau “intermediate” pentru o identificare ușoară.

Copiați link-ul

Cum se combină certificatele rădăcină și intermediar?

Pentru a combina certificatele rădăcină și intermediar, trebuie să le înlănțuiți pe toate (cu excepția certificatului serverului) în ordinea verificării. Cea mai rapidă metodă este de a copia conținutul certificatului rădăcină și de a-l lipi sub certificatele intermediare. Fișierul combinat va avea următoarea ordine:

  • Certificat intermediar 1
  • Certificat intermediar 2
  • Root Certificate pentru a completa lanțul de încredere.

Copiați link-ul

Cum se repară certificatul intermediar sau root lipsă?

Dacă lipsește un certificat rădăcină, soluția este să descărcați mai întâi AC rădăcină de încredere și apoi să încercați să instalați din nou certificatul. Pentru a remedia eroarea de lipsă a certificatului intermediar, asigurați-vă că ați urmat toți pașii de instalare SSL necesari pentru serverul dvs., inclusiv încărcarea certificatelor intermediare în ordinea și formatul de fișier corecte.

Copiați link-ul

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

Economisește 10% acum!
Scris de

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.

Postări similare
What Is a CA Bundle
Ce este un CA Bundle în SSL și cum se creează?
Certificate Authority
Ce este o autoritate de certificare și cum funcționează autoritățile de certificare?
What Is a CAA Record
Ce este un dosar CAA și cum funcționează?
SSL Warranty
Ce este garanția unui certificat SSL și cum funcționează?
Dangers of Self-Signed Certificates
Sunt sigure certificatele autofirmate? Care sunt riscurile?