Transport Layer Security: відмінності між версіями
[перевірена версія] | [перевірена версія] |
Вилучено вміст Додано вміст
Рядок 126:
}}</ref>.
Технологія PKI полягає у використанні двох математично
* один ключ може бути використаний для шифрування повідомлення, що може бути розшифровано тільки за допомогою другого ключа;
* навіть якщо відомий один ключ, за допомогою обчислень практично неможливо визначити другий. Один із ключів відкритий для всіх, а другий має приватний характер і зберігається в захищеному місці. Ці ключі можуть бути використані для автентифікації чи шифрування цифрового підпису електронних даних.
Рядок 132:
PKI служить не лише для створення цифрових сертифікатів, але і для зберігання великої кількості сертифікатів і ключів, забезпечення резервування і відновлення ключів, взаємної сертифікації, ведення списків анульованих сертифікатів і автоматичного відновлення ключів та сертифікатів після закінчення терміну їхньої дії<ref name="voz.2013"/>.
Основними атрибутами сертифіката є
Центр сертифікації (Certificate Authority
Дії Центру сертифікації обмежені політикою сертифікації, що диктує йому, яку інформацію він має вміщувати в сертифікат. Центр сертифікації публікує свою політику сертифікації в такий спосіб, щоб користувачі могли перевірити відповідність сертифікатів цій політиці<ref name="voz.2013"/>.
Реалізації TLS (наприклад, [[веб-браузер]]и) мають списки центрів сертифікації яким вони довіряють<ref>{{Cite web|url=https://www.rsaconference.com/writable/presentations/file_upload/sec-t02_final.pdf|title=Alternatives to Certification Authorities for a Secure Web|last=Rea|first=Scott|date=2013|website=|publisher=RSA Conference Asia Pacific|access-date=7 September 2016}}</ref>. Інколи такі списки можуть складатись із понад ста центрів, яким браузер довіряє
Сучасні веб-браузери також не зважають на зміну сертифікатів: якщо веб-сайт {{mvar|А}} мав сертифікат {{mvar|К1}}, виданий центром сертифікації {{mvar|Ц1}}, то веб-браузер без жодних застережень прийме сертифікат {{mvar|К2}} виданий центром сертифікації {{mvar|Ц2}}, попри те, що такі зміни можуть служити свідченям несанкційованого перехоплення трафіку<ref name="eff.03-2010"/>.
Рядок 157:
Натомість запит за протоколом OCSP дозволяють дізнатись статус окремого сертифікату. Однак, істотним недоліком є те, що таким чином клієнт повідомляє центр сертифікації про веб-сайти, які він відвідує<ref name="sh.03-2017"/>.
Проте, обидва методи залежать від роботи центру сертифікації
З огляду на зазначені проблеми деякі сучасні веб-браузери не перевіряють статус сертифікату веб-сайтів. Натомість, браузери [[Chrome]] та [[Firefox]] використовують технологію CRLsets та OneCRL відповідно. Ці списки включають лише анульовані сертифікати з високим пріоритетом, в першу чергу
Для розв'язання згаданих проблем була запропонована технологія {{lang-en|OCSP stapling}}, буквально
Технологія прозорості сертифікатів ({{lang-en|Certificate Transparency}}, CT) передбачає, що центри сертифікації будуть зобов'язані оприлюднювати всі завірені ними сертифікати. Завдяки цьому власники веб-сайтів матимуть можливість дізнаватись про спроби зловмисників завірити
Технологія авторизації центрів сертифікації ({{lang-en|Certificate Authority Authorisation}}, CAA) дозволяє власникам веб-сайтів додавати інформацію про центр сертифікації в [[DNS|DNS-запис]] сайту. В такий спосіб клієнт буде поінформований якому центру сертифікації довіряє певний веб-сайт<ref name="sh.03-2017"/>.
Аби зменшити потенційну шкоду від викрадення сертифікату сервера власники можуть подавати запити на сертифікати зі скороченим терміном дії (замість років
== Використані алгоритми ==
|