Transport Layer Security: відмінності між версіями
[перевірена версія] | [перевірена версія] |
Вилучено вміст Додано вміст
Рядок 134:
Основними атрибутами сертифіката є ім'я та ідентифікатор суб'єкта, інформація про відкритий ключ суб'єкта, ім'я, ідентифікатор і цифровий підпис уповноваженого з видачі сертифікатів, серійний номер, версія і термін дії сертифіката, інформація про алгоритм підпису тощо. Важливо, що цифровий сертифікат містить цифровий підпис на основі секретного ключа довірчого центру<ref name="voz.2013"/>.
Центр сертифікації ({{lang-en|Certificate Authority}} — CA), або довірчий центр — об'єкт, уповноважений створювати, підписувати та публікувати сертифікати. Центр має також повноваження ідентифікувати користувачів. Основними операціями, що виконує довірчий центр, є видання, відновлення та анулювання сертифіката<ref name="voz.2013"/>.
Дії Центру сертифікації обмежені політикою сертифікації, що диктує йому, яку інформацію він має вміщувати в сертифікат. Центр сертифікації публікує свою політику сертифікації в такий спосіб, щоб користувачі могли перевірити відповідність сертифікатів цій політиці<ref name="voz.2013"/>.
Рядок 146:
=== Відкликання сертифікатів ===
Сертифікати можуть бути відкликані (анульовані) та визнані недійсними внаслідок компрометації секретного ключа чи зміни атрибутів сертифіката з моменту його випуску. Центри сертифікації може повідомити решту клієнтів про анулювання ключа додавши його в [[список анульованих сертифікатів]] ({{lang-en|Certificate Revocation List}}, CRL) або ж засобами [[Online Certificate Status Protocol|мережевого протоколу статусу сертифікатів]] ({{lang-en|Online Certificate Status Protocol}}, OCSP)<ref name="sh.03-2017">{{cite web
| url = https://scotthelme.co.uk/revocation-is-broken/
| title = Revocation is broken
Рядок 153:
}}</ref>.
Значним недоліком списків анульованих сертифікатів є їхній
Натомість запит за протоколом OCSP дозволяють дізнатись статус окремого сертифікату. Однак, істотним недоліком є те, що таким чином клієнт повідомляє центр сертифікації про веб-сайти, які він відвідує<ref name="sh.03-2017"/>.
Рядок 161:
З огляду на зазначені проблеми деякі сучасні веб-браузери не перевіряють статус сертифікату веб-сайтів. Натомість, браузери [[Chrome]] та [[Firefox]] використовують технологію CRLsets та OneCRL відповідно. Ці списки включають лише анульовані сертифікати з високим пріоритетом, в першу чергу — сертифікати центрів сертифікації (довірчих центрів) різних рівнів<ref name="sh.03-2017"/>.
Для розв'язання згаданих проблем була запропонована технологія {{lang-en|[[OCSP stapling]]}}, буквально — {{lang-uk|скріплення мережевим протоколом статусу сертифікатів}}. Вона передбачає, що результат OCSP запиту на перевірку сертифіката сервера та підписаний відповідним центром сертифікації буде включений в заголовки відповіді на HTTP-запит. Також сертифікат сервера міститиме прапорець OCSP Must-Staple аби повідомити клієнт про необхідність перевірки відповідних даних<ref name="sh.03-2017"/>.
Технологія прозорості сертифікатів ({{lang-en|Certificate Transparency}}, CT) передбачає, що центри сертифікації будуть зобов'язані оприлюднювати всі завірені ними сертифікати. Завдяки цьому власники веб-сайтів матимуть можливість дізнаватись про спроби зловмисників завірити «підроблені» сертифікати на їхні ресурси<ref name="sh.03-2017"/>.
|