Сертификат защищённого веб-сайта

Сертификаты Безопасности траспортного уровня (TLS) проверяют целостность как прав владения, так и информации о посещаемых вами веб-сайтах. В этой статье объясняется, как это работает.


Какие веб-сайты используют сертификаты?

Веб-сайты, адреса которых начинаются с https, используют сертификаты TLS. Веб-сайты, использующие сертификаты TLS, безопасны только в том случае, если они проверяют две вещи:

  • Администратор веб-сайта владеет именем веб-сайта или знает, кто это делает
  • Веб-сайт шифрует соединение между вашим браузером и самим собой, чтобы предотвратить прослушивание

Цепочка доверия

Браузеры, такие как Firefox, проверяют сертификаты с помощью иерархии, называемой 'цепочка доверия. Она определяет структуру для браузеров и других программ для проверки целостности сертификата. Эта диаграмма иллюстрирует цепочку доверия:

chain-of-trust

Это список из трех сертификатов:

  • Корневой сертификат (привязка доверия)
  • Промежуточный сертификат
  • Сертификат сервера (конечная сущность)

Давайте определим их: корневой сертификат принадлежит Центру сертификации (CA), который выдает сертификаты TLS и которому браузер по своей сути доверяет; промежуточный сертификат действует как посредник между корневым центром сертификации и веб-сайтом; сертификат сервера принадлежит администратору веб-сайта.

Эти сертификаты содержат следующую информацию:

  • Подробные сведения об центре сертификации (CA)
  • Асимметричная пара ключей
    • Закрытый ключ, который криптографически подписывает следующий сертификат в цепочке; сертификат сервера имеет такой для других задач
    • Открытый ключ для расшифровки подписи следующего сертификата в цепочке для проверки личности; сертификат сервера использует его для других задач

Теперь мы можем описать, как Firefox определяет, является ли веб-сайт безопасным.

Как Firefox проверяет целостность сертификата?

Вот как Firefox использует цепочку доверия для проверки сертификатов TLS:

  1. Firefox загружает сертификат веб-сайта, который вы посетили
  2. Firefox проверяет сертификат по своей внутренней базе данных центров сертификации (CAs)
    • Он использует открытый ключ сертификата корневого центра сертификации, чтобы гарантировать, что корневой сертификат и промежуточный сертификат надлежащим образом подписаны по цепочке
  3. Firefox производит проверку в центре сертификации, чтобы убедиться, что веб-сайт, к которому вы подключены, соответствует веб-сайту в сертификате сервера
  4. Firefox генерирует симметричный (одиночный) ключ для шифрования HTTP-трафика для соединения
  5. Firefox шифрует симметричный ключ с помощью открытого ключа сертификата сервера
  6. Закрытый ключ, который находится на веб-сервере, расшифровывает данные подключения

Просмотр сертификата

Чтобы просмотреть сертификат, выполните следующие действия:

  1. Нажмите на значок замка
    padlock-icon
  2. Нажмите на Защищённое соединение
    connection-secure
  3. Нажмите на Подробнее
    more-information
  4. В сплывающем окне нажмите Просмотреть сертификат
    view-certificate

Теперь Firefox откроет страницу about:certificate с сертификатом для веб-сайта, на котором вы находитесь:

about-certificate-page

На трёх вкладках слева направо показаны сертификат сервера, промежуточный сертификат и корневой сертификат.

Содержимое сертификата

Сертификаты TLS содержат следующую информацию:

  • Субъект: Содержит название веб-сайта и необязательные атрибуты, такие как информация об организации, владеющей сертификатом.
  • Издатель: Идентифицирует организацию, выдавшую сертификат
  • Срок действия: Показывает, как долго действителен сертификат
  • Расширение альтернативного имени субъекта: Содержит список адресов веб-сайтов, для которых действителен сертификат
  • Информация об открытом ключе: Перечисляет атрибуты открытого ключа сертификата
  • Серийный номер: Однозначно идентифицирует сертификат
  • Алгоритм подписи: Алгоритм, используемый для создания подписи
  • Отпечатки: Хэш файла сертификата в двоичном формате DER
  • Использование ключа и Расширенное использование ключа: Указывает, как пользователи могут использовать сертификат, например, для подтверждения права собственности на веб-сайт (аутентификация веб-сервера).
  • Идентификатор ключа субъекта: Идентификатор, сгенерированный из открытого ключа сертификата TLS для идентификации сертификата
  • Идентификатор ключа центра сертификатов: Идентификатор, сгенерированный из открытого ключа сертификата TLS как способ идентификации открытого ключа, соответствующего закрытому ключу, используемому для подписи сертификата
  • Точки распределения списков отзыва (CRL): Местоположения Списка отзыва сертификатов (CRL) центра сертификации-эмитента
  • Доступ к информации о центрах сертификации: Содержит метод проверки для центра сертификации и промежуточный файл сертификата
  • Проверка сертификата: Содержит тип проверки сертификата и ссылку на Заявление центра сертификации о практике сертификации (CPS)
  • Список SCT: Перечисляет Временные метки подписанного сертификата (SCTS)

Проблемные сертификаты

Когда вы посещаете веб-сайт, адрес которого начинается с https, и возникает проблема с сертификатом TLS, отображается страница с ошибкой. В статье Что означают коды предупреждения о безопасности? описаны распространенные ошибки сертификатов.

Чтобы просмотреть проблемный сертификат, выполните следующие действия:

  1. На странице предупреждения Ваше соединение не защищено нажмите Дополнительно...
    bad-cert-advanced
  2. Нажмите Просмотреть сертификат.
    view-bad-certificate

Теперь отобразится неверный сертификат.

Помогла ли эта статья?

Пожалуйста, подождите...

Эти прекрасные люди помогли написать эту статью:

Unghost, Harry, Anticisco Freeman, Valery Ledovskoy
Illustration of hands

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Подробнее