השוואת מהדורות
Сертификат защищённого веб-сайта
מהדורה 196975:
מהדורה 196975 מאת Goudron ב־
מהדורה 274777:
מהדורה 274777 מאת Goudron ב־
מילות מפתח:
безопасность просмотр
безопасность просмотр
תקציר תוצאות החיפוש:
Веб-сайты предоставляют Firefox сертификаты, чтобы идентифицировать себя. Узнайте, как Firefox проверяет подлинность сайтов, которые вы посещаете.
Веб-сайты предоставляют Firefox сертификаты, чтобы идентифицировать себя. Узнайте, как Firefox проверяет подлинность сайтов, которые вы посещаете.
תוכן:
Сертификат защищённого веб-сайта помогает Firefox определить, является ли сайт, который вы посещаете, на самом деле тем сайтом, за который он себя выдает. Эта статья объясняет, как это работает.
__TOC__
=Иерархия сертификатов=
Когда вы посещаете веб-сайт, адрес которого начинается с '''https''', ваше соединение с сайтом зашифровано, чтобы обеспечить вашу приватность. До начала установки шифрованного соединения, веб-сайт будет предоставлять Firefox сертификат, чтобы себя идентифицировать.
Веб-сайт, использующий https, будет защищённым только при условии, что веб-сайт управляется кем-то, кто был уполномочен человеком, который зарегистрировал это доменное имя, и связь между вами и веб-сайтом зашифрована, чтобы предотвратить перехват данных. Ни одна из этих гарантий не подразумевается.
Когда вы посещаете защищённый веб-сайт, Firefox будет проверять сертификат веб-сайта, чтобы убедиться, что сертификат, подписавший его, является действительным, и проверять, что сертификат, подписавший родительский сертификат, тоже является действительным, и так далее вплоть до [https://wiki.mozilla.org/CA:UserCertDB корневого сертификата], о котором известно, что он является действительным. Эта цепочка сертификатов называется "иерархией сертификатов".
<!-- Certificate content section no longer matches the information on the Certificate Viewer page. See discussion on updates for fx71.
=Содержимое сертификатов=
Сертификаты защищённых веб-сайтов содержат следующую информацию.
'''Cерийный номер''': Уникальный идентификатор сертификата.
'''Субъект''': Идентификатор владельца сертификата, например название организации, владеющей сертификатом.
'''Центр выдачи''': Идентификатор организации, выдавшей сертификат.
'''Альтернативное имя субъекта сертификата''': Список адресов веб-сайтов, для идентификации которых может быть использован сертификат.
'''Значение подписи''': Данные, которые подтверждают, что сертификат поступил от Центра выдачи.
'''Алгоритм подписи''': Алгоритм, используемый для создания подписи.
'''Действительно с''': Дата, с которой начинает действовать сертификат.
'''Действительно по''': Дата окончания действия сертификата.
'''Использование ключа и расширенное использование ключа''': Определяет, как может быть использован сертификат, например для подтверждения права собственности на сайт (Проверка подлинности веб-сервера).
'''Открытый ключ''': Открытая часть данных, которая содержит пару открытый/закрытый ключ. Открытые и закрытые ключи математически связаны, так что данные, зашифрованные с помощью открытого ключа могут быть расшифрованы только с помощью соответствующего закрытого ключа.
'''Алгоритм открытого ключа''': Алгоритм, используемый для создания открытого ключа.
'''Отпечаток''': Сокращенная форма открытого ключа.
'''Алгоритм отпечатка''': Алгоритм, используемый для создания отпечатка.
-->
=Просмотр сертификата=
Вы можете быстро просмотреть подробную информацию о сертификате для веб-сайта, который в настоящий момент просматриваете, в [[Firefox Page Info window|окне Информация о сайте в Firefox]].
{for not fx70}
Когда вы переходите на сайт, чей веб-адрес начинается с '''https''', в начале адресной строки будет значок замка. Совершите следующие действия, чтобы просмотреть сертификат:
# Щёлкните по значку Информация о сайте [[Image:Site Info button]] в адресной строке.
# Щёлкните по стрелке вправо в выпадающей панели [[Site Information panel|Центра управления]].
# На следующей панели, которая отображает, кто удостоверил сертификат, щёлкните по кнопке {button Подробнее}.
#;[[Image:Fx60SecureSite-MoreInfo]]
# На вкладке {menu Защита} открывшегося окна '''Информация о странице''' щёлкните по кнопке {button Просмотреть сертификат}.
#; [[Image:Fx60PageInfo-ViewCertificate]]
{/for}
{for fx70}
Когда вы переходите на сайт, чей веб-адрес начинается с '''https''', в начале адресной строки будет значок замка. Совершите следующие действия, чтобы просмотреть сертификат:
# Щёлкните по значку замка [[Image:Fx70GreyPadlock]] в адресной строке.
# Щёлкните по стрелке вправо в выпадающей панели [[Site Information panel|Центра управления]].
# На следующей панели, которая отображает, кто удостоверил сертификат, щёлкните по кнопке {button Подробнее}.
#;[[Image:fx71 - View Certificate]]
# На вкладке {menu Защита} открывшегося окна '''Информация о странице''' щёлкните по кнопке {button Просмотреть сертификат}..
#; [[Image:Fx70PageInfo-ViewCertificate]]
{/for}
{for not fx71}
В открывшемся окне '''Просмотр сертификата''' отобразится основная информация о сертификате, такая как издатель, время действия и отпечатки.{for not fx71} Вкладка {menu Подробности} отображается иерархию сертификата, поля сертификата для выбранного сертификата в иерархии и подробности о значении поля для выбранного поля.{/for}
{/for}
{for fx71}
В открывшейся вкладке '''Просмотр сертификата ''' отобразится основная информация о сертификате, такая как издатель, время действия и отпечатки и другую информацию.
[[Image:Fx71-CertificateViewer]]
Окно Просмотр сертификата отображает в заголовках '''иерархию сертификата''', которые работают на странице как ''вкладки''. Вы можете щёлкнуть на заголовок каждого сертификата, чтобы просмотреть по нему информацию.
{/for}
<!-- see discussion
==В настройках Firefox==
В разделе '''Сертификаты''' настроек Firefox вы можете просмотреть все сохранённые сертификаты вместе с относящимися к ним подробностями.
# [[Template:optionspreferences]]
# Щёлкните панели слева {menu Приватность и Защита}.
# Прокрутите страницу до раздела '''Сертификаты'''.
# Щёлкните по кнопке {button Просмотр сертификатов…}.
#;Отобразится всплывающее окно '''Управление сертификатами''' со вкладкой {menu Ваши сертификаты}, выбранной по умолчанию, которая содержит список связанных сертификатов.
# Щёлкните по сертификату в списке.
# Щёлкните по кнопке {button Просмотреть…} в нижней части всплывающего окна.
#;На странице about:certificate в новой вкладке отобразится основная информация о сертификате, в числе которой издатель, период действия и отпечатки.
-->
=Проблемные cертификаты=
Если вы просматриваете веб-сайт, чей веб-адрес начинается с '''https''', и с сертификатом безопасности веб-сайта возникла проблема, вы увидите страницу с ошибкой. Некоторые типичные ошибки с сертификатами описаны в статье [[What do the security warning codes mean?]].
Для просмотра проблемного сертификата выполните следующие действия:
{for not fx66}
# На странице с предупреждением '''Ваше соединение небезопасно''' щёлкните '''Дополнительно'''.
# Щёлкните по кнопке {button Добавить исключение…}.
#;{for win}[[Image:Add Cert Exception 44]]{/for}
# Когда появится диалоговое окно Добавление исключения, щёлкните по кнопке {button Просмотр…}.
#;Появится диалоговое окно Просмотр сертификата.
{/for}
{for fx66}
# На странице '''Предупреждение: Вероятная угроза безопасности''' щёлкните '''Дополнительно'''. (На других страницах с ошибками щёлкните '''Подробная информация''').
#; Будут отображены подробности, которые касаются ошибки.
#Под кодом ошибки щёлкните '''Просмотреть сертификат'''.
#;Отобразится диалоговое окно Просмотр сертификата.
#;[[Image:Fx66ViewCertificate]]
{/for}
=Отправка отчётов об ошибках сертификатов=
Страницы с ошибками сертификатов включают в себя возможность отправки отчёта об ошибках в Mozilla. Если вы делитесь адресом и идентификацией сайта (сертификатом безопасности веб-сайта) для недоверенного сайта, это помогает Mozilla в идентификации и блокировке вредоносных сайтов, чтобы предоставить вам лучшую защиту.
<!-- see discussion
=Удаление сертификатов=
Вы можете удалить сертификаты, совершив следующие действия:
# [[Template:optionspreferences]]
# Щёлкните на панели слева по {menu Приватность и Защита}.
# Прокрутите страницу до раздела '''Сертификаты'''.
# Щёлкните по кнопке {button Просмотр сертификатов…}.
#;Отобразится всплывающее окно '''Управление сертификатами''' со вкладкой {menu Ваши сертификаты}, выбранной по умолчанию, которая содержит список связанных сертификатов.
# Щёлкните по сертификату в списке.
# Щёлкните по кнопке {button Удалить…} в нижней части всплывающего окна.
# Щёлкните по кнопке {button OK}.
#;Этот сертификат больше не будет отображаться на вкладке {menu Ваши сертификаты}.
-->
Сертификаты [https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ Безопасности траспортного уровня] (TLS) проверяют целостность как прав владения, так и информации о посещаемых вами веб-сайтах. В этой статье объясняется, как это работает.
__TOC__
=Какие веб-сайты используют сертификаты?=
Веб-сайты, адреса которых начинаются с '''https''', используют сертификаты TLS. Веб-сайты, использующие сертификаты TLS, безопасны только в том случае, если они проверяют две вещи:
* Администратор веб-сайта владеет именем веб-сайта или знает, кто это делает
* Веб-сайт шифрует соединение между вашим браузером и самим собой, чтобы предотвратить прослушивание
=Цепочка доверия=
Браузеры, такие как Firefox, проверяют сертификаты с помощью иерархии, называемой '''цепочка доверия''. Она определяет структуру для браузеров и других программ для проверки целостности сертификата. Эта диаграмма иллюстрирует цепочку доверия:
[[Image:chain-of-trust]]
Это список из трех сертификатов:
* Корневой сертификат '''(привязка доверия)'''
* Промежуточный сертификат
* Сертификат сервера '''(конечная сущность)'''
Давайте определим их: корневой сертификат принадлежит [https://en.wikipedia.org/wiki/Certificate_authority Центру сертификации] (CA), который выдает сертификаты TLS и которому браузер по своей сути доверяет; промежуточный сертификат действует как посредник между корневым центром сертификации и веб-сайтом; сертификат сервера принадлежит администратору веб-сайта.
Эти сертификаты содержат следующую информацию:
* Подробные сведения об центре сертификации (CA)
* Асимметричная пара ключей
** Закрытый ключ, который криптографически подписывает следующий сертификат в цепочке; сертификат сервера имеет такой для других задач
** Открытый ключ для расшифровки подписи следующего сертификата в цепочке для проверки личности; сертификат сервера использует его для других задач
Теперь мы можем описать, как Firefox определяет, является ли веб-сайт безопасным.
==Как Firefox проверяет целостность сертификата?==
Вот как Firefox использует цепочку доверия для проверки сертификатов TLS:
# Firefox загружает сертификат веб-сайта, который вы посетили
# Firefox проверяет сертификат по своей внутренней базе данных центров сертификации (CAs)
#* Он использует открытый ключ сертификата корневого центра сертификации, чтобы гарантировать, что корневой сертификат и промежуточный сертификат надлежащим образом подписаны по цепочке
# Firefox производит проверку в центре сертификации, чтобы убедиться, что веб-сайт, к которому вы подключены, соответствует веб-сайту в сертификате сервера
# Firefox генерирует симметричный (одиночный) ключ для шифрования HTTP-трафика для соединения
# Firefox шифрует симметричный ключ с помощью открытого ключа сертификата сервера
# Закрытый ключ, который находится на веб-сервере, расшифровывает данные подключения
=Просмотр сертификата=
Чтобы просмотреть сертификат, выполните следующие действия:
# Нажмите на значок замка
#; [[Image:padlock-icon]]
# Нажмите на {button Защищённое соединение}
#; [[Image:connection-secure]]
# Нажмите на {button Подробнее}
#; [[Image:more-information]]
# В сплывающем окне нажмите {button Просмотреть сертификат}
#; [[Image:view-certificate]]
Теперь Firefox откроет страницу '''about:certificate''' с сертификатом для веб-сайта, на котором вы находитесь:
[[Image:about-certificate-page]]
На трёх вкладках слева направо показаны сертификат сервера, промежуточный сертификат и корневой
сертификат.
=Содержимое сертификата=
Сертификаты TLS содержат следующую информацию:
* '''Субъект''': Содержит название веб-сайта и необязательные атрибуты, такие как информация об организации, владеющей сертификатом.
* '''Издатель''': Идентифицирует организацию, выдавшую сертификат
* '''Срок действия''': Показывает, как долго действителен сертификат
* '''Расширение альтернативного имени субъекта''': Содержит список адресов веб-сайтов, для которых действителен сертификат
* '''Информация об открытом ключе''': Перечисляет атрибуты открытого ключа сертификата
* '''Серийный номер''': Однозначно идентифицирует сертификат
* '''Алгоритм подписи''': Алгоритм, используемый для создания подписи
* '''Отпечатки''': Хэш файла сертификата в двоичном формате [https://wiki.openssl.org/index.php/DER DER]
* '''Использование ключа и Расширенное использование ключа''': Указывает, как пользователи могут использовать сертификат, например, для подтверждения права собственности на веб-сайт (аутентификация веб-сервера).
* '''Идентификатор ключа субъекта''': Идентификатор, сгенерированный из открытого ключа сертификата TLS для идентификации сертификата
* '''Идентификатор ключа центра сертификатов''': Идентификатор, сгенерированный из открытого ключа сертификата TLS как способ идентификации открытого ключа, соответствующего закрытому ключу, используемому для подписи сертификата
* '''Точки распределения списков отзыва (CRL)''': Местоположения [https://csrc.nist.gov/glossary/term/certificate_revocation_list Списка отзыва сертификатов] (CRL) центра сертификации-эмитента
* '''Доступ к информации о центрах сертификации''': Содержит метод проверки для центра сертификации и промежуточный файл сертификата
* '''Проверка сертификата''': Содержит тип проверки сертификата и ссылку на [https://csrc.nist.gov/glossary/term/certification_practice_statement Заявление центра сертификации о практике сертификации] (CPS)
* '''Список SCT''': Перечисляет [https://www.globalsign.com/en/blog/what-is-certificate-transparency Временные метки подписанного сертификата] (SCTS)
=Проблемные сертификаты=
Когда вы посещаете веб-сайт, адрес которого начинается с '''https''', и возникает проблема с сертификатом TLS, отображается страница с ошибкой. В статье [[What do the security warning codes mean?]] описаны распространенные ошибки сертификатов.
Чтобы просмотреть проблемный сертификат, выполните следующие действия:
# На странице предупреждения '''Ваше соединение не защищено''' нажмите {button Дополнительно...}
#; [[Image:bad-cert-advanced]]
# Нажмите ''Просмотреть сертификат''.
#; [[Image:view-bad-certificate]]
Теперь отобразится неверный сертификат.
<!-- This feature appears to be deprecated
=Reporting Certificate Errors=
Certificate error pages include an option to report the error to Mozilla. Sharing the address and site
identification (the secure website certificate) for the site that was untrusted will help Mozilla identify and block malicious sites to keep you better protected.
-->
<!-- see discussion
=Удаление сертификатов=
Вы можете удалить сертификаты, совершив следующие действия:
# [[Template:optionspreferences]]
# Щёлкните на панели слева по {menu Приватность и Защита}.
# Прокрутите страницу до раздела '''Сертификаты'''.
# Щёлкните по кнопке {button Просмотр сертификатов…}.
#;Отобразится всплывающее окно '''Управление сертификатами''' со вкладкой {menu Ваши сертификаты}, выбранной по умолчанию, которая содержит список связанных сертификатов.
# Щёлкните по сертификату в списке.
# Щёлкните по кнопке {button Удалить…} в нижней части всплывающего окна.
# Щёлкните по кнопке {button OK}.
#;Этот сертификат больше не будет отображаться на вкладке {menu Ваши сертификаты}.
-->