Wersije přirunać
Certyfikat bezpieczeństwa strony
Wersija 275746:
Wersija 275746 wot wužiwarja teo951
Wersija 291847:
Wersija 291847 wot wužiwarja teo951
Klučowe słowa:
PKI certyfikat bezpieczeństwa
PKI certyfikat bezpieczeństwa
Zjeće pytanskich wuslědkow:
Certyfikat bezpieczeństwa strony pomaga Firefoksowi określić bezpieczeństwo odwiedzanej strony. Dowiedz się, czym są certyfikaty bezpieczeństwa strony.
Witryny internetowe mogą prezentować Firefoksowi certyfikat umożliwiający identyfikację. Dowiedz się, jak Firefox sprawdza autentyczność odwiedzanych witryn.
Wobsah:
Certyfikaty [https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ Transport Layer Security] (TLS) weryfikują integralność zarówno własności, jak i informacji o odwiedzanych witrynach internetowych. W tym artykule wyjaśniono, jak to działa.
__TOC__
=Jakie witryny internetowe korzystają z certyfikatów?=
Witryny internetowe, których adresy zaczynają się od „https”, korzystają z certyfikatów TLS. Witryny korzystające z tych certyfikatów są bezpieczne tylko wtedy, o ile weryfikują dwie rzeczy:
* Administrator witryny jest właścicielem nazwy witryny lub wie, kto jest jej posiadaczem
* Witryna szyfruje połączenie między przeglądarką użytkownika a nią samą, aby zapobiec podsłuchiwaniu
=Łańcuch certyfikatów=
Przeglądarki, takie jak Firefox weryfikują certyfikaty poprzez hierarchię zwaną '''łańcuchem certyfikatów''' (ang. ''chain of trust'') lub '''łańcuchem zaufania'''. Definiuje to strukturę dla przeglądarek i innych programów w celu weryfikacji integralności certyfikatu. Poniższy diagram ilustruje łańcuch certyfikatów:
;[[Image:chain-of-trust]]
Oto wykaz trzech certyfikatów:
* Certyfikat główny '''(trust anchor)'''
* Certyfikat pośredni
* Certyfikat serwera '''(end entity)'''
Zdefiniujmy je:
#Certyfikat główny należy do [https://pl.wikipedia.org/wiki/Urz%C4%85d_certyfikacji głównego urzędu certyfikacji] (CA), który wystawia certyfikaty TLS i przeglądarka z natury mu ufa.
#Certyfikat pośredni pełni rolę pośrednika pomiędzy głównym urzędem certyfikacji (CA) a witryną internetową.
#Certyfikat serwera należy do administratora serwisu.
Certyfikaty te zawierają następujące informacje:
* Informacje o urzędzie certyfikacji (CA),
* Parę kluczy asymetrycznych,
** Klucz prywatny kryptograficznie podpisuje kolejny certyfikat w łańcuchu, jest chroniony przez właściciela klucza i tylko on może się nim posłużyć.
** Klucz publiczny służy do odszyfrowania podpisu kolejnego certyfikatu w łańcuchu w celu weryfikacji tożsamości, jest częścią certyfikatu cyfrowego jego właściciela i mogą go używać wszyscy zainteresowani.
Teraz możemy opisać, w jaki sposób Firefox określa, czy witryna jest bezpieczna.
==Jak Firefox sprawdza integralność certyfikatu?==
Oto jak Firefox wykorzystuje łańcuch certyfikatów do weryfikacji certyfikatów TLS:
# Firefox pobiera certyfikat odwiedzanej witryny.
# Sprawdza certyfikat w swojej wewnętrznej bazie danych głównych urzędów certyfikacji (CA).
#* Używa klucza publicznego certyfikatu głównego urzędu certyfikacji, aby upewnić się, że certyfikat główny i certyfikat pośredni są prawidłowo podpisane w łańcuchu.
# Sprawdza w głównym urzędzie certyfikacji, czy witryna, z którą użytkownik się łączy, jest zgodna z witryną w certyfikacie serwera.
# Generuje symetryczny (pojedynczy) klucz do szyfrowania ruchu HTTP dla połączenia.
# Szyfruje klucz symetryczny kluczem publicznym certyfikatu serwera.
# Klucz prywatny, który znajduje się na serwerze WWW, odszyfrowuje dane połączenia.
=Wyświetlanie certyfikatu=
Aby zobaczyć certyfikat należy:
# Kliknąć ikonę kłódki znajdującą się w pasku adresu
#; [[Image:padlock-icon]]
# Kliknąć {button Zabezpieczone połączenie}
#; [[Image:connection-secure]]
# Kliknąć {button Więcej informacji}
#; [[Image:more-information]]
# W wyświetlonym oknie, kliknąć {button Wyświetl certyfikat}
#; [[Image:view-certificate]]
Zostanie wyświetlony certyfikat aktualnie przeglądanej strony:
;[[Image:about-certificate-page]]
Widoczne są trzy zakładki, w których kolejno wyświetlane są: certyfikat serwera, certyfikat pośredni i certyfikat główny.
=Zawartość certyfikatu=
Certyfikaty TLS zawierają następujące informacje:
* '''Nazwa podmiotu''' – zawiera nazwę witryny internetowej i opcjonalne atrybuty, takie jak informacje o organizacji będącej właścicielem certyfikatu.
* '''Wystawca''' – identyfikuje podmiot, który wydał certyfikat
* '''Ważność''' – pokazuje jak długo certyfikat jest ważny
* '''Alternatywne nazwy podmiotu''' – wyświetla adresy witryn internetowych, dla których certyfikat jest ważny
* '''Informacje o kluczu publicznym''' – wyświetla listę atrybutów klucza publicznego certyfikatu
* '''Numer seryjny''' – unikalny identyfikator certyfikatu
* '''Algorytm sygnatury certyfikatu''' – Algorytm używany do stworzenia sygnatury
* '''Odciski''' – hash (cyfrowy „odcisk palca” pliku komputerowego) pliku certyfikatu w [https://wiki.openssl.org/index.php/DER DER] formacie binarnym
* '''Rozszerzone zastosowania klucza''' – określa, w jaki sposób użytkownicy mogą korzystać z certyfikatu, na przykład w celu potwierdzenia własności witryny internetowej (uwierzytelnianie serwera sieci Web)
* '''Identyfikator klucza podmiotu''' – identyfikator wygenerowany na podstawie klucza publicznego certyfikatu TLS w celu identyfikacji certyfikatu
* '''Identyfikator klucza organu''' – identyfikator generowany z klucza publicznego certyfikatu TLS, służący do identyfikacji klucza publicznego odpowiadającego kluczowi prywatnemu użytemu do podpisania certyfikatu
* '''Punkty końcowe CRL''' – lokalizacje [https://csrc.nist.gov/glossary/term/certificate_revocation_list Certificate Revocation List] (CRL) wystawiającego urzędu certyfikacji
* '''Informacje o organie (AIA)''' – zawiera metodę sprawdzania poprawności dla urzędu certyfikacji i pośredniego pliku certyfikatu
* '''Ważność certyfikatu''' – zawiera typ sprawdzania poprawności certyfikatu i łącze do pliku CA [https://csrc.nist.gov/glossary/term/certification_practice_statement Certification Practices Statement] (CPS)
* '''Osadzone SCT''' – zawiera listę [https://www.globalsign.com/en/blog/what-is-certificate-transparency Signed Certificate Timestamps] (SCT)
=Problematyczne certyfikaty=
Jeśli użytkownik odwiedza witrynę, której adres zaczyna się od '''https''', a z jej certyfikatem jest jakiś problem, zobaczy informację o błędzie. Często spotykane błędy certyfikatów opisano w artykule: [[What do the security warning codes mean?]].
Aby wyświetlić problematyczny certyfikat:
# Na stronie z komunikatem '''Połączenie nie jest bezpieczne''', kliknij przycisk {button Zaawansowane…}
#; [[Image:bad-cert-advanced]]
# Kliknij ''Wyświetl certyfikat''
Zostanie wyświetlony zły certyfikat.
<!-- This feature appears to be deprecated
=Zgłaszanie nieprawidłowych certyfikatów=
Strony z informacją o błędzie certyfikatu zawierają opcję zgłoszenia tego błędu do Mozilli. Udostępnienie adresu i identyfikatora strony (certyfikat bezpiecznej witryny) niezaufanej witryny pomoże Mozilli identyfikować i blokować niebezpieczne witryny, zapewniając lepszą ochronę.
-->
<!-- see discussion
=Usuwanie certyfikatów=
Aby usunąć certyfikat:
# [[Template:optionspreferences]]
# W panelu po lewej stronie kliknij {menu Prywatność i Bezpieczeństwo}.
# Przewiń do sekcji '''Certyfikaty'''.
# Kliknij przycisk {button Wyświetl certyfikaty…}.
#;Zostanie wyświetlone wyskakujące okienko '''Menedżer certyfikatów''' z kartą {menu Twoje certyfikaty} zawierającą listę powiązanych certyfikatów.
# Na liście kliknij certyfikat.
# Na dole wyskakującego okienka kliknij przycisk {button Usuń…}.
#; Zostanie wyświetlone wyskakujące okienko z potwierdzeniem.
# Kliknij przycisk {button OK}.
#;Certyfikat zostanie usunięty nie będzie już wyświetlany na karcie {menu Twoje certyfikaty}.
-->
Certyfikaty bezpiecznych witryn internetowych [https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ Transport Layer Security] (TLS) weryfikują integralność zarówno własności, jak i informacji o odwiedzanych witrynach internetowych. W tym artykule wyjaśniono, jak to działa.
__TOC__
=Jakie witryny internetowe korzystają z certyfikatów?=
Witryny internetowe, których adresy zaczynają się od '''https''', korzystają z certyfikatów serwera TLS. Witryny korzystające z tych certyfikatów są bezpieczne tylko wtedy, gdy zapewniają dwie rzeczy:
* Administrator witryny jest właścicielem nazwy domeny lub ma nad nią kontrolę, zapewniając, że użytkownicy łączą się z legalną witryną, a nie z fałszywą lub złośliwą kopią witryny.
* Szyfrowaną wymianę danych za pośrednictwem protokołu TLS pomiędzy przeglądarką a stroną internetową w celu zapewnienia ochrony przed podsłuchem lub manipulacją przez osoby nieupoważnione.
=Łańcuch certyfikatów=
Przeglądarki, takie jak Firefox weryfikują certyfikaty poprzez hierarchię zwaną '''łańcuchem zaufania''' (ang. ''chain of trust''). Definiuje to strukturę dla przeglądarek i innych programów w celu weryfikacji integralności certyfikatu. Oto wykaz trzech certyfikatów:
* Certyfikat główny '''(trust anchor)'''
* Certyfikat pośredni
* Certyfikat TLS serwera '''(end entity)'''
;[[Image:chain-of-trust]] <!-- Localizers: "chain-of-trust" image is optional -->
Zdefiniujmy je. Certyfikat główny należy do [https://pl.wikipedia.org/wiki/Urz%C4%85d_certyfikacji głównego urzędu certyfikacji] (CA), który wystawia certyfikaty TLS i przeglądarka z natury mu ufa. Certyfikat pośredni pełni rolę pośrednika pomiędzy głównym urzędem certyfikacji (CA) a witryną internetową. Certyfikat serwera TLS wydawany jest podmiotowi lub organizacji sprawującej kontrolę nad domeną serwisu.
Certyfikaty serwera TLS opierają się na kryptografii klucza publicznego, w której asymetryczna para kluczy ma dwa klucze powiązane matematycznie:
Klucz prywatny. Klucz ten jest utrzymywany w tajemnicy przez jego właściciela i służy do operacji kryptograficznych, takich jak podpisywanie danych, w tym certyfikatów, czy odszyfrowywanie informacji zaszyfrowanych kluczem publicznym.
Klucz publiczny. Klucz ten jest udostępniany publicznie i służy do weryfikacji podpisów utworzonych kluczem prywatnym lub do szyfrowania informacji, które tylko klucz prywatny może odszyfrować.
Certyfikaty klucza publicznego zawierają następujące informacje:
* Szczegółowe informacje o urzędzie certyfikacji (CA), który wydał certyfikat,
* Klucz publiczny należący do organizacji, która otrzymała certyfikat,
* Dane identyfikacyjne organizacji przechowującej klucz prywatny (patrz [[#w_zawartosc-certyfikatu|Zawartość certyfikatu]]) poniżej. W przypadku protokołu TLS jest to przede wszystkim nazwa domeny witryny internetowej.
Teraz możemy opisać, w jaki sposób Firefox określa, czy witryna jest bezpieczna.
==Jak Firefox sprawdza integralność certyfikatu?==
Oto jak Firefox wykorzystuje łańcuch certyfikatów do weryfikacji certyfikatów TLS:
# Firefox pobiera certyfikat odwiedzanej witryny.
# Sprawdza certyfikat w swojej wewnętrznej bazie danych zaufanych głównych urzędów certyfikacji (CA).
#* Wykorzystuje klucz publiczny certyfikatu głównego urzędu certyfikacji, aby upewnić się, że certyfikat główny i certyfikat pośredni zostały prawidłowo podpisane w łańcuchu w stosunku do certyfikatu serwera TLS dostarczonego przez witrynę internetową.
# Sprawdza informacje zawarte w certyfikacie, aby upewnić się, że witryna, z którą się łączysz, odpowiada witrynie wymienionej w certyfikacie.
# Generuje symetryczny (pojedynczy) klucz do szyfrowania ruchu HTTP dla połączenia.
# Szyfruje klucz symetryczny kluczem publicznym serwera, który znajduje się w certyfikacie serwera.
# Klucz prywatny znajdujący się na serwerze internetowym odszyfrowuje niezbędne dane połączenia, aby zakończyć tak zwane uzgadnianie TLS.
Może wówczas nastąpić bezpieczna komunikacja pomiędzy Firefoksem a witryną.
=Wyświetlanie certyfikatu=
Aby zobaczyć certyfikat należy:
# Kliknąć ikonę [[Image:Fx89Padlock]] kłódki znajdującą się w pasku adresu.
# W wyświetlonym menu [[Site Information panel|Informacje o…]] kliknąć {menu Zabezpieczone połączenie}.
#; [[Image:Fx134SiteInfo-ConnectionSecure]]
# W kolejnym wyświetlonym menu kliknąć {menu Więcej informacji}
#; [[Image:Fx134SiteInfo-MoreInfo]]
# W wyświetlonym oknie kliknąć przycisk {button Wyświetl certyfikat}
#; [[Image:Fx134SiteInfo-ViewCert]]
Zostanie wyświetlona strona zawierająca informacje o certyfikacie aktualnie przeglądanej witryny.
;[[Image:Fx134SiteInfo-AboutCert]]
Na stronie widoczne są trzy karty, w których kolejno wyświetlane są: certyfikat serwera TLS, certyfikat pośredni i certyfikat główny.
=Zawartość certyfikatu=
Certyfikaty serwera TLS zawierają następujące informacje:
* '''Nazwa podmiotu''' – zawiera nazwę witryny internetowej i opcjonalne atrybuty, takie jak informacje o organizacji będącej właścicielem certyfikatu.
* '''Nazwa wystawcy''' – identyfikuje podmiot CA, który wydał certyfikat.
* '''Ważność''' – pokazuje, jak długo certyfikat jest ważny.
* '''Alternatywne nazwy podmiotu''' – wyświetla adresy witryn internetowych, dla których certyfikat jest ważny.
* '''Informacje o kluczu publicznym''' – wyświetla listę atrybutów klucza publicznego certyfikatu.
* '''Numer seryjny''' – unikalny identyfikator certyfikatu.
* '''Algorytm sygnatury certyfikatu''' – Algorytm używany do stworzenia sygnatury.
* '''Odciski''' – hash (cyfrowy „odcisk palca” pliku komputerowego) pliku certyfikatu w [https://wiki.openssl.org/index.php/DER DER] formacie binarnym.
* '''Zastosowania klucza''' i '''Rozszerzone zastosowania klucza''' – określa, w jaki sposób użytkownicy mogą korzystać z certyfikatu, na przykład w celu potwierdzenia własności witryny internetowej (uwierzytelnianie serwera sieci Web).
* '''Identyfikator klucza podmiotu''' – identyfikator wygenerowany na podstawie klucza publicznego certyfikatu TLS w celu identyfikacji certyfikatu.
* '''Identyfikator klucza organu''' – identyfikator generowany z klucza publicznego certyfikatu CA, służący do identyfikacji klucza publicznego odpowiadającego kluczowi prywatnemu użytemu do podpisania certyfikatu.
* '''Punkty końcowe CRL''' – lokalizacje [https://csrc.nist.gov/glossary/term/certificate_revocation_list Certificate Revocation List] (CRL) wystawiającego urzędu certyfikacji CA.
* '''Informacje o organie (AIA)''' – zawiera metodę sprawdzania poprawności dla urzędu certyfikacji i pośredniego pliku certyfikatu.
* '''Zasady certyfikatu''' – zawiera wskazówki dotyczące typu certyfikatu TLS np. informacje zweryfikowane w momencie wystawienia certyfikatu.
* '''Osadzone SCT''' – zawiera listę [https://www.globalsign.com/en/blog/what-is-certificate-transparency Signed Certificate Timestamps] (SCT).
=Problematyczne certyfikaty=
Jeśli użytkownik odwiedza witrynę, której adres zaczyna się od '''https''', a z jej certyfikatem TLS jest jakiś problem, zobaczy informację o błędzie. Często spotykane błędy certyfikatów opisano w artykule: [[What do the security warning codes mean?]].
Aby wyświetlić problematyczny certyfikat:
# Na stronie z ostrzeżeniem '''Połączenie nie jest bezpieczne''', kliknij przycisk {button Zaawansowane…}.
#; [[Image:Fx134SecurityWarning]]
# Kliknij ''Wyświetl certyfikat''.
#; [[Image:Fx134SecurityWarning-ViewCert]]
Zostanie wyświetlony zły certyfikat.
<!-- This feature appears to be deprecated
=Zgłaszanie nieprawidłowych certyfikatów=
Strony z informacją o błędzie certyfikatu zawierają opcję zgłoszenia tego błędu do Mozilli. Udostępnienie adresu i identyfikatora strony (certyfikat bezpiecznej witryny) niezaufanej witryny pomoże Mozilli identyfikować i blokować niebezpieczne witryny, zapewniając lepszą ochronę.
-->
<!-- see discussion
=Usuwanie certyfikatów=
Aby usunąć certyfikat:
# [[Template:optionspreferences]]
# W panelu po lewej stronie kliknij {menu Prywatność i Bezpieczeństwo}.
# Przewiń do sekcji '''Certyfikaty'''.
# Kliknij przycisk {button Wyświetl certyfikaty…}.
#;Zostanie wyświetlone wyskakujące okienko '''Menedżer certyfikatów''' z kartą {menu Twoje certyfikaty} zawierającą listę powiązanych certyfikatów.
# Na liście kliknij certyfikat.
# Na dole wyskakującego okienka kliknij przycisk {button Usuń…}.
#; Zostanie wyświetlone wyskakujące okienko z potwierdzeniem.
# Kliknij przycisk {button OK}.
#;Certyfikat zostanie usunięty nie będzie już wyświetlany na karcie {menu Twoje certyfikaty}.
-->