Certifikační autority

Certifikační autorita (CA) je organizace, která má 3 hlavní cíle:

1. Vydávat certifikáty.
2. Ověřovat identitu vlastníka certifikátu.
3. Kontrolovat platnost certifikátu.

Možná jste slyšeli o společnostech jako je Symantec, Comodo nebo Let's Encrypt.

Být CA je náročný proces plný bezpečnostních požadavků a auditů.
Musíte být důvěryhodní, abyste byli přidáni do kořenového úložiště.
Kořenové úložiště je v podstatě databáze důvěryhodných CA.
Apple, Windows a Mozilla provozují svá vlastní kořenová úložiště, která jsou předinstalována na vašem počítači či zařízení.

Které certifikáty si můžete koupit? Můžete si vybrat ze třech příchutí.

Ověření domény. Certifikát pouze ověřuje název domény, nic jiného. Pravděpodobně potřebujete právě tento.
Ověření společnosti. Tento certifikát vyžaduje manuální ověření společnosti, pro kterou je vydáván.
Rozšířené ověření. Certifikát vyžaduje důkladné a detailní ověření společnosti.

Všechny platné certifikáty se označují zeleným zámkem v adresním řádku. Certifikáty s rozšířeným ověřením pak i názvem společnosti.

CERTIFICATAPPROVED

Ale jak jsou certifikáty validovány?

Když CA vydá certifikát, podepíše jej svým podpisem předinstalovaným v kořenovém úložišti.
Většinou se jedná o přechodný certifikát podepsaný mezilehlým certifikátem.
Pokud by došlo ke cat-astrofě, a kořenový certifikát by byl kompromitován, bylo by snadné zneplatnit všechny zprostředkující certifikáty, protože kořenové certifikáty jsou na každém zařízení.

Projdeme si proces, jak je certifikát ověřen. Je založen na 'řetězci důvěry'.

Váš prohlížeč se připojí ke stránce přes HTTPS a stáhne si její certifikát.
Tento certifikát není kořenovým certifikátem.
Váš prohlížeč stáhne certifikát, který byl použit pro podepsání certifikátu na stránce.
Ale tento certifikát stále není kořenovým certifikátem.
Váš prohlížeč se ještě podívá na certifikát, kterým byl podepsán mezilehlý certifikát.

Jó! Toto je kořenový certifikát.

Celý řetězec certifikátů je důvěryhodný, a proto je důvěryhodný také certifikát webu.

V případě že poslední certifikát není kořenovým certifikátem a není možné stáhnout další certifikáty, řetězec není důvěryhodný.

Ale proč využívat certifikační autority, když si můžu certifikáty podepsat sama?

Takzvané 'self-signed' certifikáty poskytují stejnou úroveň šifrování jako ty vygenerované autoritou.
Žádní krabi nemohou číst vaše data.

A za self-signed certifikáty nemusíte nic platit.

To ano, ale každý prohlížeč kontroluje, jestli certifikát vydala důvěryhodná autorita.

Proto jsou návštěvníci varováni, že certifikátu nelze důvěřovat.

Self-signed certifikáty mohou být užitečné při testování nebo na intranetu, ale měli byste se vyhnout jejich používání na veřejných stránkách.

Tyto certifikáty mohou být podvrženy. V podstatě říkají 'Prosím, věř mi, jsem to já, nekecám!
Ověřené certifikáty říkají: 'Můžeš mi věřit, jsem ověřen autoritou'.

Mluvíme o důvěře. Děkuji, že jste nám věřili během tohoto příběhu.

Bohužel, se blíží jeho konec.

Doufám, že jste si tento komix užili!

Brzy na viděnou!

Dokázali jste to!

Dočetli jste komix až do konce! Děkujeme převelice, že jste věnovali svůj čas čtení tohoto seriálu o HTTPS.

Navrhujeme tři věci, které můžete dále udělat, když už tu není další díl.

1. Vyplňte kvíz

Abyste si to vynahradili, můžete si v kvízu otestovat své znalosti o HTTPS. Ano, správně! Dokonce vám pošleme certifikát, pokud dosáhnete dostatečně vysokého skóre.

Take the HTTPS quiz

2. Sdílejte komix na sociálních sítích

Pokud chcete, abychom vytvořili další komix, zde je několik způsobů, které nás k tomu možná donutí. Sdílejte komix a připojte:

I want my new comic right meow 😸 @dnsimple! #certificat https://howhttps.works

Tweet this

Don't cat corners! ✂ 🐈 but make more comics @dnsimple #certificat https://howhttps.works

Tweet that

I have a good feline about this upcoming comic @dnsimple 😻 #certificat https://howhttps.works

Tweet this other thing

Bad crab. Bad @dnsimple. 🦀 Make more comics! #crab https://howhttps.works

Last chance tweet button

3. Navštivte DNSimple

Pokud se vám komix líbil a potřebujete certifikát pro zabezpečení svého webu, nebo spolehlivý a snadno použitelná DNS server či novou doménu, obraťte se na nás.

Visit dnsimple

PS: Pokud chcete navrhnout novou epizodu (jen to ne, museli bychom aktualizovat tuto stránku) nebo nám dát zpětnou vazbu na ty existující, naše kočičí uši naslouchají.