Центри сертифікації

Центри сертифікації (CA) - це стороння організація із трьома основними цілями:

1. Видача сертифікатів.
2. Підтвердження особистості власника сертифіката.
3. Підтвердження дійсності сертифіката.

Ви напевно чули про Symantec, Comodo або ж Let's Encrypt серед інших.

Центри сертифікації мають відповідати низці вимог безпеки та пройти безліч перевірок.
Потрібно, щоб центру сертифікації довіряли, перш ніж нададуть доступ до root store (кореневе сховище).
Простими словами кореневе сховище (root store) - це база даних із довіреними центрами сертифікації.
Apple, Windows і Mozilla мають свої власні кореневі сховища, які вони попередньо встановлюють на ваш комп'ютер або девайс.

Отож, який сертифікат вам слід придбати? У вас вибір із трьох варіантів на ваш смак.

З перевіркою домену. Цей сертифікат лише перевіряє доменне ім'я й нічого більше. Вам, мабуть, потрібний цей.
З перевіркою компанії. Цей сертифікат потребує перевірки та ручної верифікації компанії, якій видається сертифікат.
З розширеною перевіркою компанії. Цей сертифікат вимагає вичерпної перевірки компанії, якій видається сертифікат.

Усі дійсні сертифікати в кінцевому результаті відображають значок безпеки в адресному рядку. У сертифіках із розширеною перевіркою, зазвичай, міститься і назва компанії.

CERTIFICATAPPROVED

Але як же перевіряються сертифікати?

Коли центр сертифікації видає сертифікат, вони підписують його їхнім кореневим сертифікатом, що є попередньо встановленим в їхньому кореневому сховищі.
В більшості випадків це проміжний сертифікат підписаний кореневим сертифікатом.
Якщо трапиться щось страшне і кореневий сертифікат буде скомпрометовано, то можна буде відкликати проміжні сертифікати, оскільки кореневі сертифікати встановлено на кожному пристрої.

Гайда розглянемо процес перевірки сертифіката. Він базується на так званому 'ланцюжку довіри'('chain of trust').

Ваш браузер з'єднується із сайтом за допомогою HTTPS і завантажує сертифікат.
Даний сертифікат не є кореневим сертифікатом.
Ваш браузер завантажує сертифікат, який використовувався для підписання сертифікату на даному сайті.
Але цей сертифікат досі не є кореневим сертифікатом.
Ваш браузер ще раз шукає сертифікат, який власне і підписав проміжний сертифікат.

Це потрібний кореневий сертифікат! Уря!

Увесь ланцюжок сертифікатів є довіреним, а тому і сертифікат даного сайту є перевіреним та надійним.

У випадку, якщо останній сертифікат не є кореневим або немає жодного сертифіката для завантаження, ланцюжок вважається ненадійним.

Але навіщо користуватись центрами сертифікації, якщо ви можете використовувати самопідписаний сертифікат?

Самопідписаний сертифікат забезпечує такий же рівень шифрування, як і той, що згенерований відповідним органом.
І жодний краб не зможе підглянути за вашими даними.

А також не доведеться платити за їх використання!

Так, але практично кожен браузер перевіряє чи сертифікат виданий довіреним органом.

Тому відвідувачів попереджають, що сертифікату не можна довіряти.

Самопідписані сертифікати корисні для тестування та внутрішніх мереж, але вам слід уникати їх використання для публічних сайтів.

Самопідписані сертифікати можуть бути підроблені. Адже усі вони кажуть: 'Довірся мені, це я, чесно!'.
Але довірений сертифікат каже: 'Довірся мені, мене перевірено'.

Оскільки ми говоримо про довіру, дякую, що довіряєте нам і цій історії.

На жаль, на цьому вона завершується.

Ми сподіваємось, що вам сподобався цей комікс!

До зустрічі у новому коміксі!

Ура, у вас вийшло!

Ви завершили комікс! Щиро вдячні вам за те, що прочитали про HTTPS.

А ще пропонуємо вам три дії, щоб відволікти вашу увагу від того факту, що цей комікс уже завершився.

1. Пройти тест

Щоб засвоїти вивчене, ви можете перевірити ваші щойно здобуті знання і пройти тест про HTTPS. І ми навіть надішлемо вам сертифікат, якщо ваш результат буде досить високим.

Take the HTTPS quiz

2. Повернутись до соціальних мереж

Звична людська справа. Якщо ви хочете змусити нас швидше робити нові комікси, ось кілька прикладів, як це зробити.

I want my new comic right meow 😸 @dnsimple! #certificat https://howhttps.works

Tweet this

Don't cat corners! ✂ 🐈 but make more comics @dnsimple #certificat https://howhttps.works

Tweet that

I have a good feline about this upcoming comic @dnsimple 😻 #certificat https://howhttps.works

Tweet this other thing

Bad crab. Bad @dnsimple. 🦀 Make more comics! #crab https://howhttps.works

Last chance tweet button

3. Відвідати DNSimple

Якщо комікс вам сподобався і вам потрібний SSL сертифікат для безпеки вашого сайту, або ж надійний як камінь та легкий у використанні DNS (не ми це сказали), або ж новий файний домен, погляньте тут.

Visit dnsimple

P.S. Якщо ви хочете запропонувати новий епізод (будь ласка, не треба, адже нам прийдеться змінювати цю сторінку) або ж написати відгук про існуючі, наші котячі вушка будуть раді це почути.