Czym jest Urząd certyfikacji?
Urząd certyfikacji (CA) to zaufana organizacja trzecia, która wystawia, podpisuje i zarządza certyfikatami cyfrowymi służącymi do weryfikacji tożsamości podmiotów — takich jak witryny, organizacje lub urządzenia — w ramach infrastruktury klucza publicznego.
Znane również jako: CA, trusted certificate authority
Urzędy certyfikacji są kotwicami zaufania systemu tożsamości internetu. Gdy CA wystawia certyfikat dla domeny, poświadcza tym samym, że posiadacz certyfikatu udowodnił kontrolę nad tą domeną. Przeglądarki i systemy operacyjne zawierają fabrycznie zainstalowany zestaw certyfikatów zaufanych root CA. Gdy twoja przeglądarka napotyka certyfikat serwera, śledzi łańcuch podpisów do jednego z tych zaufanych korzeni, aby zdecydować, czy ufać połączeniu.
Proces wystawiania certyfikatów różni się w zależności od poziomu walidacji. Certyfikaty Domain Validation (DV) wymagają jedynie potwierdzenia kontroli nad domeną (zazwyczaj przez wyzwanie DNS lub HTTP) i mogą być wystawione w ciągu minut. Certyfikaty Organization Validation (OV) i Extended Validation (EV) wymagają weryfikacji tożsamości prawnej wnioskującej organizacji. Let's Encrypt spopularyzował bezpłatne, zautomatyzowane certyfikaty DV, dramatycznie zwiększając adopcję HTTPS w sieci.
Kompromitacja CA to jedno z najpoważniejszych zagrożeń dla bezpieczeństwa internetu. Jeśli atakujący przejmie kontrolę nad kluczem podpisującym CA, może wystawiać fałszywe certyfikaty dla dowolnej domeny, umożliwiając niewykrywalne ataki man-in-the-middle. Zdarzyło się to już — kompromitacja DigiNotar w 2011 r. doprowadziła do całkowitej utraty zaufania i rozwiązania firmy. Dzienniki Certificate Transparency (CT) — publiczny rejestr tylko do dołączania ze wszystkimi wystawionymi certyfikatami — zostały wprowadzone w celu szybkiego wykrywania takich fałszywych wystawień.
Jak Vaulted używa Urząd certyfikacji
Certyfikat HTTPS Vaulted jest wystawiony przez zaufany urząd certyfikacji, umożliwiając przeglądarkom weryfikację, że łączą się z prawdziwym serwerem Vaulted. Uniemożliwia to atakującym man-in-the-middle podszywanie się pod Vaulted w celu przechwytywania zaszyfrowanych sekretów lub dostarczania złośliwego kodu JavaScript. Choć połączenie TLS wspierane przez CA chroni warstwę transportu, model bezpieczeństwa Vaulted nie opiera się wyłącznie na tym — szyfrowanie po stronie klienta zapewnia, że nawet skompromitowany kanał TLS ujawniłby tylko szyfrogram, nie jawne sekrety.