Sertifika Yetkilisi nedir?
Sertifika yetkilisi (CA), açık anahtar altyapısı içinde web siteleri, kuruluşlar veya cihazlar gibi varlıkların kimliğini doğrulamak için kullanılan dijital sertifikaları düzenleyen, imzalayan ve yöneten güvenilir bir üçüncü taraf kuruluştur.
Diğer adlarıyla: CA, trusted certificate authority
Sertifika yetkilileri, internetin kimlik sisteminin güven çıpalarıdır. Bir CA bir etki alanı için sertifika düzenlediğinde, sertifika sahibinin o etki alanı üzerindeki denetimi kanıtladığını onaylamış olur. Tarayıcılar ve işletim sistemleri, güvenilir kök CA sertifikalarından oluşan önceden yüklenmiş bir kümeyle birlikte gelir. Tarayıcın bir sunucu sertifikasıyla karşılaştığında, bağlantıya güvenip güvenmeyeceğine karar vermek için imza zincirini bu güvenilir köklerden birine kadar izler.
Sertifika düzenleme süreci, doğrulama düzeyine göre farklılık gösterir. Alan Adı Doğrulama (DV) sertifikaları yalnızca etki alanı denetiminin kanıtlanmasını gerektirir (tipik olarak DNS veya HTTP sınaması aracılığıyla) ve dakikalar içinde düzenlenebilir. Kuruluş Doğrulama (OV) ve Genişletilmiş Doğrulama (EV) sertifikaları, başvuru sahibi kuruluşun yasal kimliğinin doğrulanmasını gerektirir. Let's Encrypt, ücretsiz ve otomatik DV sertifikalarını yaygınlaştırarak web genelinde HTTPS benimsemesini dramatik biçimde artırdı.
CA ele geçirilmesi, internet güvenliğine yönelik en ciddi tehditlerden biridir. Bir saldırgan, bir CA'nın imzalama anahtarının denetimini ele geçirirse herhangi bir etki alanı için sahte sertifikalar düzenleyerek tespit edilemeyen ortadaki adam saldırılarına olanak tanır. Bu gerçekten yaşanmıştır: 2011'de DigiNotar'ın ele geçirilmesi, tam güven kaybına ve şirketin tasfiyesine yol açtı. Sertifika Şeffaflığı (CT) günlükleri (düzenlenen tüm sertifikaların genel, yalnızca ekleme yapılabilen kaydı), bu tür sahte düzenlemeleri hızla tespit etmek için hayata geçirildi.
Vaulted Sertifika Yetkilisi nasıl kullanır
Vaulted'ın HTTPS sertifikası güvenilir bir sertifika yetkilisi tarafından düzenlenerek tarayıcıların özgün Vaulted sunucusuna bağlandıklarını doğrulamasına olanak tanır. Bu, ortadaki adam saldırganlarının şifreli gizli dizileri ele geçirmek veya kötü niyetli JavaScript sunmak amacıyla Vaulted'ı taklit etmesini önler. CA destekli TLS bağlantısı aktarım katmanını korusa da Vaulted'ın güvenlik modeli yalnızca buna dayanmaz: istemci taraflı şifreleme, güvenliği ihlal edilmiş bir TLS kanalının bile yalnızca şifreli metni açığa çıkaracağını güvence altına alır; düz metin gizli dizileri değil.