15%

Спести 15% на всички хостинг услуги

Тествай уменията си и получи Отстъпка за всеки хостинг план

Използвайте код:

Skills
За начало
01.11.2024
Category iconЗащита

Какво е Root Certificate (CA)? Пълно ръководство за Certificate Authorities и Chain of Trust

Защитената комуникация в интернет не се случва случайно. Зад всяка икона на катинар в браузъра ви, всяка HTTPS връзка и всеки криптиран трансфер на данни стои внимателно проектирана система на доверие — и в самото основание на тази система се намира коренния сертификат. Независимо дали сте разработчик, който защитава уеб приложение, системен администратор, управляващ инфраструктура на сървър, или собственик на бизнес, защитаващ данни на клиентите, разбирането на коренните сертификати е съществено знание.

В този всеобхватен справочник ще разберем точно какво представляват коренните сертификати, как работят Органите по сертификация (CAs), как се установява веригата на доверие и как да управляваме коренни сертификати на собствените си системи.

Какво е коренен сертификат?

Коренен сертификат е самоподписан цифров сертификат, издаден от доверен Орган по сертификация (CA). Той се намира в самия връх на йерархията на Инфраструктурата на публичния ключ (PKI) и служи като крайна котва на доверие за всички цифрови сертификати, произтичащи от него.

За разлика от стандартните SSL/TLS сертификати, които са подписани от друга власт, коренният сертификат е подписан от себе си — което означава, че CA гарантира собствената си идентичност. Това е възможно, защото коренните сертификати са предварително инсталирани и по своята природа се доверяват на операционни системи, уеб браузъри и други софтуерни клиенти.

Когато браузърът ви се свързва с уебсайт през HTTPS, той не проверява само сертификата на уебсайта в изолация. Той проследява път назад през верига от сертификати, докато достигне коренен сертификат, който вече доверява. Ако този коренен сертификат присъства в хранилището на доверени сертификати на системата, връзката се счита за защитена.

Коренните сертификати са основата на криптирана комуникация в целия уеб — и без тях технологиите като SSL/TLS нямаше надеждна основа, на която да стоят. Ако разгръщате SSL/TLS на собствената си инфраструктура, решения като VPS Hosting от AlexHost предоставят пълен root достъп и защитена среда за ефективно внедряване и управление на вашия стек от сертификати.

Ролята на органите по сертификация (CAs)

Орган по сертификация (CA) е организация — публична или частна — която издава, управлява и отменя цифрови сертификати. CAs са доверени трети страни, които правят възможна функционирането на цялата PKI система.

Ето какво правят CAs на практика:

  • Проверка на идентичност: Преди издаване на сертификат, CA проверява идентичността на поискващата страна. В зависимост от типа сертификат (DV, OV или EV), тази проверка може да варира от проста проверка на собствеността на домейн до пълен правен одит на бизнеса.
  • Издаване на сертификат: След проверката, CA подписва сертификата със своя частен ключ, свързвайки идентичността на субекта с публичен ключ.
  • Отмяна на сертификат: Ако сертификатът е компрометиран или вече не е валиден, CA може да го отмени и да публикува отмяната чрез Списък на отменени сертификати (CRL) или Протокол за статус на онлайн сертификат (OCSP).

Известни публични CAs включват DigiCert, Sectigo, GlobalSign и Let’s Encrypt. Тези организации имат своите коренни сертификати предварително инсталирани в основните операционни системи и браузъри, което е причината сертификатите, които издават, да се доверяват автоматично на крайните потребители.

Частни CAs също съществуват в корпоративни среди, използвани за вътрешни системи, интранети и управление на устройства — но техните коренни сертификати трябва да бъдат ръчно разпределени и инсталирани на клиентските устройства.

Веригата на доверие: Как работи

Веригата на доверие (също наричана верига от сертификати) е йерархичната последователност от сертификати, която свързва сертификат на крайния потребител обратно към доверен коренен сертификат. Разбирането на тази верига е критично за всеки, който управлява SSL/TLS на уеб сървъри или приложения.

Трите нива на йерархията на сертификатите

#### 1. Коренен сертификат (котва на доверие)

Коренният сертификат е най-горният елемент в йерархията. Той е:

  • Самоподписан от CA
  • Предварително инсталиран в хранилищата на доверие на операционни системи и браузъри
  • Съхранен с висока степен на защита — често в хардуерни модули за сигурност (HSMs)
  • Дълготраен, с периоди на валидност, които често обхващат 20–25 години

Тъй като коренният сертификат е толкова ценен и неговата компрометация би била катастрофална, CAs полагат извънредни усилия да го защитят. Именно затова съществуват междинни сертификати.

#### 2. Междинни сертификати

Междинните сертификати се издават и подписват от коренния CA. Те действат като буфер между коренния сертификат и сертификатите на крайния потребител. Ключните характеристики включват:

  • Оперативна сигурност: Коренният CA може да остане офлайн, докато междинните CAs обработват ежедневното издаване на сертификати
  • Разделяне: Ако междинен CA е компрометиран, само издадените от него сертификати са засегнати — коренният сертификат остава интактен
  • Гъвкавост: Могат да бъдат създадени множество междинни CAs за различни цели, география или бизнес единици

Когато инсталирате SSL/TLS сертификат на уеб сървър, обикновено трябва да инсталирате и веригата на междинни сертификати, така че браузърите да могат да завършат пътя на доверие.

#### 3. Сертификати на крайния потребител (листни сертификати)

Това са сертификатите, инсталирани на уебсайтове, пощенски сървъри, API и други услуги. Те са:

  • Подписани от междинен CA
  • Свързани с конкретно име на домейн, IP адрес или организация
  • Краткотрайни, обикновено валидни за 90 дни до 2 години
  • Това, което браузърите и клиентите действително проверяват при установяване на защитена връзка

Как процесът на проверка работи на практика:

  1. Браузърът ви се свързва с https://example.com
  2. Сървърът представя своя SSL/TLS сертификат (сертификат на крайния потребител)
  3. Браузърът ви проверява подписа на сертификата — той е подписан от междинен CA
  4. Браузърът ви проверява сертификата на междинния CA — той е подписан от коренен CA
  5. Браузърът ви проверява своето хранилище на доверени коренни сертификати — коренният CA присъства и се доверява
  6. Връзката е проверена като защитена ✓

Ако някоя връзка в тази верига е прекъсната, изтекла, отменена или недоверена, браузърът ще покаже предупреждение за сигурност и връзката ще се провали.

Защо коренните сертификати са важни: Основни функции

Сигурност

Коренните сертификати са механизмът, чрез който криптирана комуникация се удостоверява и защитава. Когато клиент се свързва със сървър, използвайки HTTPS, TLS или други криптирани протоколи, коренният сертификат осигурява основното доверие, което прави криптирането смислено. Без него нямаше надеждна начин да проверите, че действително комуникирате с предвидения сървър, вместо с нападател, който извършва атака от средата (MITM).

Удостоверяване

Коренните сертификати позволяват криптографско удостоверяване на идентичности. Чрез доверие на коренен сертификат, вие имплицитно доверявате всеки субект, чийто сертификат се връща към него — при условие че CA е изпълнила правилно своята работа. Именно затова съществуват стандартите на CA/Browser Forum и одитите на WebTrust: за да се гарантира, че CAs поддържат строги практики за проверка на идентичност.

Интегритет на данните

Отвъд криптирането и удостоверяването, PKI системата гарантира интегритет на данните. Цифровите подписи, произтичащи от веригата на сертификати, гарантират, че данните, предадени между клиент и сървър, не са променени при преноса. Това е особено критично за финансови транзакции, здравни данни, правни документи и всеки друг обмен на чувствителна информация.

Неотричане

В някои контексти, особено при подписване на код и подписване на документи сертификати, коренните сертификати поддържат неотричане — способността да докажете, че конкретен субект е подписал или изпратил определено парче данни, и че не могат по-късно да отрекат, че са го направили.

Управление на коренни сертификати на вашата система

Независимо дали отстранявате SSL грешки, разгръщате вътрешна PKI или одитирате конфигурацията на сертификатите на вашия сървър, знанието как да преглеждате и управлявате коренни сертификати е практическо умение за всеки администратор.

Стъпка 1: Преглед на инсталирани коренни сертификати

На Windows:

  1. Натиснете Win + R за отваряне на диалога за изпълнение
  2. Въведете certmgr.msc и натиснете Enter
  3. Навигирайте до Доверени органи по сертификация → Сертификати
  4. Ще видите пълния списък на доверени коренни сертификати, инсталирани на системата

Алтернативно, използвайте PowerShell:

Get-ChildItem -Path Cert:LocalMachineRoot

На macOS:

  1. Отворете Keychain Access (намиращ се в Applications → Utilities)
  2. В левия панел, изберете System Roots под Keychains
  3. Филтрирайте по Certificates в раздела Category
  4. Разглеждайте или потърсете конкретни коренни сертификати

На Linux (Debian/Ubuntu):

Коренните сертификати обикновено се съхраняват в /etc/ssl/certs/. Можете да ги изброите с:

ls /etc/ssl/certs/

За преглед на конкретен сертификат:

openssl x509 -in /etc/ssl/certs/ca-certificates.crt -text -noout

Пакетът ca-certificates управлява хранилището на доверени коренни сертификати на повечето системи, базирани на Debian.

На Linux (RHEL/CentOS/AlmaLinux):

ls /etc/pki/ca-trust/source/anchors/
update-ca-trust

Стъпка 2: Добавяне на персонализиран коренен сертификат

В корпоративни среди или при използване на частен CA, може да се наложи да добавите персонализиран коренен сертификат към вашето хранилище на доверие.

На Windows (чрез групова политика или ръчно):

Import-Certificate -FilePath "C:pathtorootCA.crt" -CertStoreLocation Cert:LocalMachineRoot

На Ubuntu/Debian:

sudo cp rootCA.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

На RHEL/CentOS:

sudo cp rootCA.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Стъпка 3: Актуализиране на коренни сертификати

Хранилищата на коренни сертификати се актуализират чрез актуализации на операционната система и браузъра. Поддържането на системите ви актуални е най-простата и най-важна стъпка в поддържането на здраво хранилище на доверие.

  • Windows: Windows Update разпределя актуализации на коренни сертификати автоматично чрез Програмата на Microsoft за доверени коренни сертификати
  • macOS: Актуализациите на коренни сертификати са включени в актуализациите на сигурност на macOS
  • Linux: Редовно актуализирайте пакета ca-certificates: sudo apt update && sudo apt upgrade ca-certificates
  • Браузъри: Chrome, Firefox и Edge поддържат свои собствени хранилища на коренни сертификати (частично или напълно независими от операционната система) и ги актуализират с актуализации на браузъра

Стъпка 4: Отмяна или недоверие на коренен сертификат

Ако коренен сертификат е компрометиран или трябва да премахнете CA от вашето хранилище на доверие, можете ръчно да го недоверите или изтриете чрез същите интерфейси, описани по-горе. Основни браузъри и доставчици на операционни системи исторически са премахвали компрометирани CAs от своите хранилища на доверие — забележителни примери включват бизнеса на CA на Symantec и няколко правителствени CA.

Коренни сертификати и уеб хостинг: Какво трябва да знаете

Ако управлявате уебсайт или уеб приложение, инфраструктурата на коренни сертификати ви засяга директно чрез вашия SSL/TLS сертификат. Ето какво трябва да имате предвид:

Инсталиране на сертификат: Когато инсталирате SSL сертификат на вашия сървър, трябва да инсталирате и пълната верига на междинни сертификати. Неправилното направление на това ще причини грешки при верификация на веригата за някои клиенти, дори ако самият сертификат е валиден.

Избор на сертификат: Изберете SSL сертификати от добре установени CAs, чиито коренни сертификати са широко доверени. AlexHost предлага SSL сертификати, които се признават от всички основни браузъри и операционни системи, гарантирайки, че посетителите ви никога не срещат грешки при доверие.

Конфигурация на сървър: Правилно конфигурирайте вашия уеб сървър (Apache, Nginx, LiteSpeed), за да служи пълната верига от сертификати. Инструменти като SSL Labs’ SSL Test могат да проверят дали вашата верига е правилно конфигурирана.

Среда на хостинг: Вашата среда на хостинг трябва да поддържа SSL/TLS правилно. Независимо дали сте на Споделен уеб хостинг за прост уебсайт или Дедициран сървър за приложения с висок трафик, гарантирането, че вашата платформа поддържа съвременни TLS конфигурации и управление на сертификати, е неотложно.

Сигурност на имейл: Коренните сертификати също подкрепят протоколи за криптиране на имейл като S/MIME и STARTTLS. Ако управлявате пощенски сървър, разгледайте професионално решение за имейл хостинг, което обработва управлението на сертификати и защитения трансфер от кутията.

Често срещани проблеми с коренни сертификати и как да ги решите

Грешка “Сертификатът не е доверен”

Причина: Коренният сертификат на издаващия CA не е в хранилището на доверие на клиента.

Решение: Гарантирайте, че използвате сертификат от широко доверен CA. За вътрешни системи, разпределете вашия частен коренен CA сертификат на всички клиентски устройства.

Грешка “Непълна верига от сертификати”

Причина: Междинният сертификат липсва от конфигурацията на сървъра.

Решение: Изтеглете пакета на междинния сертификат от вашия CA и конфигурирайте вашия уеб сървър да го служи заедно със сертификата на крайния потребител.

Грешка “Сертификатът е изтекъл”

Причина: Или вашият сертификат на крайния потребител, или междинен сертификат в веригата е изтекъл.

Решение: Обновете вашия SSL сертификат. Ако междинен сертификат е изтекъл, изтеглете актуализирания пакет от вашия CA.

15%

Спести 15% на всички хостинг услуги

Тествай уменията си и получи Отстъпка за всеки хостинг план

Използвайте код:

Skills
За начало