Заощадьте 15% на всіх хостингових послугах

Перевірте свої навички і отримайте Знижку на будь-який план хостингу

Використовуй код: Skills Почати
Рубрики
Безпека

Що таке кореневий сертифікат (CA)? Повний посібник щодо центрів сертифікації та ланцюга довіри

Безпечне спілкування в Інтернеті не відбувається випадково. За кожною іконкою замка у вашому браузері, кожним HTTPS з’єднанням та кожною передачею зашифрованих даних стоїть ретельно розроблена система довіри — і в самій основі цієї системи знаходиться кореневий сертифікат. Незалежно від того, чи ви розробник, який захищає веб-додаток, адміністратор систем, який керує інфраструктурою серверів, чи власник бізнесу, який захищає дані клієнтів, розуміння кореневих сертифікатів є важливим знанням.

У цьому детальному посібнику ми розберемо, що саме являють собою кореневі сертифікати, як працюють Центри сертифікації (CA), як встановлюється ланцюг довіри та як керувати кореневими сертифікатами у ваших власних системах.

Що таке кореневий сертифікат?

Кореневий сертифікат — це самопідписаний цифровий сертифікат, виданий довіреним центром сертифікації (CA). Він розташований на самому верху ієрархії інфраструктури відкритих ключів (PKI) і служить остаточною основою довіри для всіх цифрових сертифікатів, які з нього походять.

На відміну від стандартних SSL/TLS сертифікатів, які підписані іншим органом, кореневий сертифікат підписаний сам собою — це означає, що CA гарантує свою власну ідентичність. Це можливо, оскільки кореневі сертифікати попередньо встановлені та за замовчуванням довіряються операційними системами, веб-браузерами та іншим програмним клієнтам.

Коли ваш браузер підключається до веб-сайту через HTTPS, він не просто перевіряє сертифікат веб-сайту окремо. Він відстежує шлях через ланцюг сертифікатів, поки не досягне кореневого сертифіката, якому він уже довіряє. Якщо цей кореневий сертифікат присутній у довіреному сховищі системи, з’єднання вважається безпечним.

Кореневі сертифікати — це основа зашифрованого спілкування в Інтернеті — і без них технології SSL/TLS не мали б надійної основи для роботи. Якщо ви розгортаєте SSL/TLS на своїй власній інфраструктурі, рішення на кшталт VPS Hosting від AlexHost надають повний root доступ і безпечне середовище для ефективної реалізації та управління вашим стеком сертифікатів.

Роль центрів сертифікації (CA)

Центр сертифікації (CA) — це організація (державна або приватна), яка видає, управляє та анулює цифрові сертифікати. CA — це довірені третьої сторони, які забезпечують функціонування всієї системи PKI.

Ось що роблять CA на практиці:

  • Перевірка ідентичності: Перед видачею сертифіката CA перевіряє ідентичність організації, що його запитує. Залежно від типу сертифіката (DV, OV або EV), ця перевірка може варіюватися від простої перевірки права власності на домен до повного юридичного аудиту бізнесу.
  • Видача сертифіката: Після перевірки CA підписує сертифікат своїм приватним ключем, пов’язуючи ідентичність організації з відкритим ключем.
  • Анулювання сертифіката: Якщо сертифікат скомпрометований або більше не дійсний, CA може його анулювати та опублікувати анулювання через список анульованих сертифікатів (CRL) або протокол перевірки статусу сертифіката в режимі реального часу (OCSP).

Відомі публічні CA включають DigiCert, Sectigo, GlobalSign та Let's Encrypt. Ці організації мають свої кореневі сертифікати попередньо встановлені в основних операційних системах і браузерах, тому сертифікати, видані ними, автоматично довіряються кінцевим користувачам.

Приватні CA також існують у корпоративних середовищах, використовуючись для внутрішніх систем, інтранетів та управління пристроями — але їхні кореневі сертифікати мають бути вручну розповсюджені та встановлені на клієнтських пристроях.

Ланцюг довіри: як це працює

Ланцюг довіри (також називається ланцюгом сертифікатів) — це ієрархічна послідовність сертифікатів, яка пов’язує сертифікат кінцевого користувача з довіреним кореневим сертифікатом. Розуміння цього ланцюга критично важливе для всіх, хто керує SSL/TLS на веб-серверах або додатках.

Три рівні ієрархії сертифікатів

1. Кореневий сертифікат (якір довіри)

Кореневий сертифікат — це найвищий елемент в ієрархії. Він:

  • Самопідписаний ЦА
  • Попередньо встановлений в сховищах довіри операційної системи та браузера
  • Зберігається з найвищою безпекою — часто зберігається офлайн в модулях апаратної безпеки (HSMs)
  • Довгоживучий, з періодами дійсності, які часто охоплюють 20–25 років

Оскільки кореневий сертифікат настільки цінний, а його компрометація була б катастрофічною, ЦА докладають надзвичайних зусиль для його захисту. Саме тому існують проміжні сертифікати.

2. Проміжні сертифікати

Проміжні сертифікати видаються та підписуються кореневим ЦА. Вони діють як буфер між кореневим сертифікатом та сертифікатами кінцевих користувачів. Ключові характеристики включають:

  • Операційна безпека: Кореневий ЦА може залишатися офлайн, тоді як проміжні ЦА обробляють щоденне видання сертифікатів
  • Компартменталізація: Якщо проміжний ЦА скомпрометований, це впливає лише на видані ним сертифікати — кореневий сертифікат залишається неушкодженим
  • Гнучкість: Можна створити кілька проміжних ЦА для різних цілей, географічних регіонів або бізнес-одиниць

Коли ви встановлюєте SSL/TLS сертифікат на веб-сервер, вам зазвичай також потрібно встановити ланцюг проміжних сертифікатів, щоб браузери могли завершити шлях довіри.

3. Сертифікати кінцевих користувачів (листові сертифікати)

Це сертифікати, встановлені на веб-сайтах, поштових серверах, API та інших сервісах. Вони:

  • Підписані проміжним ЦА
  • Прив’язані до конкретної назви домену, IP-адреси або організації
  • Короткоживучі, зазвичай дійсні від 90 днів до 2 років
  • Те, що браузери та клієнти насправді перевіряють при встановленні безпечного з’єднання

Як процес перевірки працює на практиці:

  1. Ваш браузер підключається до https://example.com
  2. Сервер представляє свій SSL/TLS сертифікат (сертифікат кінцевого користувача)
  3. Ваш браузер перевіряє підпис сертифіката — він був підписаний проміжним ЦА
  4. Ваш браузер перевіряє сертифікат проміжного ЦА — він був підписаний кореневим ЦА
  5. Ваш браузер перевіряє своє сховище довіреного кореня — кореневий ЦА присутній та довірений
  6. З’єднання перевірено як безпечне ✓

Якщо будь-яка ланка в цьому ланцюзі розірвана, закінчилася, відкликана або недовірена, браузер відобразить попередження про безпеку, і з’єднання не вдасться.

Чому кореневі сертифікати мають значення: основні функції

Безпека

Кореневі сертифікати — це механізм, за допомогою якого аутентифікується та захищається зашифрована комунікація. Коли клієнт підключається до сервера за допомогою HTTPS, TLS або інших зашифрованих протоколів, кореневий сертифікат забезпечує фундаментальну довіру, яка робить шифрування значущим. Без нього не було б надійного способу перевірити, що ви насправді спілкуєтесь з потрібним сервером, а не з зловмисником, який здійснює атаку «людина посередині» (MITM).

Аутентифікація

Кореневі сертифікати забезпечують криптографічну аутентифікацію ідентичностей. Довіряючи кореневому сертифікату, ви неявно довіряєте кожній сутності, сертифікат якої відстежується до нього — за умови, що ЦС виконав свою роботу належним чином. Саме тому існують стандарти CA/Browser Forum та аудити WebTrust: щоб забезпечити, що ЦС дотримуються суворих практик перевірки ідентичності.

Цілісність даних

Крім шифрування та аутентифікації, система PKI забезпечує цілісність даних. Цифрові підписи, отримані з ланцюга сертифікатів, гарантують, що дані, передані між клієнтом і сервером, не були змінені під час передачі. Це особливо критично для фінансових операцій, даних охорони здоров’я, юридичних документів та будь-якого іншого обміну конфіденційною інформацією.

Невідмовність

У деяких контекстах, особливо при підписанні коду та сертифікатах підписання документів, кореневі сертифікати підтримують невідмовність — можливість довести, що конкретна сутність підписала або надіслала певні дані, і що вона не може пізніше заперечувати цей факт.

Управління кореневими сертифікатами у вашій системі

Незалежно від того, чи ви усуваєте помилки SSL, розгортаєте внутрішню PKI або проводите аудит конфігурації сертифікатів вашого сервера, знання того, як переглядати та керувати кореневими сертифікатами, є практичною навичкою для будь-якого адміністратора.

Крок 1: Перегляд встановлених кореневих сертифікатів

На Windows:

  1. Натисніть Win + R, щоб відкрити діалог Run
  2. Введіть certmgr.msc і натисніть Enter
  3. Перейдіть до Trusted Root Certification Authorities → Certificates
  4. Ви побачите повний список довірених кореневих сертифікатів, встановлених у системі

Крім того, використовуйте PowerShell:

Get-ChildItem -Path Cert:LocalMachineRoot

На macOS:

  1. Відкрийте Keychain Access (знаходиться в Applications → Utilities)
  2. На лівій панелі виберіть System Roots у розділі Keychains
  3. Відфільтруйте за Certificates у розділі Category
  4. Переглядайте або шукайте конкретні кореневі сертифікати

На Linux (Debian/Ubuntu):

Кореневі сертифікати зазвичай зберігаються в /etc/ssl/certs/. Ви можете вивести їх список за допомогою:

ls /etc/ssl/certs/

Щоб переглянути конкретний сертифікат:

openssl x509 -in /etc/ssl/certs/ca-certificates.crt -text -noout

Пакет ca-certificates керує сховищем довірених коренів у більшості систем на основі Debian.

На Linux (RHEL/CentOS/AlmaLinux):

ls /etc/pki/ca-trust/source/anchors/
update-ca-trust

Крок 2: Додавання користувацького кореневого сертифіката

У корпоративних середовищах або при використанні приватного CA вам може знадобитися додати користувацький кореневий сертифікат до вашого сховища довіри.

На Windows (через Group Policy або вручну):

Import-Certificate -FilePath "C:pathtorootCA.crt" -CertStoreLocation Cert:LocalMachineRoot

На Ubuntu/Debian:

sudo cp rootCA.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

На RHEL/CentOS:

sudo cp rootCA.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Крок 3: Оновлення кореневих сертифікатів

Сховища кореневих сертифікатів оновлюються через оновлення операційної системи та браузера. Утримання ваших систем у актуальному стані — це найпростіший і найважливіший крок у підтримці здорового сховища довіри.

  • Windows: Windows Update розповсюджує оновлення кореневих сертифікатів автоматично через Microsoft Trusted Root Certificate Program
  • macOS: Оновлення кореневих сертифікатів включені в оновлення безпеки macOS
  • Linux: Регулярно оновлюйте пакет ca-certificates: sudo apt update && sudo apt upgrade ca-certificates
  • Браузери: Chrome, Firefox та Edge мають свої власні сховища коренів (частково або повністю незалежні від ОС) і оновлюють їх разом з оновленнями браузера

Крок 4: Відкликання або недовіра кореневому сертифікату

Якщо кореневий сертифікат скомпрометований або вам потрібно видалити CA зі сховища довіри, ви можете вручну недовіряти або видалити його через ті ж інтерфейси, описані вище. Основні браузери та постачальники ОС історично видаляли скомпрометовані CA зі своїх сховищ довіри — помітні приклади включають бізнес CA Symantec та кілька державних CA.

Кореневі сертифікати та веб-хостинг: що вам потрібно знати

Якщо ви керуєте веб-сайтом або веб-додатком, інфраструктура кореневих сертифікатів впливає на вас безпосередньо через ваш SSL/TLS сертифікат. Ось що слід пам’ятати:

Встановлення сертифіката: Коли ви встановлюєте SSL сертифікат на сервер, ви також повинні встановити повний ланцюг проміжних сертифікатів. Невдача в цьому призведе до помилок ланцюга довіри для деяких клієнтів, навіть якщо сам сертифікат дійсний.

Вибір сертифіката: Виберіть SSL сертифікати від добре встановлених ЦС, кореневі сертифікати яких широко довіряються. AlexHost пропонує SSL сертифікати, які визнаються всіма основними браузерами та операційними системами, забезпечуючи, щоб ваші відвідувачі ніколи не зіткнулися з помилками довіри.

Конфігурація сервера: Правильно налаштуйте ваш веб-сервер (Apache, Nginx, LiteSpeed) для подачі повного ланцюга сертифікатів. Інструменти, такі як SSL Test від SSL Labs, можуть перевірити, що ваш ланцюг правильно налаштований.

Середовище хостингу: Ваше середовище хостингу повинно належним чином підтримувати SSL/TLS. Незалежно від того, чи ви користуєтесь спільним веб-хостингом для простого веб-сайту або виділеним сервером для високонавантажених додатків, забезпечення того, що ваша платформа підтримує сучасні конфігурації TLS та управління сертифікатами, є обов’язковим.

Безпека електронної пошти: Кореневі сертифікати також лежать в основі протоколів шифрування електронної пошти, таких як S/MIME та STARTTLS. Якщо ви керуєте поштовим сервером, розгляньте професійне рішення поштового хостингу, яке обробляє управління сертифікатами та безпечну передачу з коробки.

Поширені проблеми з кореневими сертифікатами та способи їх вирішення

Помилка "Certificate Not Trusted"

Причина: Кореневий сертифікат видавця CA відсутній у сховищі довіри клієнта.

Вирішення: Переконайтеся, що ви використовуєте сертифікат від широко довіреного CA. Для внутрішніх систем розповсюджуйте ваш приватний кореневий сертифікат CA на всі пристрої клієнтів.

Помилка "Incomplete Certificate Chain"

Причина: Проміжний сертифікат відсутній у конфігурації сервера.

Вирішення: Завантажте пакет проміжних сертифікатів від вашого CA та налаштуйте ваш веб-сервер для його подачі разом з вашим сертифікатом для кінцевого користувача.

Помилка "Certificate Has Expired"

Причина: Ваш сертифікат для кінцевого користувача або проміжний сертифікат у ланцюзі закінчився.

Вирішення: Поновіть ваш SSL сертифікат. Якщо проміжний сертифікат закінчився, завантажте оновлений пакет від вашого CA.

Попередження "Self-Signed Certificate"

Причина: Сертифікат не був виданий довіреним CA — він підписаний самим собою або приватним CA, який відсутній у сховищі довіри.

Вирішення: Замініть на сертифікат від довіреного публічного CA або розповсюджуйте ваш приватний кореневий сертифікат CA всім клієнтам, які повинні йому довіряти.

Кореневі сертифікати проти проміжних сертифікатів проти сертифікатів кінцевих користувачів: швидке порівняння

ФункціяКореневий сертифікатПроміжний сертифікатСертифікат кінцевого користувача
ВиданийСамопідписаний (сама CA)Кореневою CA або іншою проміжною CAПроміжною CA
Період дійсності20–25 років5–10 років90 днів – 2 роки
Зберігається вСховищі довіри ОС/браузераЛанцюзі сертифікатів сервераВеб-сервері / додатку
МетаЯкір довіриМіст ланцюга + операційна безпекаІдентифікує конкретний домен/сутність
Якщо скомпрометованийКатастрофічний — вся екосистема CA постраждалаСерйозний — усі видані сертифікати постраждалиОбмежений — постраждав лише цей домен
Зберігається в автономному режимі?Так, зазвичайІнодіНі

Висновок

Кореневі сертифікати — це невидима, але незамінна основа безпеки інтернету. Вони роблять HTTPS можливим, забезпечують зашифровану електронну пошту, автентифікують оновлення програмного забезпечення та лежать в основі практично кожної форми безпечного цифрового спілкування, на яке ми покладаємося сьогодні. Розуміння того, як кореневі сертифікати, проміжні сертифікати та сертифікати кінцевих користувачів працюють разом у ланцюзі довіри, дає вам знання для розгортання, усунення неполадок та управління SSL/TLS ефективно.

Для власників веб-сайтів та розробників практичний висновок простий: використовуйте SSL сертифікати від надійних ЦС, тримайте ваші ланцюги сертифікатів повними та актуальними, і виберіть хостинг-середовище, яке підтримує надійні конфігурації безпеки. AlexHost's VPS з cPanel робить управління сертифікатами інтуїтивним, тоді як наші VPS Control Panels дають досвідченим користувачам гнучкість для налаштування всього їхнього PKI стеку точно так, як потрібно.

Безпека — це не функція, яку ви додаєте в кінці — це основа, яку ви будуєте з самого початку. І кореневі сертифікати — це саме те: основа, на якій стоїть все інше.