Certifikační autorita (CA) je organizace, která má 3 hlavní cíle:
1. Vydávat certifikáty.
2. Ověřovat identitu vlastníka certifikátu.
3. Kontrolovat platnost certifikátu.
Možná jste slyšeli o společnostech jako je Symantec, Comodo nebo Let's Encrypt.
Být CA je náročný proces plný bezpečnostních požadavků a auditů.
Musíte být důvěryhodní, abyste byli přidáni do kořenového úložiště.
Kořenové úložiště je v podstatě databáze důvěryhodných CA.
Apple, Windows a Mozilla provozují svá vlastní kořenová úložiště, která jsou předinstalována na vašem počítači či zařízení.
Které certifikáty si můžete koupit? Můžete si vybrat ze třech příchutí.
Ověření domény. Certifikát pouze ověřuje název domény, nic jiného. Pravděpodobně potřebujete právě tento.
Ověření společnosti. Tento certifikát vyžaduje manuální ověření společnosti, pro kterou je vydáván.
Rozšířené ověření. Certifikát vyžaduje důkladné a detailní ověření společnosti.
Všechny platné certifikáty se označují zeleným zámkem v adresním řádku. Certifikáty s rozšířeným ověřením pak i názvem společnosti.
Ale jak jsou certifikáty validovány?
Když CA vydá certifikát, podepíše jej svým podpisem předinstalovaným v kořenovém úložišti.
Většinou se jedná o přechodný certifikát podepsaný mezilehlým certifikátem.
Pokud by došlo ke cat-astrofě, a kořenový certifikát by byl kompromitován, bylo by snadné zneplatnit všechny zprostředkující certifikáty, protože kořenové certifikáty jsou na každém zařízení.
Projdeme si proces, jak je certifikát ověřen. Je založen na 'řetězci důvěry'.
Váš prohlížeč se připojí ke stránce přes HTTPS a stáhne si její certifikát.
Tento certifikát není kořenovým certifikátem.
Váš prohlížeč stáhne certifikát, který byl použit pro podepsání certifikátu na stránce.
Ale tento certifikát stále není kořenovým certifikátem.
Váš prohlížeč se ještě podívá na certifikát, kterým byl podepsán mezilehlý certifikát.
Jó! Toto je kořenový certifikát.
Celý řetězec certifikátů je důvěryhodný, a proto je důvěryhodný také certifikát webu.
V případě že poslední certifikát není kořenovým certifikátem a není možné stáhnout další certifikáty, řetězec není důvěryhodný.
Ale proč využívat certifikační autority, když si můžu certifikáty podepsat sama?
Takzvané 'self-signed' certifikáty poskytují stejnou úroveň šifrování jako ty vygenerované autoritou.
Žádní krabi nemohou číst vaše data.
A za self-signed certifikáty nemusíte nic platit.
To ano, ale každý prohlížeč kontroluje, jestli certifikát vydala důvěryhodná autorita.
Proto jsou návštěvníci varováni, že certifikátu nelze důvěřovat.
Self-signed certifikáty mohou být užitečné při testování nebo na intranetu, ale měli byste se vyhnout jejich používání na veřejných stránkách.
Tyto certifikáty mohou být podvrženy. V podstatě říkají 'Prosím, věř mi, jsem to já, nekecám!
Ověřené certifikáty říkají: 'Můžeš mi věřit, jsem ověřen autoritou'.
Mluvíme o důvěře. Děkuji, že jste nám věřili během tohoto příběhu.
Bohužel, se blíží jeho konec.
Doufám, že jste si tento komix užili!
Brzy na viděnou!
Dokázali jste to!
Dočetli jste komix až do konce! Děkujeme převelice, že jste věnovali svůj čas čtení tohoto seriálu o HTTPS.
Navrhujeme tři věci, které můžete dále udělat, když už tu není další díl.
1. Vyplňte kvíz
Abyste si to vynahradili, můžete si v kvízu otestovat své znalosti o HTTPS. Ano, správně! Dokonce vám pošleme certifikát, pokud dosáhnete dostatečně vysokého skóre.
Pokud se vám komix líbil a potřebujete certifikát pro zabezpečení svého webu, nebo spolehlivý a snadno použitelná DNS server či novou doménu, obraťte se na nás.
PS: Pokud chcete navrhnout novou epizodu (jen to ne, museli bychom aktualizovat tuto stránku) nebo nám dát zpětnou vazbu na ty existující, naše kočičí uši naslouchají.