4/1
مرجع صدور گواهی دیجیتال (CA)، شرکت یا سازمانی است که هویت اشخاصی (مانند وبسایتها، آدرسهای ایمیل، شرکتها یا افراد خاص) را تأیید و آنها را از طریق کلیدهایی رمزنگاری (cryptographic keys) به اسنادی الکترونیکی به نام گواهی دیجیتال(digital certificates)، متصل میکنند.
مرجع صدور گواهی دیجیتال (CA)، شرکت یا سازمانی است که هویت اشخاصی (مانند وبسایتها، آدرسهای ایمیل، شرکتها یا افراد خاص) را تأیید و آنها را از طریق کلیدهایی رمزنگاری (cryptographic keys) به اسنادی الکترونیکی به نام گواهی دیجیتال(digital certificates)، متصل میکنند.
معمولاً متقاضی گواهی دیجیتال یک جفت کلید متشکل از یک کلید خصوصی (Private Key) و یک کلید عمومی (Public Key) به همراه یک درخواست امضای گواهی (Certificate Signing Request - CSR) تولید میکند.CSR یک فایل متنی رمزنگاری شده است که شامل کلید عمومی و سایر اطلاعاتی است که در گواهی گنجانده میشوند (به عنوان مثال نام دامنه، سازمان، آدرس ایمیل و غیره). تولید جفت کلید و CSR معمولاً روی سرور یا ایستگاه کاری که گواهی نصب خواهد شد انجام میشود.
نوع اطلاعات موجود در CSR به سطح اعتبارسنجی و موارد استفادهی مورد نظر از گواهی بستگی دارد. برخلاف کلید عمومی، کلید خصوصی متقاضی ایمن نگه داشته میشود و هرگز نباید به CA (یا هر شخص دیگری) نشان داده شود.
پس از ایجاد CSR، متقاضی آن را به CA ارسال میکند. CA به طور مستقل صحت اطلاعات موجود در CSR را بررسی و تایید میکند و سپس گواهی را با استفاده از کلیدی خصوصی به صورت دیجیتالی امضا و برای متقاضی ارسال میکند.
وقتی گواهی امضا شده به شخص ثالثی ارائه میشود (مانند زمانی که شخص ثالث به وبسایت دارنده گواهی جهت بازدید مراجعه کرده است)، گیرنده میتواند امضای دیجیتال CA را از طریق کلید عمومی CA تأیید کند. علاوه بر این، شخص میتواند تأیید کند که محتوای امضا شده توسط شخصی که کلید خصوصی مربوطه را در اختیار دارد ارسال شده است و اطلاعات آن از زمان امضا تغییر نکرده است. بخش مهمی از این ویژگی گواهیهای دیجیتال از طریق «زنجیرهی اعتماد» بدست می آید.
در SSL/TLS، S/MIME، code signing، و برنامههای دیگر گواهیهای X.509، زنجیرهای از گواهیها برای تأیید اعتبار استفاده میشود. این زنجیره به عنوان زنجیره اعتماد شناخته میشود. در یک زنجیرهی اعتماد، گواهیها توسط گواهیهایی صادر و امضا میشوند که در سطح بالاتری در زنجیره قرار دارند.
شما میتوانید با بررسی گواهی یک وبسایت HTTPS به راحتی نمونهای از یک زنجیرهی اعتماد را ببینید. هنگام بررسی یک گواهی SSL/TLS در مرورگر وب، میتوانید اطلاعات زنجیره اعتماد آن گواهی دیجیتال، از جمله لنگر اعتماد، گواهیهای میانی، و گواهی نهایی را مشاهده کنید. این نقاط تایید مختلف با اعتبار لایه یا پیوند قبلی تأیید شدهاند و در نهایت به لنگر اعتماد که در ابتدای زنجیره قرار دارد، باز میگردند.
مرجع صدور گواهی دیجیتال مادر (root CA) به عنوان لنگر اعتماد در زنجیره اعتماد عمل میکند. اعتبار این لنگر برای یکپارچگی زنجیره بسیار حیاتی است. اگر CA مورد اعتماد عمومی باشد (مانند SSL.com)، گواهیهای CA مادر (root CA) توسط شرکتهای نرمافزاری بزرگ (مانند ماکروسافت، اپل، گوگل و …) در مرورگر و نرمافزارهای داخل سیستمعامل گنجانده میشود. این مورد تضمین میکند که هر گواهی موجود در زنجیره اعتماد که به هر یک از گواهیهای CA اصلی منتهی میشود توسط نرمافزار، قابل اعتماد باشد.
در زیر، می توانید لنگر اعتماد سایت SSL.com را مشاهده کنید:
SSL.com EV Root Certification Authority RSA R2
CA مادر (root CA) یا لنگر اعتماد قابلیت امضا و صدور گواهیهای میانی را دارد. گواهیهای میانی ( که به عنوان «واسطه» (intermediate)، «زیردسته» (subordinate)، یا «CAهای صادرکننده» (Issuing CA) نیز شناخته میشوند) ساختاری انعطافپذیر برای اعطای اعتبار لنگر اعتماد به گواهیهای میانی و شرکتهای نهایی در زنجیره ارائه میکنند. از این نظر، گواهیهای میانی یک عملکرد اداری را ایفا میکنند. هر واسطه می تواند برای یک هدف خاص استفاده شود؛ مانند صدور SSL/TLS یا گواهی امضای کد (code signing) و حتی می تواند برای اعطای اعتماد CA اصلی به سازمانهای دیگر استفاده شود.
گواهیهای میانی همچنین به عنوان بافری میان گواهی نهاد نهایی و CA اصلی عمل میکنند و از کلید خصوصی CA اصلی در برابر خطر محافظت میکنند. درواقع انجمن CA/Browser الزامات پایهی خود آورده است که در CA قابل اعتماد عمومی (از جمله SSL.com)، نباید از CA اصلی به شرکت های نهایی (متقاضی نهایی CA) به شکل مستقیم گواهی صادر کرد. این بدان معنی است که زنجیره اعتماد هر گواهی مورد اعتماد عمومی باید حداقل یک گواهی میانی داشته باشد.
در مثال زیر، SSL.com EV SSL Intermediate CA RSA R3 تنها گواهی میانی در زنجیره اعتماد وبسایت SSL.com است. همانطور که از نام گواهی پیداست، این گواهی تنها برای صدور گواهیهای EV SSL/TLS استفاده شده است.
گواهی نهاد نهایی، حلقه نهایی در زنجیره اعتماد است. گواهی نهاد نهایی (که گاهی اوقات به عنوان گواهی برگ (Leaf Certificate) یا «گواهی مشترک (Subscriber Certificate) نیز شناخته می شود)، برای اعطای اعتماد CA اصلی به نهادی مانند وب سایت، شرکت، یا شخص استفاده میشود.
گواهی نهاد نهایی با لنگر اعتماد یا گواهی میانی فرق دارد چرا که نمیتواند گواهیهای اضافی صادر کند. به معنای دیگر این گواهی همیشه آخرین حلقه در زنجیره اعتماد است. مثال زیر گواهی SSL/TLS نهایی مربوط به وبسایت SSL.com نشان میدهد:
زنجیره اعتماد امنیت، مقیاسپذیری، و انطباق با استانداردها را برای CA تضمین میکند. همچنین حریم خصوصی، اعتماد، و امنیت را برای کسانی که به گواهیهای نهاد نهایی متکی هستند (مانند اپراتورهای وب سایت و کاربران آنها) تضمین میکند.
صاحبان وبسایت و سایر کاربران باید بدانند که برای اعطای موفقیت آمیز اعتماد CA اصلی به گواهی نهاد نهایی مورد نظر، داشتن یک زنجیره اعتماد کامل ضروری است.
اگر تمایل داشتید میتوانید با زدن علامت قفل در کنار URL سایت ما و رفتن به بخش Certification نمونه ای از CA دریافت شده که نمایانگر تایید هویت ماست مشاهده نمایید.
نظرات کاربران: