CA

همه چیز در مورد Certificate Authority یا (CA)

Certificate Authority یا CA یک مرجع صدور گواهی است. می‌توان گفت یک سازمان قابل اعتماد است که وب سایت ها (و سایر نهادها) را تأیید می کند، تا بدانید با چه کسی به صورت آنلاین در ارتباط هستید. هدف آنها این است که اینترنت را به مکانی امن تر برای سازمان ها و کاربران تبدیل کنند. این بدان معناست که آنها نقشی اساسی در امنیت دیجیتال دارند. اگر کمی مبهم یا گیج کننده به نظر می رسد، بیایید از مثالی برای توضیح اینکه مرجع گواهی یا CA چیست استفاده کنیم. فرض کنید در حال بازدید از وب سایت یک بانک هستید.

وب سایت به اینن شکل نمایش داده می‌شود (xyz.com) اما چگونه می دانید که واقعاً به سروری متصل هستید که توسط این بانک اداره می شود؟ چگونه می دانید که دررپشت صحنه سایت، یک هکر نیست که وب سایتی درست شبیه سایت بانکی ساخته است؟ برای هکر های نابغه، انجام این کار بسیار آسان است!

سازمان های صدور گواهی سایت، مانند سازمان های پاسپورت برای اینترنت هستند. هنگامی که پاسپورت خود را دریافت کردید، می توانید از آن برای اثبات اینکه واقعاً خود شما هستید، به هر کسی استفاده کنید. (حتی اگر قبلاً شما را ملاقات نکرده باشند.)

مقامات صدور گواهینامه برای وبسایت و فعالیت های آنلاین، همین شکل هستند. درست مانند اداره گذرنامه! یک CA برای تکمیل فرآیند تأیید و صدور گواهی، هزینه کمی را دریافت می کند. در این مورد، پس از اینکه یک وب سایت (یا سازمان) را تأیید کردند، آنچه به عنوان گواهی دیجیتال یا CA شناخته می شود را، صادر می کنند. این فایل دیجیتالی به سازمان‌ها، وب‌سایت‌ها یا سایر نهادها این امکان را می‌دهد تا ثابت کنند که چه کسی هستند.

پس چگونه همه اینها کار می کنند؟ به هر حال، وب‌سایت‌ها گذرنامه واقعی ندارند! و من به یاد نمی‌آورم که هنگام بازدید از وب‌سایت بانکی خودم،گواهینامه یا CA را اسکن کرده باشم…

سئو سایت

CA مورد اعتماد چیست (و چرا به آنها اعتماد می کنیم)؟

یک Certificate Authority مورد اعتماد (یا آنچه به عنوان مرجع گواهی تجاری نیز شناخته می شود) یک نهاد شخص ثالث است که برای سازمان هایی که آنها را درخواست می کنند گواهی صادر می کند. آنها به هیچ وجه توسط شخص یا سازمانی که از آنها درخواست گواهی می کند کنترل نمی شوند. یک CA قابل اعتماد گواهی‌های دیجیتالی مورد اعتماد عمومی صادر می‌کند که حداقل استانداردهای نظارتی (معروف به الزامات خط پایه یا BR) را که توسط انجمن CA/Browser (تالار CA/B) مشخص شده است، مطابقت دارد.

ارائه دهندگان خدمات CA درک روشنی از استانداردهایی خواهند داشت که هنگام ارائه خدمات SSL و احراز هویت باید به آنها پایبند باشند. به نوبه خود، حسابرسان از معیارهایی برای سنجش اینکه آیا CA حداقل انتظارات صنعت را برآورده می کند یا خیر، استفاده خواهند کرد. CA با ممیزی که دارد نشان می دهد سایت شما با الزامات پایه مطابقت دارد یا نه. یعنی خطر رد شدن توسط مرورگرهای پیشرو کمتر خواهد بود و گواهینامه های آنها به طور گسترده پذیرفته می شود. هنگامی که مصرف کنندگان با گواهینامه های SSL ارائه شده توسط CA که الزامات پایه CA/B را پذیرفته اند مواجه می شوند، از سطح خاصی از امنیت اطمینان حاصل می کنند. الزامات پایه منجر به استفاده مکرر از SSL برای ایمن سازی وب سایت هایی با رمزگذاری قوی تر و آسیب پذیری های مرتبط با گواهینامه کمتر می شود.

چگونه یک مرجع Certificate Authority یا (CA) کار می کند؟

سازمان های صدور گواهینامه CA یکی از بخش های جدایی ناپذیری هستند که یک سیستم بزرگتر به نام زیرساخت کلید عمومی یا به اختصار PKI را تشکیل می دهند. اگر می‌خواهید در مورد نحوه کارکرد آن بیشتر بخوانید، به مقاله ما مراجعه کنید که به بررسی نحوه عملکرد PKI می‌پردازد. وقتی به وب‌سایتی می‌روید و قفل را می‌بینید(مانند تصویر زیر)، باید بدانید، نوعی فناوری‌ این امکان را فراهم می‌کند که یک گواهی SSL دارد.

CA چیست
CA چه کاری انجام می‌دهد؟

گواهینامه های SSL/TLS بر اساس PKI هستند و چند بخش کلیدی وجود دارد که برای کارکرد گواهی SSL باید وجود داشته باشد.

  • گواهی دیجیتال (به عنوان مثال، گواهی SSL/TLS) که هویت وب سایت را ثابت می کند.
  • یک CA که وب سایت را تأیید می کند و گواهی دیجیتال را صادر می کند.
  • نوعی امضای دیجیتالی که گواهی SSL را موثق نشان داده و می‌گوید، توسط مرجع گواهی معتبر صادر شده است.
  • یک کلید عمومی که مرورگر شما برای رمزگذاری داده های ارسال شده به وب سایت استفاده می کند.
  • یک کلید خصوصی که وب سایت برای رمزگشایی داده های ارسال شده به آن استفاده می کند.

بیایید نگاهی به این تصویر بیندازیم. این کمک می کند تا روند عملکرد PKI در امنیت وب سایت و نقشی که CA در آن ایفا می کند، مشخص شود.

روند کاری شرکت های CA
خلاصه ایی از عملکرد CA

این تصویر نقشی را که یک مرجع گواهی در زیرساخت کلید عمومی ایفا می کند را نشان می دهد. همانطور که در آنجا مشاهده می کنید، Certificate Authority در راس این فرآیند قرار دارد.

یک مرجع صدور گواهی یا CA چه کاری انجام می دهد؟

همانطور که اشاره کردیم، سازمان های صدور گواهینامه های دیجیتالی، جزء زیرساخت کلید عمومی هستند. کاری که آنها انجام می دهند این است.

  1. نام دامنه، افراد و سازمان‌ها را بررسی می‌کنند تا هویت آنها را از طریق سوابق رسمی تأیید کنند.
  2. صدور گواهینامه های دیجیتالی که سرورها، افراد و سازمان ها را احراز هویت می کند (ایجاد اعتماد).

تایید CA

این فرآیند زمانی شروع می شود که یک وب سایت برای دریافت گواهی دیجیتال به Certificate Authority مراجعه می کند. مرجع صدور گواهی، بسته به نوع گواهی درخواستی، فرآیند تأیید را تکمیل می کند.

  1. اعتبار سنجی دامنه: Certificate Authority تأیید می کند که درخواست کننده مدیر قانونی دامنه یا وب سایت مورد نظر است.
  2. اعتبار سنجی سازمان: مرجع گواهی نه تنها قانونی بودن اطلاعات دامنه را تأیید می کند، بلکه یک گام فراتر می رود و اعتبار سنجی تجاری اولیه را انجام می دهد. فرآیند OV شامل یک عنصر انسانی است. اساساً، CA اطلاعاتی را که درخواست‌کننده گواهی ارائه می‌کند بررسی می‌کند و همچنین اطلاعات اضافی (با استفاده از سوابق و منابع شخص ثالث) را برای اطمینان از قانونی بودن سازمان بررسی می‌کند.
  3. اعتبار سنجی توسعه یافته: این کامل ترین سطح اعتبار سنجی تجاری است. در این فرآیند از اعتبار سنجی یک تا پنج روزه، CA نگاهی گسترده به سازمان درخواست کننده دارد. آنها فراتر از الزامات فرآیند تأیید اعتبار OV هستند تا اطمینان حاصل کنند که سازمان شما واقعاً قانونی است.

با الزام افراد و سازمان‌ها به راستی‌آزمایی، CA می‌تواند اطمینان بیشتری از واقعی بودن وب‌سایت درخواست‌کننده ارائه دهد.

طراحی سایت تخصصی

گواهی های دیجیتال CA

Certificate Authority هویت را از طریق احراز هویت گواهی وارد تصویر می کنند. و این چیزی است که به وب سایت کمک می کند تا با مرورگر شما اعتماد ایجاد کند. اگرچه تا کنون فقط در مورد یک نوع (گواهینامه های SSL/TLS) صحبت کرده ایم، در واقع چندین دسته از گواهی های دیجیتالی وجود دارد که CA صادر می کنند! و هر کدام نقش متفاوتی را در PKI ایفا می کنند. در برخی موارد، چندین نوع گواهی دیجیتال در هر دسته وجود دارد. همه این گواهی ها به عنوان گواهی دیجیتال X.509 شناخته می شوند. زیرا X.509 استاندارد فنی است که همه آنها با آن مطابقت دارند.

گواهینامه های SSL/TLS

گواهی‌های SSL/TLS اتصالات رمزگذاری شده و ایمن را که بین مرورگر کاربر و وب سرور شما برقرار می شود، تسهیل می کند. (آیکون قفل را که قبلاً به آن اشاره کردیم، به یاد بیاورید؟ بله، این گواهی ها چیزی است که این امکان را فراهم می کند). این گواهی‌ها همان چیزی هستند که اخطارهای «ناامن» را در نوار URL و پیام‌های هشدار «Your connection is not private» را که مرورگرها برای وب‌سایت‌های ناامن نمایش می‌دهند، حذف می‌کنند.

گواهینامه های SSL/TLS بر اساس سطوح اعتبار سنجی و عملکرد آنها تقسیم می شوند. سطوح اعتبار سنجی در مورد دامنه، سازمان و انواع اعتبار سنجی توسعه یافته هستند که کمی پیش در مورد آنها بحث کردیم.

عملکردها:

گواهینامه های یک دامنه: همانطور که از نام آن پیداست، این نوع گواهینامه های SSL/TLS یک دامنه جداگانه را ایمن می کنند. (این شامل هر دو نسخه WWW و غیر WWW دامنه است.)گواهی‌های چند دامنه: این گواهی‌ها به شما امکان می‌دهند چندین دامنه و دامنه‌های جایگزین موضوع (SAN) را تحت یک گواهی واحد ایمن کنید.
گواهی نامه های Wildcard: اصطلاح wildcard به زیر دامنه ها اشاره دارد. بنابراین، یک گواهی SSL/TLS با حروف عام، گواهینامه ای است که تعداد نامحدودی از زیر دامنه ها را برای یک دامنه تحت یک گواهی واحد ایمن می کند. (به عنوان مثال، ممکن است اطلاعات زیر دامنه را با یک ستاره مانند *.bbt.com یا *.thesslstore.com مشاهده کنید.)گواهی نامه های عام چند دامنه: این گواهی ها به نوعی بهترین های هر دو جهان هستند. آنها نه تنها به شما امکان می دهند چندین دامنه را تحت یک گواهی واحد ایمن کنید، بلکه به شما امکان می دهند تا هر تعداد زیر دامنه را که می خواهید ایمن کنید. وایلد کارت‌های چند دامنه‌ای از نظر تطبیق پذیری بیشترین ارائه را دارند.
Certificate Authority

گواهی امضای کد Certificate Authority

توسعه دهندگان و ناشران از این نوع گواهی ها برای امضای دیجیتالی کد خود ضمن اطمینان از یکپارچگی آن استفاده می کنند. این به کاربران امکان می‌دهد بفهمند که آیا از زمان امضای اولیه آن دستکاری شده است یا خیر. همچنین به شما کمک می‌کند تا با نشان دادن اینکه شما واقعاً آن را امضا کرده‌اید، هویت خود یا سازمانتان را تأیید کنید.

Certificate های امضای ایمیل

گواهینامه های امضای ایمیل برای احراز هویت افراد و مشتریان به سرورهای وب مفید هستند. این گواهی‌ها به گواهی‌های S/MIME، گواهی‌های احراز هویت شخصی، گواهی‌های احراز هویت مشتری و غیره نیز معروف هستند.

Certificate امضای اسناد

این گواهی‌ها برای احراز هویت سازنده سند و تأیید صحت خود سند مفید هستند. راهی که یک مرجع گواهی به آن گواهی‌های فردی اعتبار می‌دهد، صدور گواهی‌های ریشه‌ای است که گواهی‌های دیگر به آن پیوند می‌خورند. این همان چیزی است که ما آن را زنجیره اعتماد می نامیم.

امضاهای دیجیتال

یک CA چیزی به نام امضای دیجیتال را برای گواهی دیجیتال اعمال می کند. به عبارت ساده، امضای دیجیتال:

  • ثابت می کند که گواهی توسط مرجع گواهی معتبر صادر شده است.
  • تأیید می کند که گواهی تغییر یا تعویض نشده است.

اما آیا کسی نمی تواند فقط یک امضای دیجیتال جعل کند؟ خیر. به دلیل cache و چک جمع.

سئو سایت

نقش یک CA در زنجیره اعتماد

زنجیره اعتماد، مجموعه‌ای از گواهی‌ها که به CA صادرکننده مرتبط می‌شوند. یک مدل اعتماد سلسله مراتبی است. این نوع زنجیره از طریق یک گواهی میانی از گواهی سرور وب سایت به ریشه پیوند می دهد. این بدان معنی است که مدل اعتمادی که همه CAهای عمومی استفاده می کنند شامل موارد زیر است:

  1. گواهی های ریشه
  2. گواهینامه های متوسط
  3. گواهی های سرور

از آنجایی که مدل اعتماد سه بخشی همان چیزی است که همه Certificate Authority از آن استفاده می کنند، این همان چیزی است که ما در اینجا روی آن تمرکز خواهیم کرد.

Certificate Authority چه کاری انجام می‌دهد؟
CA و اعتماد به آن

در نمودار بالا، گواهی ریشه با برچسب DigiCert است. گواهی میانی دارای برچسب DigiCert SHA-2 Extended Validation Server CA است. گواهی سرور گواهی است که آدرس دامنه BB&T را به عنوان مثال دارد. نمی دانید چگونه آن را بخوانید؟ آن را مانند درختی وارونه در نظر بگیرید. گواهی‌های ریشه پایه هستند. گواهی‌های میانی مانند تنه درخت و شاخه‌های بزرگ‌تر و گواهی‌های سرور فردی، گواهی‌های برگ هستند که طول عمر محدودی دارند.

گواهی ریشه یک گواهی امضا شده است که CA صادر و با استفاده از کلید خصوصی خود امضا می کند. یک Certificate Authority تنها تعداد انگشت شماری گواهینامه ریشه صادر می کند و آنها برای مدت زمان طولانی معتبر هستند. همانطور که می توانید تصور کنید، این بدان معنی است که CA ها از نزدیک از این گواهی ها را محافظت می کنند. مرورگرها و فروشگاه های کلید سیستم عامل لیستی از این گواهینامه های ریشه قابل اعتماد را حفظ می کنند.
یک گواهی میانی از گواهی های ریشه صادر می شود. یک CA ریشه می تواند اختیارات خود را برای صدور گواهینامه های سرور SSL/TLS به CA های میانی خود واگذار کند. این موجودیت ها اساساً به عنوان واسطه بین گواهینامه های CA ریشه و سرور عمل می کنند. (بنابراین، اگر مهاجم یک کلید CA میانی را به خطر بیندازد، فقط گواهی هایی که امضا کرده اند نامعتبر می شوند.)
گواهی برگ چیزی است که CA برای دامنه شما صادر می کند. این گواهینامه ای است که در سرور خود آپلود می کنید و دامنه، زیر دامنه ها و غیره شما را تأیید می کند (بسته به گواهی). این گواهینامه های عمومی دارای طول عمر محدود یک ساله (به طور خاص تر 398 روز) هستند.
Certificate Authority و گواهی های آن

اما وقتی مشکلی پیش بیاید چه اتفاقی می افتد؟ به عنوان مثال، زمانی که کلید خصوصی یک CA گم شود یا گواهی به خطر بیفتد. اینجاست که لیست ابطال گواهی وارد عمل می شود.

نقش CA در ابطال گواهی

فهرست ابطال گواهی، اساساً، لیست سیاه گواهینامه هایی است که دیگر نمی توان به آنها اعتماد کرد. یک مرجع صدور گواهی یک گواهی را به این لیست شرم اضافه می کند تا بگوید مشکلی در یک گواهی خاص وجود دارد و دیگر قابل اعتماد نیست. این فهرستی است که مشتریان می‌توانند برای بررسی آن به CA مراجعه کنند (یا سرورهای وب‌سایت نیز می‌توانند از طریق فرآیندی به نام OCSP stapling، اطلاعات را به‌طور خودکار در اختیار مشتریان قرار دهند).

آیا CRL همان گزارش شفافیت گواهی CA است؟

نه اینها دو چیز متفاوت هستند. هر زمان که یک CA یک گواهی دیجیتال جدید صادر می کند، باید یک ورودی جدید در گزارش CT عمومی خود ایجاد کند. با این حال، اگر یک CA هر یک از این گواهی ها را قبل از تاریخ انقضای تعیین شده باطل کند، CA آن گواهی ها را به CRL خود اضافه می کند.

چرا Certificate Authority بسیار مهم هستند؟

یک مرجع صدور گواهی، صادرکننده گواهی، امضا کننده کلید (عمومی) و تأیید کننده اعتبار سازمان ها و افراد است. (همه اینها بسیار شبیه به بازی تاج و تخت به نظر می رسد، اینطور نیست؟)بیایید به دنیای بدون CA قابل اعتماد برای صدور گواهی‌های دیجیتال، فکرکنیم!

تصور می‌کنیم که شما صاحب وب سایت هستید و مشتریان شما در تلاش هستند تا به وب سایت شما متصل شوند. آنها چگونه می دانند که در واقع به وب سایت قانونی شما وصل شده اند و شما یک فرد جعلی و متقلب نیستند؟ یک Certificate Authority تأیید می کند که سایت متعلق به شما است و سازمان شما قانونی است. (بسته به سطح اعتبار سنجی گواهی که استفاده می کنید). این به ایجاد اعتماد با مرورگرهای وب مشتریان کمک می کند.

CA
دلیل اهمیت CA

بنابراین، هنگامی که کاربر سعی می کند با سایت شما ارتباط برقرار کند، سرور شما کلید عمومی خود را به همراه یک گواهی دیجیتال (گواهی SSL/TLS) که توسط CA امضا شده است، ارسال می کند. هنگامی که این اعتماد را با مشتری از طریق فرآیندی به نام دست دادن SSL/TLS برقرار کرد، سپس یک اتصال امن و رمزگذاری شده بین آنها شکل می‌گیرد. رمزگذاری کانال ارتباطی از رهگیری و سرقت داده‌ هایی که بین مشتریان و سرور شما ارسال می‌شود، توسط اشخاص ناخواسته جلوگیری می‌کند.

اساساً، همه اینها به این معنی است که بدون این نهادهای شخص ثالث، کاربران سایت شما هرگز به طور قطع نمی دانند که آیا شما همان چیزی هستید که ادعا می کنید یا هستید یا اینکه داده های شما به هر طریقی دستکاری شده است یا نه. علاوه بر این، شما هرگز با مقررات و قوانین مربوط به امنیت و حریم خصوصی داده ها مطابقت نخواهید داشت. (HIPAA، PCI DSS، GDPR، CCPA و غیره را در نظر بگیرید)

همه این مقررات به نوعی شامل استفاده از Certificate Authority است. و اگر از این قوانین پیروی نکنید، با جریمه های بالقوه قابل توجهی برای عدم انطباق، دعاوی بالقوه و از دست دادن اعتماد مشتریان روبرو خواهید شد. این از نظر مالی ضرر سنگینی بر کسب و کار شما وارد می کند و آسیب به شهرت سازمان شما ممکن است چیزی باشد که نتوانید از آن برگردید.

چند شرکت CA وجود دارد؟

شاید تعجب کنید که بدانید در واقع چند صد CA عمومی در سطح جهانی وجود دارد. آنها اغلب بر اساس کشور یا منطقه تقسیم می شوند. طبق آخرین سرشماری، نزدیک به 50 CA به عنوان عضو وجود دارد. نمونه هایی از برخی از بزرگترین CAهای مورد اعتماد عمومی (فهرست شده بر اساس حروف الفبا) عبارتند از:

نکات تکمیلی در مورد CA

گواهی‌های یک CA خصوصی فقط توسط کاربران داخلی، مشتریان و سیستم‌های فناوری اطلاعات قابل اعتماد هستند.
یک CA خصوصی گواهی هایی صادر می کند که دسترسی به گروهی از کاربران را محدود می کند.
شما باید خودتان Certificate Authority خصوصی را تنظیم و میزبانی کنید (یا شخص ثالثی را استخدام کنید تا این کار را برای شما انجام دهد).
Certificate Authority

چه کسی تصمیم می گیرد که کدام CA مورد اعتماد عمومی است؟

این یک سوال خوب است که یک پاسخ برای آن وجود ندارد. مثلا:

  • مایکروسافت تصمیم می‌گیرد که دستگاه‌های ویندوز به کدام CA اعتماد دارند.
  • موزیلا تصمیم می گیرد که کدام Certificate Authority در ماشین های فایرفاکس و لینوکس قابل اعتماد باشد.
  • اپل تصمیم می گیرد که کدام CA در مرورگر سافاری، سیستم عامل دستگاه و غیره مورد اعتماد باشد.

نظرات نهایی در مورد CA و چرایی اهمیت آنها

اینترنت ذاتا ناامن است. تمام اطلاعات جهان را در دسترس شما قرار می دهد و سطح بی نظیری از راحتی را ارائه می دهد. اما همانطور که می توانید تصور کنید، همه این مزایا بدون برچسب قیمت سنگین به دست نمی آیند. تنها کاری که باید انجام دهید این است که به عناوین اخبار نگاه کنید تا متوجه شوید که حملات سایبری، نقض اطلاعات، سرقت هویت و سایر تهدیدها و خطرات در همه جا کمین کرده اند. اگر می خواهید بتوانید در وب گشت و گذار کنید یا از قابلیت های آن برای سود بردن از تجارت الکترونیک خود استفاده کنید، به همین دلیل است که باید یک شخص ثالث قابل اعتماد در کنار خود داشته باشید که بتواند هویت و اعتماد را به میز مذاکره بیاورد.

در هسته آنها، وظیفه CA این است که اینترنت را به مکانی امن تر برای سازمان ها و کاربران تبدیل کنند.

طرای سایت
CA و سئو
افزایش اعتماد با CA
5/5 - (5 امتیاز)

1 دیدگاه دربارهٔ «همه چیز در مورد Certificate Authority یا (CA)»

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.