Центр сертификации

Центр сертификации (также удостоверяющий центр, Certificate Authority, CA) - организация, уполномоченная выдавать и подтверждать цифровые сертификаты, используемые для обеспечения безопасного соединения по протоколам SSL и TLS. Центры сертификации являются ключевым элементом инфраструктуры открытых ключей (PKI), обеспечивающим доверие между участниками интернет-коммуникаций.

Основная функция центра сертификации - подтверждение подлинности веб-сайтов и организаций перед пользователями и браузерами. Когда пользователь заходит на сайт с защищённым соединением (HTTPS), браузер проверяет сертификат сайта и доверяет ему, потому что он подписан одним из центров, встроенных в список доверенных.

Система сертификации построена по иерархическому принципу:

• Корневые центры сертификации. Находятся на вершине иерархии. Их сертификаты встроены в браузеры и операционные системы на уровне доверия.
• Промежуточные центры сертификации. Получают право выдавать сертификаты от корневых центров. Используются для снижения рисков.
• Конечные сертификаты. Сертификаты, которые устанавливаются на сайты. Они подписываются промежуточными или корневыми центрами.

Когда браузер подключается к сайту по HTTPS, происходит следующий процесс:

1. Сервер предъявляет свой SSL-сертификат.
2. Браузер проверяет, подписан ли сертификат доверенным центром сертификации.
3. Проверяется срок действия сертификата.
4. Проверяется, что доменное имя в сертификате совпадает с адресом сайта.
5. Браузер проверяет, не отозван ли сертификат.

Если все проверки пройдены успешно, браузер считает соединение безопасным и показывает значок замка.

• Корневые центры. Центры, чьи сертификаты встроены непосредственно в браузеры и операционные системы.
• Промежуточные центры. Работают от имени корневых центров и выдают конечные сертификаты.

• Публичные центры. Выдают сертификаты для всех желающих в интернете. Их сертификаты доверенные для всех браузеров и устройств. Примеры: DigiCert, Sectigo, GlobalSign.
• Корпоративные центры. Создаются внутри организаций для выпуска внутренних сертификатов.
• Государственные центры. Создаются по инициативе правительств для обеспечения безопасности государственных информационных систем. В России таким центром является Минцифры.

Один из лидеров мирового рынка. Приобрёл множество конкурентов, включая Symantec, GeoTrust, RapidSSL и Thawte. Предлагает полный спектр сертификатов.

Крупный поставщик, ориентированный на массовый рынок. Известен доступными ценами и широкой партнёрской сетью.

Один из старейших центров сертификации (работает с 1996 года). Популярен в корпоративном сегменте.

Некоммерческий проект, предоставляющий бесплатные DV-сертификаты. Революционизировал рынок, сделав HTTPS доступным для всех. Сертификаты выдаются на 90 дней и автоматически продлеваются через специальные клиенты.

• Google Trust Services - центр сертификации Google, используемый для собственных сервисов.
• Amazon Trust Services - центр сертификации Amazon для AWS.
• GoGetSSL - популярный реселлер с удобным интерфейсом.

В России также действуют аккредитованные удостоверяющие центры, выпускающие сертификаты в соответствии с законодательством РФ. Они используются для работы с государственными информационными системами, электронной подписью и для обеспечения безопасности сайтов в российской доменной зоне. Ключевую роль играет Минцифры как головной удостоверяющий центр.

Процесс получения статуса корневого центра сертификации сложен и требует значительных ресурсов:

1. Соответствие стандартам. Организация должна соответствовать строгим требованиям безопасности (WebTrust, ETSI).
2. Прохождение аудита. Независимые аудиторы проверяют все процессы.
3. Включение в браузеры. Подача заявки на включение корневого сертификата в программы доверия браузеров.
4. Поддержание статуса. Регулярные аудиты и соблюдение меняющихся требований.

В случаях компрометации или ошибок сертификаты могут быть отозваны. Для этого используются:

• CRL (Certificate Revocation List). Списки отозванных сертификатов, публикуемые центрами.
• OCSP (Online Certificate Status Protocol). Протокол для проверки статуса сертификата в реальном времени.
• OCSP Stapling. Улучшенная версия OCSP, где сервер сам предоставляет браузеру подтверждение.

В истории были случаи взлома центров сертификации или выпуска ими мошеннических сертификатов. Наиболее известные инциденты:

• Comodo (2011). Взлом регистратора, выпуск поддельных сертификатов.
• DigiNotar (2011). Взлом голландского центра, выпуск сотен поддельных сертификатов, что привело к банкротству компании.
• TrustCor (2022). Расследование о связях с компанией, занимающейся слежкой.

В таких случаях браузеры исключают скомпрометированные центры из своих списков доверия.

CA/Browser Forum - международная организация, объединяющая центры сертификации и производителей браузеров. Она разрабатывает единые стандарты и требования к выпуску сертификатов.

При выборе центра сертификации учитываются:

• Репутация и доверие. Насколько известен центр, как давно на рынке.
• Типы сертификатов. Есть ли нужные типы (DV, OV, EV, Wildcard, SAN).
• Цена. Стоимость сертификатов и дополнительных услуг.
• Поддержка. Техническая поддержка, русскоязычный интерфейс.
• Интеграция с хостингом. Насколько легко установить сертификат.

Для большинства небольших проектов оптимальным выбором является Let's Encrypt - бесплатно, автоматически, доверенный всеми браузерами. Для коммерческих сайтов с высокими требованиями к доверию выбирают платные OV-сертификаты от известных центров.

• SSL-сертификат
• HTTPS
• TLS
• SSL
• Let's Encrypt
• Шифрование
• Криптография