Svako može da izda SSL sertifikat, ali browseri ne tretiraju jednako sve SSL sertifikate.
Self-signed SSL sertifikati su oni koje izdajete sami i oni obezbeđuju enkripciju, ali ne i autentifikaciju. Većina browsera će upozoriti da sajt sa self-signed SSL sertifikatom nije bezbedan jer sertifikat nije potpisalo, tj. izdalo sertifikaciono telo.
I tako dolazimo do glavne teme ove lekcije, šta su to sertifikaciona tela?
Sertifikaciono telo ili CA (Certificate Authority ili Certification Authority) je organizacija koja validira identitet web sajtova, drugih organizacija, ili lica koja traže da im se izda SSL sertifikat. Nakon uspešne validacije, Sertifikaciono telo izdaje SSL sertifikat kom browseri veruju.
Za svoju uslugu izdavanja sertifikata sertifikaciona tela traže nadoknadu, što znači da se SSL sertifikati uglavnom plaćaju.
Osim SSL sertifikata sertifikaciona tela izdaju i Code Signing sertifikate, sertifikate za potpisivanje dokumenata i emailova.
U prvoj lekciji Male škole SSL-a pomenuli smo da je SSL sertifikat kao pasoš za sajtove. Koristeći to poređenje, možemo da kažemo da su CA ekvivalent MUP-u (ili drugom vladinom organu koji izdaje pasoše) na Internetu.
Da biste legalno izašli iz zemlje treba vam pasoš. Pasoš izdaje MUP i to nakon što utvrdi vaš identitet.
Da bi sajt uspostavio HTTPS konekciju sa browserom, mora da ima SSL/TLS sertifikat. SSL sertifikat izdaje CA, nakon što validira domen i/ili organizaciju.
Poređenje ne treba shvatiti doslovno, jer nije nelegalno imati sajt bez SSL sertifikata. I sajtu bez SSL/TLS sertifikata korisnici mogu da pristupe, samo će ih browseri upozoriti da to nije bezbedno.
Dakle za potrebe naše priče, CA je MUP na internetu, vi ste website, a Web browseri su graničari.
Kad dođete na granicu, vi pokažete pasoš, graničari pogledaju da li ste vi na slici i da li je pasoš izdao MUP. Ako je sve u redu, lupe vam pečat i puste vas.
Slično tome, Web sajt pokaže browseru SSL sertifikat, browser pogleda da li je ispravan domen u sertifikatu i da li je sertifikat izdalo sertifikaciono telo od poverenja. Ako je sve u redu, razmene se ključevi i uspostavlja se HTTPS konekcija.
Ko odlučuje ko je sertifikaciono telo od poverenja?
Browseri su ti koji odlučuju kom sertifikacionom telu će verovati.
Sertifikaciona tela i Browseri imaju zajednički forum, CA&B forum, na kom donose odluke vezane za digitalne sertifikate. Oni recimo određuju koliko dugo će sertifikati važiti (od nedavno to je godinu i mesec dana), određuju procedure izdavanja i slično. Sva komercijalna sertifikaciona tela izdaju sertifikate po istoj proceduri. O procedurama smo govorili u lekciji o vrstama SSL sertifikata.
Da biste dobili SSL/TLS sertifikat morate Sertifikacionom telu da pošaljete CSR. Podrazumeva se da imate registrovan domen, jer ne možete da dobijete SSL sertifikat ako taj uslov ne ispunjavate.
CSR - Certificate Signing Request je tekstualni fajl koji generišete na serveru ili radnoj stanici na koje planirate da instalirate SSL sertifikat. U njega upisujete common name, odnosno ime domena za koji tražite SSL sertifikat, naziv firme, grad, državu i definišete koji algoritam će se koristiti za potpisivanje, kao i dužinu ključa.
Prilikom generisanja CSR-a, kreiraju se privatni i javni ključ. Javni ključ kriptuje, privatni ključ dekriptuje. Privatni ključ ostaje kod vas, nikome ga ne pokazujete i preporučuje se da ga bekapujete, da se ne bi desilo da ga „zagubite“, pa kad dobijete sertifikat ne možete da ga koristite. Javni ključ postaje deo CSR-a.
Kad ste uspešno generisali CSR šaljete ga Sertifikacionom telu. To uglavnom radite preko posrednika, odnosno partnera kao što smo mi - Net++ technology. SSL sertifikate možete da kupite i direktno od CA, ali partneri obično daju povoljnije cene, pa vam se više isplati da kupujete od nas.
Kad smo već kod cena, za sve vas koji gledate video ili čitate tekst, imamo jedan specijalan poklon! 20% popusta na sve Thawte SSL sertifikate iz naše prodavnice. Prilikom poručivanja koristite kod koji ćete naći na ovom linku. Popust važi do kraja 2020. i može se iskoristiti za jednu kupovinu (nezavisno od broja sertifikata).
Da se vratimo na našu lekciju. Kada CA dobije vaš CSR proverava podatke koje ste u njega upisali. Kada utvrdi da su svi podaci validni, Sertifikaciono telo stavlja svoj digitalni potpis na sertifikat i šalje vam ga. Vi ga instalirate i spremni ste za putovanje!
Sertifikaciona tela su važan deo PKI, Public Key Infrastrukture.
PKI je skup softvera, hardvera i procedura na kojoj počiva poverenje na Internetu.
O tome šta je PKI i kako funkcioniše govoriću u nekoj od narednih lekcija.
Da rezimiramo: Sertifikaciona tela su organizacije koje utvrđuju identitet entiteta na Internetu, čijim sertifikatima, odnosno digitalnim potpisima browseri veruju.
Da nije sertifikacionih tela svako bi mogao da izda sertifikat sebi i da kaže da je bilo ko.
Zbog toga mora da postoji treća strana, nezavisno telo, koje će da utvrdi i da drugima garantuje da je vaš sajt stvarno vaš sajt. Ta treća strana su sertifikaciona tela.